【ゼロトラストネットワーク】ゼロトラストとは #1 -概要編-
はじめに
こんにちは、システムソリューション営業本部の中道です。今回から始まったこのシリーズでは、ゼロトラストについてお話していきます。
イントロダクション
新型コロナウイルスの騒動から1年が経ちました。昨年の今頃は緊急事態宣言の発令もあり、多くの企業がテレワーク中心に活動できるよう環境の整備を進めている所でした。
当時は、予想以上の使用率からVPNの逼迫による接続不良や急遽リモートワークを開始したことでのトラブルも多かったと思います。
その中でVPNを使わず、更にセキュリティ性が高い仕組みとして「ゼロトラスト」が注目を集めています。
今回のシリーズでは、Microsoft Azureを使用したゼロトラストを中心にお話しできればと思います。
ゼロトラストとは
ゼロトラストって何?
そもそも、「ゼロトラスト」って何でしょうか。ゼロトラストとは、ゼロ・トラスト(Zero Trust)=無・信頼=何も信頼しないという意味です。
何も信頼しないという事は、完全に閉じ切った空間になります。
それでは何も始まらないので、必要な時と場合に応じ認証を行い通信する仕組みを「ゼロトラスト」と言います。
従来のセキュリティ対策は、保護するべきデータやシステムは信頼関係が築かれているのは内側、インターネットなどは外側、という認識で「内側」に対して構築されていました。
ファイアウォールやベンダーのウイルス対策ソフトが代表的な例で、外部からのアクセスを監視し、内部では比較的自由で安全な行動を取ることが出来ます。
しかし、それでは最近のクラウドサービスの利用や働き方改革によるテレワークの増加などに対応しきれなくなってきました。
また、複雑化する外部からの不正アクセスによるセキュリティ問題も課題になり、従来の考えで対応することが難しくなっています。
今のままでは閲覧/編集できる端末を絞ることができず、情報漏洩や端末の紛失による人為的なミスや、メール添付型ウイルスやランサムウェアなど、ファイアウォール以外から接続してくる不正アクセス、社外でのウイルス対策が不十分で対応しきれない可能性があります。
いくつかの課題が見つかりましたが、実際どれほどの課題があるのでしょうか。
課題と解決策
課題
経済産業省の「情報サービス産業の管理体制強化に向けたセキュリティ技術検討委員会」では、リモートワークの阻害要因として以下の10項目が挙げられています。| NO. | 項目 | 内容 |
| 1 | 回線逼迫 | リモートワークによる回線逼迫に対応するための回線増強には、数ヶ月単位の時間を要する |
| 2 | Wi-Fi設定 | 在宅中のWi-Fiアクセスポイントの設定を従業員に任せているが、暗号化設定などの確認の手段がない |
| 3 | 端末管理 | 端末管理はVPNを張ると実施できるが、常にVPNが貼られていない為、設定更新率が低い |
| 4 | BYOD | 個人所有デバイスに対するセキュリティ対策を強制することが難しい |
| 5 | 外部デバイス | 機密情報をUSBメモリなど外部デバイスで持ち出される |
| 6 | プリンタ | リモートワークでの社外のプリンタの利用が禁止されている |
| 7 | 外部メール | 機密情報を個人メール宛て等に持ち出しされる |
| 8 | 個人クラウド | 業務用と個人契約のクラウドサービスアカウントの識別が難しい |
| 9 | 内部不正 | 内部不正対策のため、教育や誓約書を取得しているが強制力が欠けている |
| 10 | 高機密データ | 個人情報やシステム管理など高機密データを取り扱う業務はリモートワークが禁止されている |
これら10項目の問題を解決するため、ゼロトラストを使ってみよう!というのが話されています。
以上の資料や経験を踏まえ、筆者は以下の7項目が課題であると考えており、整備することでゼロトラストが実現できると考えています。
| NO. | 項目 | 内容 |
| 1 | ID基盤管理 | 自社で持つIDを正しく管理する |
| 2 | デバイス保護 | 使用するデバイスの制限、紛失時の対応など |
| 3 | 脱VPN | インターネットで通信しながらもセキュリティ性の高い状態を保つため |
| 4 | SaaS監視・分析 | サイバー攻撃など脅威からの保護、 |
| 5 | 社内アプリの監視・運用 | 未許可アプリの有無、不正な操作などの監視 |
| 6 | クライアント検疫 | 脆弱性の発見、マルウェア阻止、攻撃からの保護 |
| 7 | 情報漏洩防止 | 重要なデータの保護 |
解決策
前項目にて紹介した課題を解決するため、以下の製品を組み合わせることで、ゼロトラストの実現を考えてます。
| NO. | 項目 | 内容 |
| 1 | ID基盤管理 | Azure AD / Azure AD Connect、他ベンダーのソフトウェア |
| 2 | デバイス保護 | Intune |
| 3 | 脱VPN | Azure AD Application Proxy、他ベンダーのソフトウェア |
| 4 | SaaS監視・分析 | Microsoft Cloud App Security |
| 5 | 社内アプリの監視・運用 | Azure Sentinel |
| 6 | クライアント検疫 | MS Defender for Endpoint |
| 7 | 情報漏洩防止 | MS DLP |
以上から、Microsoft Azureがゼロトラストに必要な項目を満たせる製品があると考えています。
これらが1つ1つ実現可能か、順次検証しています。
まとめ
おわりに
今回は第1回という事で、ゼロトラストについて、対応できる製品は何かについて掲載しました。次回より製品や操作について説明していきますので、よろしくお願いします!
また、「Microsoft Azure」「ゼロトラスト」が気になる!という会社様は是非「お問い合わせ」よりご連絡ください!
※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。
ホワイトペーパー「Microsoft 365 E3から始める ゼロトラスト・セキュリティ」
QESでは「Microsoft 365」「Azure」シリーズを活用したゼロトラスト・セキュリティ構築の概要を解説したホワイトペーパーを公開中です。ご興味ある方は是非ご一読ください。
参考資料
経済産業省資料「情報サービス産業の管理体制強化に向けた セキュリティ技術動向等に関する調査報告書」
(経済産業省 第2回 情報サービス産業の管理体制強化に向けたセキュリティ技術検討委員会 内資料)
https://www.meti.go.jp/shingikai/mono_info_service/joho_service/pdf/002_03_00.pdf
