これまでのセキュリティの考えは、ネットワーク内部を「信頼できるもの」とみなし、外部からの攻撃に対してファイアウォールなどで防ぐ境界型セキュリティが主流でした。
しかしながら、コロナ禍によるリモートワークの普及、パブリッククラウドの利用拡大、外部データ連携の促進などにより守るべき情報資産やIT資産が境界の外で活用されることが増え、ネットワーク境界での静的な防御が困難となってきています。そのため、内側と外側を区別せずに、すべてのアクセスを「信頼できないもの」として取り扱う「ゼロトラスト」と呼ばれるセキュリティモデルが注目されています。
本記事では、実際にゼロトラスト・アーキテクチャを導入されている企業を紹介します。
目次
ゼロトラストとは
ゼロトラストとは、社内外すべてを信用のできない領域として、すべての通信を検知し認証を行うという考え方です。
2020年8月に米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」で提唱された内容がベースとなっています。
ゼロトラスト・アーキテクチャの基本的な考え方
NISTは、ゼロトラスト・アーキテクチャを以下の7つの原則で示しています。
①すべてのデータソースとコンピューティングサービスは「リソース」とみなす
②ネットワークの場所に関係なく、すべての通信を保護する
③企業リソースへのアクセス、セッション単位で付与する
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
⑤企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する。
⑥すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収 集し、それをセキュリティ対策の改善に利用する
ゼロトラスト・アーキテクチャの特徴としては、以下の3点にまとめられますが、それぞれ次のようにマッピングされます。
観点 | 対応する原則 |
組織が持つリソースにあらゆるネットワークからのアクセスが必要な場合に用いられる | ①、② |
ネットワーク境界による静的なアクセスコントロールではなく、アクセスごとに動的に検証が必要である | ③、④、⑥ |
動的に検証が必要である | |
セキュリティ動作に関する情報を常に監視し測定する | ⑤、⑦ |
ゼロトラストの詳細については、「ゼロトラストとは?メリットや課題、導入方法についても解説」にて解説していますので、あわせて参考にしてください。
主なゼロトラストの導入事例
ここからはゼロトラストを実際に導入、推進している企業の具体的な事例を3つご紹介します。
さまざまなツールでゼロトラスト環境を構築(カブコム証券株式会社)
auカブコム証券株式会社(以下auカブコム証券)は三菱UFJフィナンシャルグループのインターネットオンライン証券会社です。オンライン上でお金や個人情報などのセンシティブな情報を取り扱うため、セキュリティの担保は特に重視されるポイントになります。
auカブコム証券はゼロトラスト・アーキテクチャに忠実に従っている企業であり、Microsoft(マイクロソフト)、Akamai Technologies(アカマイテクノロジーズ)、Splunk(スプランク)の3社のあらゆるツールを組み合わせてゼロトラストの環境を構築しています。
実際に使用しているツールとゼロトラストで定義している領域を一覧化すると下記のとおりです。
【表】auカブコム証券が利用しているゼロトラスト用ツール
領域 | ベンダー | ツール |
アイデンティティー&アクセス管理(IAM) | マイクロソフト | Azure Active Directory |
アイデンティティー認識型プロキシー(IAP) | アカマイテクノロジーズ | Enterprise Application Access |
セキュアWebゲートウエイ(SWG) | アカマイテクノロジーズ | Enterprise Threat Protector(ETP) |
クラウド・アクセス・セキュリティー・ブローカー(CASB) | マイクロソフト | Microsoft Cloud App Security |
エンドポイント・ディテクション&レスポンス(EDR) | マイクロソフト | Microsoft Defender ATP |
モバイルデバイス管理/モバイルアプリケーション管理(MDM/MAM) | マイクロソフト | Microsoft Intune |
セキュリティー情報イベント管理(SIEM) | スプランク | Splunk Enterprise Security |
(SIEM) | マイクロソフト | Azure Sentinel |
2018年頃からauカブコム証券はゼロトラスト環境の構築を検討しており、当初は業務の効率化、リモートワークの推進などといった「働き方改革の推進」が主の目的でした。
2019年にはIAPにAkamai Enterprise Application Accessを導入し、VPNを利用しない形で社内向けの業務アプリケーションを社外から安全に利用できる環境を整備しました。さらに同じく2019年にMicrosoft 365とSplunk Enterprise Securityを導入し、クラウドサービスをセキュアに利用できるようになりました。これにより新型コロナウイルスの感染拡大に伴うリモートワークの推進の際も、スムーズに移行することができたようです。
同社のゼロトラスト環境の肝となるのが、IAMとMDM/MAMをカバーする「統合ID・デバイス管理基盤」と呼ばれる基盤です。IAMでは、マイクロソフトのAzure Active Directoryを使用し、社内のアプリケーションをシングルサインオンでログインできるように整備しつつ、ユーザーや通信機器の状態に応じてアプリケーションの利用可否を制御しています。MDM/MAMの領域では、マイクロソフトのMicrosoft Intuneを用いて、従業員に支給しているiPhoneに対するデバイス管理を行っています。iPhoneに対するアプリケーションの制御を行っており、特に社内データの複製に対する制御に注力しています。具体的には、「社内のデータを複製できるのは社内のアプリに対してのみ」「社内のデータはローカルのメモアプリやSNSなどに複製することができない」などといった制御をかけることで情報の漏洩を防いでいます。
SIEMにはスプランクのSplunk Enterprise SecurityとマイクロソフトのAzure Sentinelの2種類のツールを利用しています。同社は2017年にDDoS攻撃を受け、取引サイトが約30分間利用できない事態に陥りました。そこで同社はスプランクの製品を導入し、ネットワークやアプリケーションのログを分析し脅威を検出できる体制を整えました。一方でAzure Sentinelを入れている理由として、同社はオフィスソフトとしてMicrosoft 365を利用していることから、マイクロソフト製品に対する監査ログを取り込むためだとされています。
2万5000人のテレワーク化(株式会社LIXIL)
株式会社LIXIL(以下LIXIL)は建築材料・住宅設備機器業界最大手の企業です。
LIXILは新型コロナウイルスの感染拡大を受けて2020年4月から、本社オフィスで働く従業員を対象に在宅勤務に移行しました。LIXILグループに所属する2万5000人の社員が、オンプレミスで運用している社内のシステムにテレワークをしながらアクセスし、在宅勤務であってもオフィスと同様に働いています。
同社がスムーズにテレワーク化に移行できた理由として、事前にAkamaiのネットワークセキュリティ製品「Enterprise Application Access」を導入していたことが挙げられます。かつては社外からアクセスする際はVPNを利用して社内の業務アプリケーションにアクセスしていました。当時から同社はAmazon Web Services(AWS)や他社のSaaSなどのクラウドサービスは利用していたものの、それでも社外からアクセスする際は必ずVPNを経由していたようです。
しかしながらVPNは約1500名分の帯域しか設けられていませんでした。そのため、Enterprise Application Accessを導入していなければ、2万5000人のテレワーク化は間違いなく実現していなかったといえるでしょう。
Enterprise Application Accessはゼロトラスト・アーキテクチャの「アイデンティティー認識型プロキシー(IAP)」の領域をカバーしており、これにより脱VPNを実現することができました。
まずはID基盤整備から(株式会社ポケモン)
株式会社ポケモンはポケットモンスターに関連したゲーム制作やキャラクターグッズ販売などの事業を担う企業です。同社でもゼロトラスト・アーキテクチャの導入を推進しています。
しかしながら、いきなりゼロトラスト・アーキテクチャで定義されているすべての領域を短期間で導入するのは困難です。ゼロトラストの実現には時間を要します。あのGoogleですらゼロトラスト環境を構築するのに約8年間かかったとも言われています。
同社では、ゼロトラストの推進にあたり、まずは取り掛かりやすい「ID認証基盤の整備」から実施しています。ゼロトラスト・アーキテクチャの領域でいうIAMの領域です。
ゼロトラストで重要なのは、「信頼性の高いネットワーク環境」を構築することよりも「信頼性の高いユーザーやデバイス」からのアクセスに限定することです。また、ID認証基盤を導入することにより、入退社や組織変更時のアカウント変更などの手続きが簡略化されることも導入効果として挙げられます。実際に同社ではID認証基盤にピン・アイデンティティ社の「Ping Intelligent Identity Platform」を採用されています。
その後、同社ではAkamaiのEnterprise Application AccessやMicrosoft 365の導入を推進し、ゼロトラスト環境実現に向け、ゼロトラストの領域を拡大しています。
ゼロトラストと並行で実施可能な対策
セキュリティ対策はゼロトラストがすべてではありません。ゼロトラスト以外にも並行で行うことが出来るセキュリティ対策は存在しますので、一部ご紹介します。
クライアントPCのセキュリティ担保
従業員が普段利用しているクライアントPCやデバイスに対して、ウイルス対策が適切になされているか否かの確認が重要です。適宜最新のセキュリティパッチを当てることを従業員に注意喚起し、ゼロデイ攻撃に対する対策を講じることが重要です。
また、定期的にウイルススキャンを行い、常に最新のパッチが当たっているのか、ウイルスに感染していないかどうかを確認することが重要です。
クライアントPCやデバイスに対するセキュリティに関しては、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」で詳しく解説していますので、あわせて参考にしてください。
万が一の事態に備えた仕組みの構築
近年、ウイルスなどのサイバー攻撃が複雑化しており、未然に防ぐことがより困難になっています。そのため、システムがサイバー攻撃を受けた際、その影響を最小化し、早急に元の状態に戻す仕組みを準備することが重要です。この考えを「サイバーレジリエンス」といいます。
このサイバーレジリエンスを実現するためには暗号化や冗長化、アクセス制御、バックアップなどの対策を講じることが重要です。
サイバーレジリエンスに関しては、「サイバーレジリエンスとは?その導入ポイントや必要な機能について解説!」で詳しく解説していますので、あわせて参考にしてください。
導入が容易な領域からゼロトラストを推進していきましょう
社内のシステム環境へ社外から接続を行う機会が増えているため、VPNや境界型の防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威に対して完全に防ぐことが難しい状況になってきています。
これからはゼロトラストという考え方を用いたシステムを構成することが重要になるでしょう。
いきなりすべての領域から導入することが難しいため、まずはID認証基盤など比較的推進が容易な領域から初めてみるのがよいのではないでしょうか。