フォーム読み込み中
コロナ禍で再注目されるゼロトラストセキュリティとは
共通プラットフォーム開発本部 エンタープライズクラウド開発第2統括部
西澤 和正
エンタープライズ企業や自治体向けのプラットフォーム設計・構築、ソリューション企画・開発の経験を活かし、セキュリティやネットワークを含むマルチクラウド活用のベストプラクティスを提供しています。また、昨今では、AIや最新のクラウド技術を活用したソリューション提供を通して、業務の効率化とデジタルトランスフォーメーション(DX)実現に貢献しています。
2021年6月4日掲載
前回のコラムでは、コロナ禍のセキュリティ対策を踏まえながら、境界モデル(ネットワーク分離)とゼロトラストセキュリティモデルの対比のお話をしました。
関連記事リンク
新型コロナウイルスの影響により、わずか一年程度の間に、従来のオンプレミスを主体としたモバイル・クラウドの活用から、一気にモバイルとクラウドが主体となり、オンプレミスはレガシー資産へと変化してしまいました。
従来はSSL-VPN等で接続すること信頼できる端末扱いにしてきたモバイル端末が、業務の主体となりました。またパブリックのマルチクラウド環境が業務システムのプラットフォームとなっています。
モバイル端末からSSL-VPNで社内ネットワークに接続し、再び、仮想のプライベートクラウドを作成したクラウド環境に閉域網で接続するというネットワーク設計は、非常に非効率であり、最適な設計とはいいがたい状況になってきました。
このため、一過性のバズワードとも思われた「ゼロトラストセキュリティ」を、多くの情報システム管理者は無視できなくなってきました。
まず、ゼロトラストセキュリティについて、NISTの定義を参考に、簡潔に表すと「アクセス要求の『信頼』を実現するために必要な情報を収集して、アクセス要求の『信頼』を実現すること」となります。
参考:NIST Special Publication 800-207 Zero Trust Architecture https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
既存のアセットからゼロトラストセキュリティを読み解く
情報システム管理者の視点で、慣れ親しんだ要素で少し整理してみます。「アクセス」の要求元のデバイスとは概ね以下のことになります。
・企業貸与のデスクトップまたはノートPC
・企業貸与のモバイルデバイス(スマートフォン、タブレット)
・同等の扱いを承認されたBYOD
企業によっては、Windowsデスクトップは次の二段階で構成されることも多いでしょう。
・Windows仮想デスクトップ
・シンクライアントまたは代用としてのBYODデバイス
これらが「アクセス」する資産(データとコンピューティングリソース)とは、以下が挙げられます。
アクセス要求の信頼を実現するために、ゼロトラストセキュリティ対応を謳う製品を眺めてみると次のように分解できると思います。
・SSL-VPN等リモートアクセスサービス
・UTM製品
・無線LAN等ネットワーク機器
・CASB
結局のところ、従来のネットワークセキュリティを実現する製品群であり、ゼロトラストセキュリティが単一のプロダクト製品で実現するものではないこと、また、すべてのデバイスとアセットにゼロトラストセキュリティを実現することが難しいことは想像ができます。
多くの有識者はゼロトラストセキュリティとは製品ではなく、設計であると説明しています。ゼロトラストセキュリティモデルを実現するために重要なポイントであるのが従来のVPNを置き換えるソリューションとなるのがゼロトラストネットワークアクセス(ZTNA)であり、ネットワークサービスを展開する各社から展開されています。
企業が保有するアプリケーションへのアクセスをZTNA対応ソリューションを介しておこなうように構成することで、ID、コンテキスト、ポリシー遵守を確認し、アクセスを許可することでアプリケーションをネットワーク、つまりサブネットやIPアドレスによらない境界で保護しようという考え方をとっています。
従来のSSL-VPN等のVPN、仮想デスクトップへのリモートデスクトップ接続、Linux等へのSSH等のレガシーな接続を、Cloudflare Accessに置き換えることで、ネットワーク境界の中で踏み台となるWindowsデスクトップのサブネットやIPアドレスに基づいてアクセスを信頼するモデルの依存比率を下げていこうという考え方になります。
ZTNA対応ソリューションは、従来のSSL-VPNの課題を解決しながら、ゼロトラストセキュリティモデルへの移行を促進します。
ゼロトラストセキュリティの段階的実現アプローチと残されるもの
ゼロトラストトラストセキュリティは製品ではなく設計であると先ほど述べました。ZTNA対応ソリューション等を活用しながら、システム管理者は既存の業務システムやオフィス業務の段階的な移行を考えていく必要があります。 ある日から組織のシステムはすべてゼロトラストセキュリティに変更しますということは実現が難しく、数年かけて、ニューノーマルに適した設計にシステムを段階移行していくことでゼロトラストセキュリティ実現が可能になります。
さて、現実的にはゼロトラストセキュリティとは別に、当面ハイブリッドの名目で残さざるを得ないワークスタイルがあります。それがMicrosoft系のアプリケーションを中心としたオフィス業務、Microsoft Officeの存在です。
そこで次回のコラムでは、Windowsデスクトップについて解説します。
関連記事リンク
関連サービス
西澤 和正
ソフトバンク株式会社
クラウドエンジニアリング本部 PaaSエンジニアリング統括部
大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供を行う。
資料ダウンロード
ゼロトラストに関するホワイトペーパー公開中!
【事例付き】
脅威から企業を守るゼロトラスト
Q&Aで読み解くゼロトラスト
おすすめの記事
条件に該当するページがございません
