企業におけるゼロトラスト
セキュリティ導入の目的
ゼロトラストセキュリティの導入は、製造業から徐々に情報通信業、サービス業へと広がり、最近では流通業や金融業、建設業にも広がっている。このような状況の中、同業他社での導入を横目に見た経営層が、自社での導入検討を社内に指示することもあるようだ。しかし、ゼロトラストセキュリティは働き方改革やDX推進に合わせて、目的を持って導入するものだ。導入を検討と言われても、どの製品を導入すれば、または、どこまで導入すればゼロトラストセキュリティ導入済みと言ってよいのか、頭を悩ませてしまうだろう。今回は、企業が何を目的にゼロトラストセキュリティを導入しているのかユースケースを紹介する。
目的に合わせ導入される機能
ゼロトラストセキュリティには、大きく分けて4つの機能範囲がある(図1)。各機能の価値を、企業の目的別に紹介する。
●目的1:マルウェア対策強化
機能④内、EPP※1/EDR※2はゼロトラストセキュリティ浸透前から導入が進んでいた技術だ。ゼロトラストセキュリティでは、EPP /EDRの導入後、エンドポイントでそれらが正常に稼働しているかをUEM※3で確認し、問題がなければ企業インフラへのアクセスを許可する。
●目的2:クラウドシフト対応(SaaS)
働き方改革やDX推進、BCPのため、多くの企業でクラウドシフトが推進されており、それらの企業では「クラウドへのアクセス時」と「クラウド利用時」の観点で対策を導入している。まず、クラウドへのアクセス増加に伴い重要となるのが、ユーザーを正しく認証する機能②のIAM※4だ。また、社内のファイアウォールを経由せずにクラウドへのセキュアなアクセスを実現する機能③のSWG※5も求められている。
クラウド利用時には、情報漏洩やマルウェア対策の観点で、従業員がどのようなSaaSを利用して、どのようなデータをアップロード/ダウンロードしているかを可視化・制御するニーズが出てくる。ここで求められるのが機能③のCASB※6だ。SaaSの利用状況可視化により不正をけん制する。URLフィルタリングで十分ではないかという疑問もあるかもしれないが、インターネットアクセスを制限する方法では、DXの妨げになる。また、SaaS利用時の設定不備による情報漏洩防止のため、機能①のSSPM※7も必要だ。リスクになり得る設定・アクセス権限などをチェックできる。SaaSを多用する企業では基本的にCASBは必要とされているが、さらにSaaSに重要情報を預けている場合SSPMが有効だ。
●目的3:クラウドシフト対応(PaaS/IaaS)
PaaS/IaaSは、Web、開発・テスト用、分析用などさまざまな仮想環境(サーバー)構築時に利用される。ここで課題となるのが、どこにどのような環境があるのかを多くの企業で把握しきれていないことだ。把握漏れがあるとセキュリティ対策もできず、サイバー攻撃の踏み台、仮想通貨マイニングなどさまざまな目的で不正利用される恐れがある。
また、把握できていたとしても、設定ミス、脆弱性対策パッチの適用漏れなどのリスクがある。本来は、仮想環境についてもオンプレミス同様に資産管理を行い、対策するべきだが、それができていない企業は多い。各事業部門で利用時の契約を行うことが多く、セキュリティが置き去りになってしまうケースがあるのだ。
この課題を解決するのが機能①のCSPM※8/CWPP※9だ。PaaS/IaaS環境でのリスクがある設定や脆弱性などをチェック・可視化し、セキュアな利用を支援する。
製造業や情報通信業、流通業、サービス業など多くの業種でPaaS/IaaSが利用される中、特に利用時の契約が事業部門任せで管理が行き届かない企業で導入されている。
●目的4:リモートワークの実現
大規模企業を中心に、製造業、金融業、インターネットサービス業、情報通信業などリモートワークを活用している業種は多い。
このような業種では、機能③のZTNA※10(SDP※11)が利用される。アクセス元やアクセス先を問わずセキュアなアクセスを実現するZTNAの活用により、脆弱性対策や拡張性で課題のあるVPNを代替できる。
●目的5:拠点拡大、グローバル対応強化
ゼロトラストセキュリティは、クラウドベースのサービスを採用するため、多拠点、グローバルでの利用に適している。全拠点でのポリシーの統一や運用の一元化が可能であり、拡張性や柔軟性もあるからだ。業種や規模はさまざまだが、中長期計画をしっかり立ててサステナブルな経営を目指す企業において、拠点拡大などに伴い導入されることが多いように感じる。
企業成長のためのゼロトラストセキュリティ
成長を目指す企業は、生産性向上を目的に、いつでもどこからでも企業インフラを活用できる環境を整えている。そのような企業にとってゼロトラストセキュリティは相性が良い。セキュリティ強化はもちろん、企業の成長も視野に、目的に合わせたゼロトラストセキュリティを導入してほしい。
※1 Endpoint Protection Platform:マルウェアの検知および感染防止を支援。
※2 Endpoint Detection and Response:エンドポイントのセキュリティ脅威を検知し、対応を支援。
※3 Unified Endpoint Management:企業のエンドポイントを一元的に管理。
※4 Identity and Access Management:クラウド上でアカウント管理・認証を実現。
※5 Secure Web Gateway:インターネットへのアクセスに対し、社内だけでなく社外の端末にも共通のポリシー、アクセス制御を適用。
※6 Cloud Access Security Broker:デバイスとクラウドサービスの間に設置し、利用状況の可視化や利用制御を実施。
※7 SaaS Security Posture Management:SaaSのセキュリティリスクの継続的な監視・チェック・管理を実現。
※8 Cloud Security Posture Management:PaaS/IaaSのセキュリティリスクの継続的な監視・チェック・管理を実現。
※9 Cloud Workload Protection Platform:クラウド上の仮想環境やコンテナを含む、ワークロードのセキュリティを保護。
※10 Zero Trust Network Access:アクセス元やアクセス先を問わずセキュアなアクセスを実現。
※11 Software Defined Perimeter:ユーザー/グループごとに細かくアクセスを制御し、必要なアクセスのみを許可。