クラウド利用の拡大に伴って、セキュリティ対策としてゼロトラストが注目されている。しかし、対策をすべき対象は多々あり、ゼロトラストを実現するソリューションも多数存在している。どの対象に対してどのソリューションを選び、どのような順序で導入していくのが適切かを見極めるのは難しい。
9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が登壇。ゼロトラストの基本的な考え方や導入すべきソリューションの選び方、導入の手順について解説した。
ビジネス目標に合わせて必要なソリューションを選ぶ
講演冒頭で佐々木氏は、ゼロトラストの基本的な概念について説明した。ゼロトラストはForrester Research社が2010年に提唱した考え方だ。境界を設けて社内ネットワークの内部を安全なものとする方法ではIT環境の安全性を保てなくなってきたことを踏まえて、“信用しないこと”を前提として全てのトラフィックを検査しログ取得を行うという、性悪説によるアプローチである。テレワークが拡大し、社内サービスについてもクラウドに移行していくと、重要なリソースがクラウド上に置かれるようになる。そうなると、社内外を区別せず、許可された人だけがしっかりと必要なデータにアクセスできるように細かく管理しなければならない。また、従来の対策では防ぎきれないような脅威も出現してきている。そういった理由から、ゼロトラストが必要になってきているのだ。
ゼロトラストの概念は、どのユーザーもどの端末も信用せず、全てのアクセスを評価したうえで認証し、評価結果に基づいて必要最低限のアクセスポリシーを動的に付与するというものだ。これをしっかり監視し、ログを取得して解析すれば、セキュリティは非常に強固なものになる。しかし、こうしたことを全て実現するのは難しい。また、世の中に数多くあるゼロトラストソリューションには、必要な要素のうちの1つが適用されているというものが多く、全てを実現するものは少ないのが現実だ。
「ゼロトラストの導入を目的とするのではなく、本来やりたいこと、ビジネス目標は何かを考えて、必要なソリューションを選ぶことが重要です」(佐々木氏)
ゼロトラストの技術要素として重要なクラウドエッジ
佐々木氏が専門委員を務める情報処理推進機構(IPA) 産業サイバーセキュリティセンターの卒業生による「ゼロトラスト導入指南書」には、ゼロトラスト関連のソリューション一覧がある。ここには、例えばクラウドサービスを可視化するCASB(Cloud Access Security Broker)、設定を継続的に評価して異常を検出するCSPM(Cloud Security Posture Management)、エンドポイントの監視・防御のためのEDR(Endpoint Detection and Response)、クラウド型ID管理サービスのIDaaS(Identity as a Service)、不正なサイトへの接続を遮断するSWG(Secure Web Gateway)、複数ツールを連動させて脅威に自動対応するSOAR(Security Orchestration, Automation and Response)など11のソリューションが記載されている。