セキュリティ分野におけるお客様の課題解決や、最先端のセキュリティ製品を利用したサービスの企画を担当しております、大塚です。
近年、クラウドサービスをビジネスで利用することが当たり前のようになってきました。しかし、セキュリティの観点では、まだ多くの課題が残っています。そしてその課題を解決する1つの考え方として、「ゼロトラストセキュリティ」が提唱されています。
今回は、クラウドサービスとゼロトラストセキュリティがどのように絡み合うか、解説したいと思います。
目次
ゼロトラストを実現する CASB 製品、当社のおすすめはこちら
増加する、テレワークなど「ニューノーマルな働き方」を狙った攻撃
働き方改革や新型コロナウイルス(COVID-19)の影響により、テレワーク・リモートワークを推進する企業も珍しくありません。そんな中、セキュリティが脆弱な在宅環境を悪用して、企業ネットワークに忍び込む攻撃の危険性が注目されています。
IPA(情報処理推進機構)が2021年3月に発表した「情報セキュリティ10大脅威 2021」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場3位となっています。その要因の1つとして挙げられるのが、「VPN 等など、テレワーク用に導入している製品の脆弱性を悪用し、社内システムに不正アクセスしたり、パソコン内の業務情報等を窃取したりする」ことです。
そのため、テレワークの利用が一般的になるにつれて、クラウドサービスに対するセキュリティの重要性も増しているといえます。
ゼロトラストセキュリティとは
ゼロトラストセキュリティとは、その言葉通り、「何も信用しない」という意味を持ちます。具体的には、ユーザーが社内外を問わず企業ネットワークやシステムにアクセスする際、必ずそのユーザーや利用しているマシンに対して認証を行い、アクセス制御をかけてデータセキュリティ分析ですべてのログを検査することを必要とする仕組みになります 。
ゼロトラストセキュリティという概念の重要性が普及した背景には、従来の境界型セキュリティの概念だけでは安全とは言い切れなくなったことがあげれられます。例えば、ファイアウォールやサンドボックスなどを突破したハッカーがいる場合、内部ネットワークは比較的簡単に回遊し、機密情報や個人情報を集めて漏えいさせることができてしまいます。
また、テレワークの普及に伴い、ユーザーが社内外のどこにいるかを問わずネットワークや機密情報にアクセスするようになったのも、ゼロトラストセキュリティという概念の重要性が普及した理由の1つであると言えます。内部不正の事件も絶えることなく発生しており、IPA の「情報セキュリティ10大脅威 2020」では、内部不正による情報漏えいが2位にランクインしました 。
ゼロトラストセキュリティの歴史
ゼロトラストセキュリティという言葉は最近耳にするようになった方が多いと思いますが、実はその歴史は意外と長いことはご存じでしょうか?ゼロトラストは、1994年に命名された後、2003年の Jericho Forum(ジェリコ・フォーラム)によってセキュリティ対策として提唱されました。しかし、一般的に認識されるようになったのは、Forrester Research 社(フォレスター・リサーチ社)の John Kindervag 氏がセキュリティモデルとして語った2010年からでしょう。
また、2019年に英国の国家サイバーセキュリティセンター(National Cyber Security Centre、NCSC)が、クラウドサービスを展開する環境において、ネットワークアーキテクトがゼロトラストに基づいたアプローチを取るように勧めたことも、広く知られるようになった理由の1つであると考えられています。
ゼロトラストセキュリティの実現に必要な機能と、CASB の関係
Forrester Research 社によると、ゼロトラストを実現するソリューションは、下記の三つの機能を提供する必要があります。
1. 社内や社外など、場所に関係なくすべてのリソースに対し、セキュアにアクセスできる
2. 最低限の権限を提供するし、アクセス制御を厳格に管理
3. すべてのトラフィックに対するロギング・検査
ゼロトラストを実現するソリューションは複数の組み合わせが必要ですが、SaaS やクラウドサービスの利用状況の把握、セキュリティ面での管理を行う場合に最適な対策は CASB(Cloud Access Security Broker)になります。
CASB 製品の基本的な機能は、組織とインターネットの間における、クラウドサービスの利用を管理することです。クラウドサービスの管理には、「監視」と「制御」という2つの運用が必要です。監視と制御を行うことで、より安全な管理体制を実現できます。
1.クラウドサービスの管理に必要な「監視」
クラウドサービスは、ポリシーを適用する前はもちろん、適用した後も監視を続ける必要があります。
特に既知のクラウドサービスがどのように利用されているかを把握するためだけでなく、未知のクラウドサービス(シャドー IT)を利用している従業員がいないかを確認するためにも CASB が重宝されます。これは、ゼロトラストのロギング・検査の要件を満たします。
2.クラウドサービスの管理に必要な「制御」
従業員が実際にどのサービスを利用しているか分かった後は、管理を行う必要があります。従来のネットワークセキュリティの対策では URL フィルタリングやファイアウォール制御が一般的でしたが、近年で大きく変貌しているクラウド環境では URL が動的に変わるクラウドサービスや選別的に制御しづらい一般的なプロトコルを使うことから、従来の対策では対応しきれないのが実情です。
また、リモートや携帯端末からクラウドサービスを使うこともあることから考えると、社内外を問わず、クラウド利用を制御する必要があります。そのために、クラウドに特化したセキュリティゲートウェイである CASB が必要になります。これが、ゼロトラストモデルにおけるセキュア・アクセスやアクセス制御の要件を満たします。
ゼロトラストを実現する CASB 製品、当社のおすすめはこちら
当社がおすすめする CASB 製品とは
CASB 製品を選定する場合は、ゼロトラストモデルを実現するかだけでなく、その機能の豊富さも考慮する必要があります。例えば、その製品は既知のクラウドサービスやアプリケーションをどこまでカバーしているか、既知サービスのみならず、グレー領域(データ共有や漏えいに使われてしまう可能性)のサービス、さまざまな IaaS プラットフォームや年々問題となっているシャドー IT への対応ができるか、などです。
4年連続 CASB 製品の業界リーダーとして位置づけられている McAfee MVISION Cloud 製品は、上記の特徴を持つだけでなく、数万を超える既知のクラウドサービスに対応します。McAfee MVISION Cloud は、Microsoft 365 や Box、Slack などのビジネスアプリケーションのみならず、アマゾンウェブサービス(AWS) や Microsoft Azure などの IaaS にも対応し、フリーメールや個人のクラウドストレージのように、会社での使用がグレーゾーンのアプリ制御やシャドー IT の監視にも対応できます。
しかも、単なる CASB 製品としてではなく、高度な DLP(Data Loss Prevention)機能を保有し、日本語を含む文章でも機密情報が外部に漏えいされる前に検知して、アクセス制御もできます。
当社では、 McAfee MVISION Cloud のコンサルティングを行うサービス もご提供しています。ゼロトラストセキュリティや CASB の導入をご検討されている方は、まずはぜひお気軽にご相談ください。
関連ページ
ゼロトラストを実現する「McAfee MVISION Cloud」資料請求・お問い合わせはこちら |