クラウド利用の拡大に伴って、セキュリティ対策としてゼロトラストが注目されている。しかし、対策をすべき対象は多々あり、ゼロトラストを実現するソリューションも多数存在している。どの対象に対してどのソリューションを選び、どのような順序で導入していくのが適切かを見極めるのは難しい。

9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が登壇。ゼロトラストの基本的な考え方や導入すべきソリューションの選び方、導入の手順について解説した。

ビジネス目標に合わせて必要なソリューションを選ぶ

講演冒頭で佐々木氏は、ゼロトラストの基本的な概念について説明した。ゼロトラストはForrester Research社が2010年に提唱した考え方だ。境界を設けて社内ネットワークの内部を安全なものとする方法ではIT環境の安全性を保てなくなってきたことを踏まえて、“信用しないこと”を前提として全てのトラフィックを検査しログ取得を行うという、性悪説によるアプローチである。テレワークが拡大し、社内サービスについてもクラウドに移行していくと、重要なリソースがクラウド上に置かれるようになる。そうなると、社内外を区別せず、許可された人だけがしっかりと必要なデータにアクセスできるように細かく管理しなければならない。また、従来の対策では防ぎきれないような脅威も出現してきている。そういった理由から、ゼロトラストが必要になってきているのだ。

ゼロトラストの概念は、どのユーザーもどの端末も信用せず、全てのアクセスを評価したうえで認証し、評価結果に基づいて必要最低限のアクセスポリシーを動的に付与するというものだ。これをしっかり監視し、ログを取得して解析すれば、セキュリティは非常に強固なものになる。しかし、こうしたことを全て実現するのは難しい。また、世の中に数多くあるゼロトラストソリューションには、必要な要素のうちの1つが適用されているというものが多く、全てを実現するものは少ないのが現実だ。

「ゼロトラストの導入を目的とするのではなく、本来やりたいこと、ビジネス目標は何かを考えて、必要なソリューションを選ぶことが重要です」(佐々木氏)

  • ゼロトラストの概念とイメージ図

ゼロトラストの技術要素として重要なクラウドエッジ

佐々木氏が専門委員を務める情報処理推進機構(IPA) 産業サイバーセキュリティセンターの卒業生による「ゼロトラスト導入指南書」には、ゼロトラスト関連のソリューション一覧がある。ここには、例えばクラウドサービスを可視化するCASB(Cloud Access Security Broker)、設定を継続的に評価して異常を検出するCSPM(Cloud Security Posture Management)、エンドポイントの監視・防御のためのEDR(Endpoint Detection and Response)、クラウド型ID管理サービスのIDaaS(Identity as a Service)、不正なサイトへの接続を遮断するSWG(Secure Web Gateway)、複数ツールを連動させて脅威に自動対応するSOAR(Security Orchestration, Automation and Response)など11のソリューションが記載されている。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら