
ゼロトラストを推進する開発パートナー選びのポイント
「ゼロトラスト」というIT用語を聞いたことがありますでしょうか?「ゼロトラスト」とは「何も信頼しない」ことを前提にした対策を講じるセキュリティーの考え方のことです。
今までのセキュリティー対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分離して、その境界部分でセキュリティー対策を構築することでした。
つまり「内側」が社内ネットワーク・イントラネット環境・VPN接続したクラウドコンピューティング・センターなどを指します。
「外側」はインターネットが該当します。
その境界線にファイアウォールなどのセキュリティー機器を設置して、通信の監視・制御を行うことで外部からのサイバー攻撃を防衛・遮断する考え方です。
近年、企業・団体に広まっている考え方が「ゼロトラスト」です。
「ゼロトラスト」はすべての通信を信頼しないことを前提にした、セキュリティー対策を構築していきます。
これから「ゼロトラスト」とは何か?「ゼロトラスト」が注目される理由やメリットを紹介していきます。
目次
1.ゼロトラストとは何か?
「ゼロトラスト」は、英語表記でzero trust になります。
日本語では、信頼(trust)がゼロ(zero)と表し「何も信頼しない」を意味します。
IT業界では、「何も信頼しない」ことを前提にしたセキュリティー対策の考え方を示します。
従来のセキュリティー対策は、「外側(社外)」から「内側(社内)」、または「内側(社内)」から「外側(社外)」の「情報の境界線」を越えるときのリスク対策をすることが基本でした。
近年、企業・団体は在宅勤務・テレワーク勤務・リモートワーク勤務を取り入れているので、「外側」「内側」という「情報の境界線」の線引きが機能しないケースが見受けられます。
「内側(社内)」であっても、不正なアクセスや不正な情報漏リスクを伴うことがあり得ます。
そのため「内側(社内)」は信頼できる範囲であることを見直して、「ゼロトラスト」という考え方で安全性を求めるように変遷しています。
「ゼロトラスト」では、①許可されたユーザーからのアクセスであるか?②通常と異なる場所(ロケーション)からのアクセスがないか?③不審な振る舞いが発生していないか?④利用しているクラウドサービスにリスクがないか?などを確認するようになりました。
「ゼロトラスト」は社内ネットワーク・イントラネット環境・インターネット環境のセキュリティー対策の考え方で、その他の分野では該当しません。
2.ゼロトラストとSASEとの違い
「ゼロトラスト」と「SASE」との違いを紹介します。
「ゼロトラスト」のセキュリティー対策に類似した考え方に「SASE(Secure Access Service Edge、サシー)」があります。
「SASE」は、今まで個々に管理していた、社内ネットワーク・イントラネット環境・イントラネット環境などの「ネットワーク」と安全対策である「セキュリティー」を包括的に管理できるセキュリティーフレームワークのひとつです。
ネットワーク機能とセキュリティー機能を統合し、クラウドコンピューティング・サービス上で提供する考え方です。
簡潔に紹介すると「ゼロトラスト」という考え方に基づき、実際にサービスを提供する仕組みにことを示します。
3.ゼロトラストが注目される理由・メリット
「ゼロトラスト」が注目される理由・メリットを紹介します。
第1にセキュリティーレベルが大幅に向上したことです。
「ゼロトラスト」は、アクセスする都度に多要素を組み合わせた認証を実施します。
そのため、簡単なログオンIDとパスワードだけではネットワークに入場できないよう、セキュリティーレベルを大幅に向上することができます。
さらに、アクセスしたログが保存されるので、どのアカウント(利用者)がいつネットワークにアクセスした利用状況を把握・解析することが可能になりました。
第2に社内外を問わずにどこからでもアクセス可能なことです。
「ゼロトラスト」は「内側」「外側」のセキュリティー対策を「何も信用しない」考え方です。
そのため社内(内側)社外(外側)の区分けをせずに、「内側」「外側」が同等なアクセス方法に統一されます。
今までは「内側」「外側」の境界線上にあるセキュリティー対策機器がボトルネックになることが散見されましたが、ボトルネックに至る事象を低減させました。
第3にセキュリティー管理業務・管理部門・管理者の効率化向上が図れます。
今までのセキュリティー対策は「内側」「外側」別に用意・実装・設定・管理をしていました。
「ゼロトラスト」は「内側」「外側」の区分けが無くなるので、一元化したセキュリティー・ポリシーを適用することができるようになりました。
4.ゼロトラストを実現するために必要なソリューション
「ゼロトラスト」を実現するために必要なソリューションを紹介します。
第1に「ユーザー認証」です。
「ユーザー認証」はユーザーIDとパスワードのログオン情報を管理・認証するソリューションです。
クラウドコンピューティング・サービス上で認証管理をする「IDaaS(Identity as a Service)」を取り入れています。
「IDaaS」は複数のクラウドコンピューティング・サービスのログインIDとパスワードを集約管理するサービスのことを示します。
「IDaaS」の他に「SSO」機能があります。
「SSO」は一回のユーザー認証(ログインIDとパスワード)で複数のシステム(インターネット上クラウドサービス・Webサービス・業務アプリケーションソフトウェア等)を利用できる仕組みのことを示します。
第2に「エンドポイント・セキュリティー対応」です。
「エンドポイント」は、ネットワークの終端にあるIT機器のことを指します。
一般的に皆さんが利用しているパソコンやモバイル端末にことです。
「エンドポイント・セキュリティー」は、パソコンやモバイル端末を保護するソリューションです。
ソリューションには、終端のIT機器を監視する「EDR(Endpoint Detection and Response)」機能、マルウェアの感染から保護する「EPP(Endpoint Protection Platform)」があります。
第3に「ネットワーク・セキュリティー対応」です。
「ネットワーク・セキュリティー」は、社内ネットワーク・イントラネット環境・インターネット環境のアクセス権限を設定して、セキュリティーを確保するソリューションです。
危険なWebサイトへのアクセスを遮断する「SWG(Secure Web Gateway)」機能、リアルタイムに接続可否を判断する「SDP(Software Defined Perimeter)」機能があります。
第4に「クラウドコンピューティング・セキュリティー対応」です。
「クラウドコンピューティング・セキュリティー」ソリューションは、クラウドコンピューティング・サービスの利用状況を可視化・制御する「CASB(Cloud Access Security Broker)」機能、クラウドコンピューティング・サービスの安全性確認をする「CSPM(Cloud Security Posture Management)」機能があります。
5.ゼロトラストの導入時に確認するポイント
「ゼロトラスト」の導入時に確認するポイントを紹介します。
第1にログオンID管理の厳格化です。
「ゼロトラスト」は「内側」「外側」の境界線の区分けを無くするので、ログオンID管理は厳格化します。
「ゼロトラスト」では、ログオンIDを適切に一元管理することがポイントです。
厳格なログオンID管理は「ゼロトラスト」セキュリティーネットワークを構築する際の要(肝)になります。
もし、業務別に管理するログオンIDが多いときは、シングルサインオンの導入を検討してみましょう。
シングルサインオンとは、一回のユーザー認証(ログインIDとパスワード)で複数のシステム(インターネット上クラウドサービス・Webサービス・業務アプリケーションソフトウェア等)を利用できる仕組みのことを示します。
第2にアクセス・行動履歴の可視化です。
「ゼロトラスト」セキュリティーネットワークは、「誰がどこから、どのファイル・どのアプリケーションにアクセスしたか」をログとして保管するのでアクセス履歴を可視化できます。
不正アクセスの防衛・阻止することができます。
さらに情報漏洩が発生したときは、迅速な対応・検証することができます。
6.ゼロトラストを推進する開発パートナー選びのポイント
「セロトラスト」導入は、企業・団体が導入している基幹システムを導入している開発パートナー企業に相談してみましょう。
アカウント管理方法を「ゼロトラスト」の考え方に改める業務の選定、現在の業務アプリケーションのアカウント管理方法を改修可能か否かの確認、該当の業務アプリケーションに「ゼロトラスト」の考え方を導入する必要があるか否かを検討する必要があります。
アカウント管理方法の改訂には多額な費用を要することがあり得ます。
費用対効果を見極め導入の検討をしましょう。
「ゼロトラスト」導入の検討は、企業・団体が導入している基幹システムの開発パートナーに事前相談してみることをお勧めします。
大手電機メーカー、ITベンダー企業、ITベンチャー企業は基幹システムをする部門以外に「アカウント管理」をサポートする担当エンジニアをスタンバイさせています。
現行の基幹システムを導入した開発パートナーの営業担当やプロジェクト・マネージャーに相談してみましょう。
まとめ
近年のIT技術は飛躍的な進歩をしています。
該当のシステムを参照・更新する際の権限設定は内部ネットワークからアクセスするケース、インターネット環境を介してアクセスするケースで設定方法が異なります。
アカウント管理をする部門・担当者の負荷が大きくなっています。
そのため内部アクセス・外部アクセスを問わない「ゼロトラスト」の考え方が広まりました。
管理コストを削減する効果があることがあります。
費用対効果を見極めて導入の検討をしてみましょう。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。