Special
» 2020年07月02日 10時00分 公開

自動化と統合管理が完成形、さらに企画力も:withコロナの時代、企業それぞれに合った「ゼロトラストセキュリティ」を始めるには

テレワークやクラウドサービスの活用に伴い、にわかに「ゼロトラストセキュリティ」というキーワードをあちこちで耳にするようになった。具体的にどんなコンセプトを指し、どこから取り組めばよいのだろうか。

[PR/@IT]
PR

withコロナの時代に求められるセキュリティとは

 テレワークの導入と業務システムのクラウド化の推進に伴って、あちこちで耳にするようになったキーワードが「ゼロトラストセキュリティ」だ。

 新型コロナウイルス感染症(COVID-19)対策として急速に広がったテレワークでは、クラウドサービスは大きな役割を果たしている。コロナ対策以前からも、日本政府はクラウド・バイ・デフォルトを掲げる他、IoT(Internet of Things)を活用した「Society 5.0」の活用を推進しており、これらを実現するうえでもクラウドの活用は不可欠だ。これに伴って求められる新しいセキュリティの考え方がゼロトラストセキュリティというわけだ。

 盛んに取り上げられるのはよいのだが、ゼロトラストセキュリティが具体的に何を指すかとなると、人によって、また企業によって説明はまちまちだ。

 日立ソリューションズでは、各要素の技術はもちろん必要だが、セキュリティ監視や分析、対応の自動化から統合運用管理までも包含した、この先10年を見据えたコンセプトと捉えている。

クラウドサービス移行に伴って急浮上した「ゼロトラスト」

ALT 日立ソリューションズ
セキュリティマーケティング推進部
部長
扇健一氏

 そもそも、なぜ今ゼロトラストセキュリティという考え方が注目を集めているのだろうか――。一番大きな要因は「クラウドサービス」の普及だ。従業員の生産性や効率の向上という面はもちろん、人手不足の中でIT担当者の負荷を軽減し、運用コストを削減する手段としても、クラウドサービスへの依存度は高まっている。

 「さまざまな業務がクラウドで行われるようになり、重要なデータやシステムもクラウド上に移行してきました。社員はもはやオンプレミスに構築してきた環境を経由せず、『Microsoft 365』(旧、Office 365)や『Microsoft Teams』、あるいは『Salesforce』といったさまざまなクラウドサービスにダイレクトにアクセスして業務をこなすようになっています。すると、これまで企業システムを保護してきたファイアウォールやVPN(仮想プライベートネットワーク)、IDS(不正侵入検知システム)/IPS(不正侵入防止システム)といったものはバイパスされ、意味をなさなくなってきます」(日立ソリューションズ セキュリティマーケティング推進部 部長 扇健一氏)

ALT 直接クラウドサービス/インターネットにつながるテレワーク環境におけるマルウェア感染(出典:日立ソリューションズ)《クリックで画像を拡大》

 一方、サイバー攻撃は高度化し続けている。ユーザーを巧妙にだまして感染する「Emotet」の被害は記憶に新しい。そのうえ最近では、テレワークの広がりを受けたサイバー攻撃も観測されている。ネットワークセキュリティ機器に守られた社内システムに比べ、ダイレクトにインターネットにつながるデバイスは無防備だ。危険なサイトへのアクセスもブロックされないため、Microsoft 365やVPNのアカウントを盗み取ろうとするフィッシング詐欺も度々観測されている。

 かといって、以前の環境に後戻りすることはないだろう。この先、「withコロナの時代」で生産性の高い働き方を考えると、「むしろオンプレミスに置かれていた業務システムをクラウド基盤に移行する動きは加速するでしょう」と扇氏は予測する。

 だが、そうなればなるほど、マルウェア感染やフィッシング詐欺、設定ミスを突いたサイバー攻撃のリスクは高まる。これまで企業システムを守ってきた境界型のセキュリティソリューションの代わりに、どうやって重要な資産を守っていけばよいのか――。そこで、境界型セキュリティに頼らず、あらゆるユーザーやデバイス、アプリケーションは安全ではない可能性があるという前提に立って対策を考える、ゼロトラストセキュリティが注目されているのだ。

ALT 境界型セキュリティとゼロトラストセキュリティの違い(出典:日立ソリューションズ)《クリックで画像を拡大》

1つの製品にとどまらないゼロトラスト、中長期的な視野と企画力が不可欠に

 ゼロトラストセキュリティの必要性は分かった――。では具体的にどうすれば実現できるのか。「ゼロトラストセキュリティに関するソリューションはいろいろと提案されていますが、何か1つの製品やサービスを入れればゼロトラストというわけではありません。もっと総合的に見て、また顧客の要望やコストに合わせて、適材適所で組み合わせていくことが重要です」と扇氏は述べる。

 例えば、クラウド・バイ・デフォルトになれば、ファイアウォールやIDS/IPS、サンドボックスといったこれまでの境界型セキュリティは迂回(うかい)される。となると、こうしたセキュリティ対策をエンドポイント側、エッジ側でどう代替するかを考えていかなければならない。その策の1つが、ゼロトラストセキュリティの構成要素である「Secure Access Service Edge」(SASE)という概念だ。

 また、ユーザーアカウントの管理や認証も不可欠だ。むしろ、クラウドサービスの活用を広げれば広げるほど、「Identity and Access Management」(IAM)によるID管理と認証の重要性は高まる。それもオンプレミスではなくクラウド上で行うことで、よりスムーズな連携が可能になる。「Cloud Access Security Broker」(CASB)を活用したアプリケーションや脅威の可視化も、その一助になるはずだ。

 ただ、ゼロトラストセキュリティの考え方でいくと、エッジのデバイスがマルウェアに感染し、攻撃者に乗っ取られている可能性も考慮に入れなければいけない。そこで、IDとパスワードを入力すれば認証したと見なすのではなく、いつ、どんな場所からアクセスを要求しているかを把握し、普段の振る舞いと違うものがあれば本人確認を強化するリスクベース認証のようなアプローチも必要になる。デバイスの保護を強化する「Next Generation AntiVirus」(NGAV)や「Endpoint Detection and Response」(EDR)、「Unified Endpoint Management」(UEM)の活用も欠かせないだろう。

 このようにしてさまざまな可能性を考慮に入れて対策を検討するのはいいが、今度はセキュリティ担当者の負荷がどんどん高まっていく。これまで運用してきたネットワークセキュリティ機器も管理しながら、クラウドサービスを管理し、認証も監視し、デバイスも見ていく……となると、人手がいくらあっても足りない。

 そこで「監視を行い、ログを収集して相関分析を加え、必要に応じて自動的にアクションを行う、というインシデント対応の自動化に必然的に行き着きます。ネットワークが複雑化し、監視すべきものが増える一方、人手不足は深刻化しています。この中で、自動化と統合管理がゼロトラストの完成形になっていくでしょう」と扇氏は述べ、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)の業務を一部自動化する「SOAR」(Security Orchestration, Automation and Response)と呼ばれるコンセプトも、ゼロトラストセキュリティの中で重要になるとした。

 こうして見ていくと、世間一般で言われているよりもはるかに幅広い概念が、ゼロトラストセキュリティの中に含まれることになる。扇氏はさらに、「ゼロトラストセキュリティでは人の問題に加え、企画力が求められます。全社的な働き方やデジタルトランスフォーメーション(DX)の取り組みも視野に入れながら、どこからゼロトラストセキュリティを適用し、中期計画や長期計画に盛り込んでいくか、取引先やサプライチェーン全体にまたがる形でどう適用するかという企画力が必要になってきます」と指摘する。

 もう1つ欠かせない観点がある。Society 5.0の中でも重要な役割を果たすIoTだ。いわゆるITセキュリティだけではなく、IoTにどのようにゼロトラストセキュリティの考えを盛り込み、守っていくかという包括的な視点なしには、経営層の理解を得ながらゼロトラストセキュリティを推進していくのは難しいし、どこかに抜け落ちや偏りが生じてしまうことになるだろう。

幅広いソリューションを適材適所で組み合わせ、専門的な知見を踏まえて提案

 日立ソリューションズでは、テレワークやクラウドのセキュリティという目の前の課題を1つのきっかけにし、先を見据えたゼロトラストセキュリティの実現に向けた提案を柔軟に行っている。

 同社の強みの1つは、マルチベンダーで多くの製品・サービスを扱っており、今後も拡充を続けていくことだ。企業を取り巻くリスクを「アカウント侵害」「デバイス侵害」「ネットワーク侵害」「アプリケーション侵害」の4つに分類し、それぞれに複数の選択肢を用意している。「予算や期間に応じて、適材適所で製品を組み合わせて、総合的に提案できることがわれわれの強みです」(扇氏)。

ALT 4つの侵害と対応するソリューション(出典:日立ソリューションズ)《クリックで画像を拡大》

 同社のユニークな提案の1つに、デバイスを守る製品にインシデントレスポンスサービスを付帯させるソリューションがある。デバイス侵害から企業を守るための次世代アンチウイルス製品に、同社のホワイトハッカーチームがインシデント対応を行うサービスを組み合わせることで、万が一の事態に万全の備えをする形だ。

 また、4種類の侵害を監視する製品群からログを収集し、相関分析を加えて攻撃の予兆を発見した場合、SIEMやSOARの仕組みを介して自動的にデバイスの隔離やアカウントの無効化といったアクションを取ることも可能だ。幅広いソリューションにセキュリティ専門家の知見と自動化を組み合わせることで、4種類の侵害から企業を守っていく。

 同社のもう1つの強みは、ITのみならずOT(Operational Technology)のセキュリティに関する経験やナレッジが豊富なことだ。「将来的にはIoTの世界にもゼロトラストセキュリティの考え方を取り入れていかなければいけません。既に先進的な企業から、実際に取り入れていきたいと相談を受けることもあります」と扇氏は述べ、ITはもちろん、IoTやOTの世界でのノウハウを踏まえ、総合的かつ中長期的な対策を支援していくとした。

 環境の変化に敏感な企業の中には、「グローバルな競争に勝ち抜くにはクラウド化が避けられないが、そうすると社内と社外を分ける境界がなくなっていくし、『社内は安全、社外は危険』という概念もなくなるでしょう」と見通したうえで、日立ソリューションズの協力を得ながらゼロトラストセキュリティの適用に取り組み始めたところもあるという。

 また、人手不足の中、拡大し複雑化するIT環境を監視し、脅威を検知してインシデント対応するプロセスを自動化するため、ゼロトラストセキュリティに期待している企業もあるそうだ。十人十色ではないが、企業ごとに異なるさまざまなニーズに合わせた提案を行えることが、日立ソリューションズの最大の強みだろう。

 「日立ソリューションズ自身、10年ほど前から働き方改革に取り組んできたことで、新しい働き方に関して、セキュリティはもちろん、人事面も含めてさまざまなノウハウを持っています。こうしたノウハウを生かしつつ、適材適所でゼロトラストセキュリティの考え方を盛り込みながら、中長期的に検討を進めていくお手伝いをしたいと思っています」と扇氏。これからのセキュリティを考えるうえで、頼りになるパートナーといえるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年8月1日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。