ゼロトラストネットワークとは?
ゼロトラストは、アメリカの技術と調査分野で高い評価を誇るForrester Research社が、2010年に提唱したセキュリティモデルです。
ゼロトラストは複数のセキュリティツールを組み合わせてセキュリティレベルを上げるのが特徴です。
「全てのアクセスを信頼しない」との考えから、ユーザーやデバイス機器を問わずに毎回認証を求めます。
本人認証と安全性が確認できたアクセスしか、社内システムやクラウド上のアプリを利用できないので、不正アクセスのリスクを軽減できます。
また、ユーザーのアクセス地点もゼロトラストでは関係ありません。
本人認証とデバイス機器の安全性が確認できれば良いので、社内であろうが自宅であろうが働く場所は関係ないのです。
そのため、企業が現在推進している在宅勤務やリモートワークの導入を加速させるためのセキュリティソリューションとして注目されています。
ゼロトラストネットワークの3つの特徴とは?
アクセス権の最小化、認証機能、セキュリティ運用の効率化といった特徴があります。
アクセス権を最小化
社員が利用するデータファイルやWebサイトの閲覧範囲を限定します。
特にセキュリティ保護がされていないWebサイトは情報漏洩のリスクが高まり、場合によっては攻撃者が用意した偽サイトである可能性もあるため、情報漏洩の対策として有効です。
そして、業務上必要なデータファイルのみを閲覧できるようにすることで、内部流出のリスクを軽減します。
情報の持ち出しがしにくくなり、仮に情報流出が起きた場合は犯人が限定されるからです。
例えば、あなたが経理部に所属していたとしましょう。
業務上必要な従業員の個人データや入出庫データなどは閲覧できますが、技術者が閲覧できる図面や案件データ、営業マンが閲覧できる顧客データや売上実績、見積書などは閲覧できません。
社員のアクセス範囲を限定することで、内部漏洩防止とマルウェア感染の防止に効果が期待できます。
精度の高い認証機能
多要素認証を導入することで複数の認証をクリアしなければならず、社員IDやパスワードだけの認証よりも精度の高い認証機能を実現します。
多要素認証には、顔認証や指紋認証といった生体機能やスマートフォンのSMSを使った認証などがあります。
また、業務効率性を落とさないように、一つのIDやパスワードで他のデータファイルやアプリに使い回しができるシングルサインオンを、状況によっては適用するといった工夫も必要です。
効率的なセキュリティ運用も可能
SOC(Security Operation Center)やSOAR(Security Orchestration, Automation and Response)といったセキュリティツールの導入で、セキュリティ運用の自動化と効率的な運用を可能にします。
特にセキュリティ分野の人材確保に悩んでいる企業におすすめです。
SOCは、ファイアウォールや侵入検知システムなどの監視・ログ分析を行い、自社のシステムやネットワーク上の異常や不正アクセスの有無を監視します。
365日24時間リアルタイムで監視を行うだけでなく、SOCの構成スタッフはセキュリティ分野の知識と経験が豊富なプロフェッショナル集団です。
自社のセキュリティ監視を一任できるため、自社のセキュリティ部門の人材不足を補えます。
一方、SOARはセキュリティインシデントの情報を自動検知・収集するだけでなく、どの順番で対処するべきかユーザーに指示します。
ユーザーが行う処理は、クリックやキーボード処理などに留まり、複雑な処理は自動スクリプトで対応します。
人材不足を解消する効率的なセキュリティ運用を実現するだけでなく、初動対応ミスによるセキュリティインシデントの被害拡大を防ぐことが可能です。
GoogleがBeyondCorpを開発した理由とは?
現在の企業のリモートワークを支えているVPN(Virtual Private Network)や以前のセキュリティモデルの中心であった境界線型モデルでは、安心して作業できるネットワーク環境を社員に提供するのが難しいと考えたためです。
それぞれが抱える課題をみていきましょう。
VPNが抱える4つの課題
不正アクセスを許しやすい、通信の安定性、管理者への負担が大きいなど4つの課題があります。
不正アクセスのリスクが高まる
VPNの仕組みは、互いの拠点にルーターと仮想の専用線を置いて仮想ネットワークを作り出し、特定の拠点間の通信を実現します。
社外からのアクセスを受けるため、社内ネットワークへの侵入口を広く設定して公開しています。
そのため、攻撃者にとっては不正アクセスがしやすい状況です。
一方で、ゼロトラストの場合は、アクセス要求がユーザーからあったときだけ侵入口を用意しています。
そのため、攻撃者からの不正アクセスのリスクを軽減しています。
不安定な通信環境
データファイルやアプリにログインするためには、必ずVPNゲートウェイを経由します。
VPNゲートウェイは1:1の拠点間を結ぶためのものであり、1か所しか設置されません。
そのため、ユーザーからのアクセス地点、VPNゲートウェイの位置、社内ネットワークの位置関係によっては、通信経路が遠回りになります。
場合によっては別のネットワークも利用しないといけないため、スムーズな通信経路とは言えない状況です。
通信経路が遠回りになると、動作不良をはじめとする通信障害や通信速度の低下、通信コストの増大といったデメリットが生まれます。
管理者への多大な負担
海外展開している企業は、現地でのデータ通信を快適化するためにVPNゲートウェイを地域ごとに設置しています。
ですが、VPNゲートウェイのセキュリティ管理は各地域の管理者に委ねられており、本社側での実施レベルをどこまで反映できているか不透明です。
管理者にとっては本社との調整作業や地域に合わせた対応など、難しいかじ取りを迫られます。
また、本社との調整作業が難航してセキュリティ対策を十分取れずに不正アクセスを許した場合、その拠点を足掛かりに被害が拡大します。
攻撃者はセキュリティレベルの低い場所を当然狙ってくるからです。
海外展開をしている企業を中心にセキュリティレベルの低い拠点を狙うサイバー攻撃は増加しており、2019年に三菱電機がサイバー攻撃の被害に遭っています。
中国の拠点でVPNの脆弱性をハッカー集団に突かれて、従業員の個人情報や防衛省とのやりとりを含んだ機密情報が流出しました。
設定変更の柔軟性が低い
VPNはネットワーク機器のリソースを多く消費するため、適切なサイジングの製品を選ばないと安定した運用はできません。
キャパシティ以上のユーザー数を抱えた場合は、通信障害や通信速度の低下を招きます。
キャパシティ以上のユーザー数となった場合は、再度VPNを導入する必要があるのでコストの増大や業務の停滞を招きます。
ゼロトラストの場合はクラウド上で管理を行うため、ユーザーやデバイス機器の増加にも柔軟に対応可能です。
境界線型のセキュリティモデルの限界
「社内での利用=安全」、「社外でのアクセス=危険」との場所を明確に区分けした考え方の下、いかに社内ネットワークにマルウェアや不正アクセスといった脅威を防ぐかといった点に、重点が置かれていました。
ですが、近年の場所を問わない働き方の増加やサイバー攻撃の多様化によって、社内と社外で境界線を設定する意味合いが薄れてきています。
前者に関しては、自宅や顧客先といった社外から社内ネットワークへのアクセス機会が増加したため、社外でも快適で安全な作業環境が求められています。後者に関しては、攻撃者の技術向上によって脅威の侵入を完全に防ぐのが難しいため、「社内ネットワークへの被害をいかに最小限に抑えるか」といった視点での対策が重要視されています。
境界線型のセキュリティモデルでは、脅威が社内ネットワークへ侵入した対策がやや不十分であるため、被害が拡大する傾向にありました。
そうした背景からGoogleがBeyondCorpを開発したと考えられます。
BeyondCorpの3つの特徴とは?
VPNを使わないネットワーク構成、アプリによるアクセス権の付与、データ管理などが特徴です。
アクセスプロキシ―を利用してリモートワークを実現
アクセスプロキシーを用いて、クラウド上のアプリへのログインやユーザーとの通信を行います。
アクセスプロキシーとユーザーのやりとりは全て暗号化されており、攻撃者によるデータの改ざんや盗取を防ぎます。
他にもログ機能やウイルスチェック機能、DDos攻撃の検知といった機能が付いており、情報漏洩やサイバー攻撃への対策にも万全です。
デバイスインベントリーサービス
スマートフォンやノートPCなどのデバイス機器には、個体を識別するための電子証明書が入っており、正しい証明書を持っていないとアプリにログインできません。
また、管理エージェントも配布することで最新のOSやセキュリティソフトを利用しているか、スキャンを定期的に実行しているかなどの情報収集を行います。
デバイスインベントリーサービスでは上記で集めた情報を管理し、ユーザーがアクセスする際の本人認証やデバイス認証を確認するための役割を持っています。
アクセスコントロールエンジン
社内アプリへのアクセス制御を共通でコントロールするシステムです。
ユーザーやデバイス機器の情報を利用しながらユーザが持つアクセス権限を確認し、情報を社内アプリに送ります。
社内アプリはアクセスコントロールエンジンの情報に基づき、アクセス制限をユーザーに実施します。
アプリの利用制限は部署やグループごとに細かい設定が可能であり、業務の効率性を損なわない程度にバランスを見ながら利用範囲を決めることで、情報漏洩のリスクを軽減します。
BeyondCorpの3つのメリットとは?
テレワーク導入の推進、低コスト・短納期での導入可能といったメリットがあります。
テレワーク導入を加速
BeyondCorpはVPNの課題であった脆弱性や通信障害の不安を無くし、安全で快適な作業環境を提供しています。
あなたが仕事をする場所がカフェや自宅であっても、本人認証とデバイス認証の信頼性を実証できれば問題なく仕事ができます。
アクセスプロキシーがデータ通信を全て暗号化し、DDos攻撃をはじめとするサイバー攻撃やマルウェアを検知する機能も付いているので、第3者からのサイバー攻撃やデータ盗取を心配する必要もありません。
セキュリティ性が確保されてるので、現在未導入の企業や一部の社員にしか実施していない企業でもテレワークの導入が加速するでしょう。
低コストでの導入
1ユーザー月額約650円(6ドル)で利用可能です。
アプリやネットワーク接続もGoogleのコネクションを利用するため、低価格での利用が可能となっています。
セキュリティ対策への資金確保が厳しい中小企業でも十分に導入できる価格帯で、低コストでレベルの高いセキュリティ対策が実施できるでしょう。
短納期で導入可能
新たに導入が必要なオンプレミス技術や既存のシステムやアプリの構成を変更する必要がほとんどないため、数日間での導入が可能です。
導入までの期間が長いと、社員への業務負担の増大や業務効率が低下するので、業務への影響を最小限に抑えられます。
BeyondCorpの今後の動きとは?
エンドポイントでのセキュリティ機能を加えるとGoogleが発表しています。
ゼロトラストモデルを構成するセキュリティツールであるEDR(Endpoint Detection and Response )は、社員が利用するスマートフォンやノートPCといったデバイス機器をエンドポイントと位置づけます。
EDRは端末内のセキュリティ監視を可能にするだけでなく、マルウェアや不正アクセスといった感染源を検知・隔離する能力を持っています。
予防と感染後における両面でのアプローチから、セキュリティインシデントの被害を最小限に抑えることが可能です。
今後、関連会社や取引先と共同開発して業務を進める企業はクラウド上に業務で必要なデジタルツールを集約して、業務の進行状況や情報のやりとりを可視化する形が進むことが予想されます。
クラウド上に必要なツールはすべて揃っているので、働く場所は関係ありません。
テレワークの推進に伴い、働く場所がどこであっても安心して利用できる作業環境の構築が求められるので、GoogleのBeyondCorpを導入する企業はさらに増えるでしょう。
コメント