多くの従業員がリモート環境で働き、業務アプリケーションはクラウドへ移行——コロナ禍によって職務環境が大きく変わるなか、ゼロトラストセキュリティの実践に注目が集まっている。1月20日に開催されたTECH+セキュリティセミナー「ゼロトラストの効能、システム・運用変更のポイント」で、メンロ・セキュリティ・ジャパン セールス・エンジニア 平賀巌氏は、ゼロトラストの概念を踏まえながら同社のソリューションについて解説した。

  • メンロ・セキュリティ・ジャパン セールス・エンジニア 平賀巌氏

どのように「ゼロトラスト」を実践するか?

業務アプリケーションがクラウドベースのものへ移行するなか、セキュリティにもクラウドトランスフォーメーションが求められるようになってきている。

従来のようなデータセンター集中型のネットワーク構成においては、リモートアクセスの手段はVPNを中心として考えられていた。しかし昨今、リモートワークの普及に伴いWebブラウザ上での業務が常態化したことで、アプリケーションとデータが分散して存在するようになってきている。こうした状況では、VPN装置等を活用してインターネットと社内ネットワークのあいだに境界を築く境界防御の考え方は通用しにくい。

そこで着目されているのがゼロトラストである。ゼロトラストとは、リソースの保護に焦点を当てたサイバーセキュリティの考え方で、米国立標準技術研究所(NIST:National Institute of Standards and Technology)によるレポート「NIST SP800-207 Zero Trust Architecture」のなかで、その定義とアーキテクチャの要件について説明されている。

これを踏まえて平賀氏は「ゼロトラストの簡単なレシピはなく、またゼロトラストそのものを購入することはできない。特定の組織に特化したマニュアルももちろん存在しない。目標に向かって組織として動いていくことが実現のキーとなる」と、ゼロトラスト実現のポイントについて説明する。

では、ゼロトラストを実践するために組織として行うべきことは何だろうか。平賀氏によると、まずは、既存のインフラ構成を把握し、リスクを可視化したうえで、組織のロードマップを考える必要があるという。また、ゼロトラストの基盤となるアーキテクチャは、組織のニーズに一致していることが求められる。平賀氏は、「組織にとって意味のあるコンポーネントのみを利用する方向で考えていくべき」であるとする。

ゼロトラストとともに注目される「SASE」とは

ゼロトラストには、下記の要件を満たすクラウドネイティブなセキュリティが必要となる。

  • すべてのユーザーが使用するデータとアプリケーション、およびユーザーの通信方法を保護
  • 場所に関係なくすべてのユーザーに対して一貫かつ動的に適用可能なポリシーの考慮
  • 必要に応じてユーザートラフィックの急速な変化をサポートするためのスケーラビリティの担保
  • 検知による驚異からの保護だけでなく、ゼロトラストを考慮したメール、Web分離、CASB、DLP、プライベートアクセスなどの複数のセキュリティニーズの統合
  • パフォーマンス低下などを意識させない、エンドユーザーへ対する使用性の担保

こうしたゼロトラストの理念を実現する方法として注目されているのが、SASE(Secure Access Service Edge)だ。SASEは、従来のように通信をデータセンターに集約させていた方法とは異なり、セキュリティとネットワーク技術を単一のクラウドプラットフォームに集約することでトラフィックフローを制御し、セキュアなアクセスを可能にするというフレームワークである。

「SaaSやIaaSの利用が増えるなか、ごく自然な流れとしてゼロトラストとともにSASEの必要性が叫ばれている。SASEにはゼロトラストの考え方が必要で、ゼロトラストの実装がないSASEには危険が伴う」(平賀氏)

Menlo Private Accessのゼロトラストアプローチ

メンロ・セキュリティでは、ゼロトラストセキュリティフレームワークとして「Menlo Private Access(MPA)」をリリース予定だ。レガシーVPN基盤に依存することなく、高速かつシームレスな業務アプリケーションへのアクセスを可能にする。

レガシーVPNでは、一度認証されるとユーザーやデバイスの信頼性を動的に検証する仕組みがないうえ、不必要なリソースへもアクセス可能になってしまう。これはゼロトラストの「暗黙の信頼を排除する」という考え方に反している。一方MPAでは、特定のアプリケーションへの接続を特定のユーザーのみに指定することができるほか、不必要な動作を許可しないことも可能。デバイス自体の健全性を動的に検証し、ポリシーを満たさないデバイスの接続を拒否することもできる。

パフォーマンスへの影響やワークフローの中断なくユーザーが利用できるのもMPAの特徴だ。ユーザーは、許可されているアプリケーションのリスト画面が表示されるアクセスポータルから利用したいアプリケーションを選択することで、メンロ・セキュリティのクラウドプラットフォームを介してセキュアなアクセスを確立することができる。証明書やDNSの変更なく利用できるほか、基本構成としては、クライアントアプリケーションも不要だ。

アイソレーションをコアにしたソリューションがゼロトラストに必要な理由

メンロ・セキュリティのソリューションは、アイソレーション(分離・無害化)テクノロジーをコアに置く。これにより、効果的にSASEおよびゼロトラストを実現できるという。

「アイソレーションテクノロジーでは、良し悪しを見分けない。極端に言えば、すべてのコンテンツを脅威と見なして信頼しない。こうしたアプローチはゼロトラストの基本を実践するものといえる」と平賀氏が説明するように、未知・既知を問わず脅威となるWebコンテンツがあったとしても、クラウド上の仮想コンテナでいったん取得・実行された後、特許取得済のAdaptive Clientless Rendering (ACR)技術により無害化された安全な表示情報のみがユーザーのブラウザに配信される。つまり、脅威であろうとなかろうとアイソレーションされるので検知を必要としない。

さらに、メンロ・セキュリティのクラウドプラットフォームは、ゼロトラストのアーキテクチャを担保するために必要であるとされるCASB、DLP、FWaaS等とも組み合わせることができる。SASEをはじめとしたクラウドセキュリティトランスフォーメーション実践のための理想的な環境を構築することが可能なプラットフォームであるといえよう。