ゼロトラストセキュリティへの取り組みを、無理なく確実に進めるためには、何から手を付ければいいのか。2人のセキュリティエキスパートに、企業が取るべき具体的なアクションを教えてもらった。
「ゼロトラストセキュリティ」への注目度が急上昇している。だが、何を目指し、具体的に何をすればいいのか。NRIセキュアテクノロジーズ(以下、NRIセキュア) マネージドセキュリティサービス事業本部MSS事業開発部の主任ITセキュリティコンサルタント、永澤惇氏と、Netskope Japanエバンジェリストの白石庸祐氏に聞いた。
テレワーク全社導入で、境界型セキュリティが課題に
――「ゼロトラスト」は注目されていますが、イメージしにくいきらいがあります。どのように考え、どのようなアクションにつなげていくのがいいと思いますか?
永澤氏 「テレワークの全社導入では、全従業員に従来型のクライアントVPNアクセスを提供すべきか」を検討することがいいきっかけになると思います。従来型のVPNでは、「ゲートウェイ装置にアクセスが集中し、性能限界に陥る」「運用管理が面倒」「VPNを経由してクラウドなどへアクセスする形態ではWAN帯域を無駄に消費し、遅延が発生する」といった課題が生まれます。しかも、従来型のVPNを使い続ける発想では、これまでの境界型ネットワークセキュリティの限界を打破できません。
「企業の施設内にいるユーザーが、社内のITシステムのみを利用する」という前提で構築された境界型セキュリティは、クラウド利用やリモートワークの拡大に伴って、有効性が低下し始めています。「ゼロトラスト」は、これまでの境界型ネットワークセキュリティを新たな時代に合う姿に変えていくために役立つコンセプトだと思います。
Netskope Japanエバンジェリスト 白石庸祐氏
白石氏 そうですね。ユーザー/ユーザー端末、業務システム/業務データの双方が、ますます社外に存在するようになると、「社員だから」「社内だから」といった理由で通信を信頼することはセキュリティリスクに直結します。まず「信頼しない」という前提で、きめ細かな可視化と制御を進めるしかありません。「ゼロトラスト」はこのように、組織のセキュリティにおける発想の転換を促してくれるコンセプト、あるいはアーキテクチャだと思います。
より具体的には、調査会社ガートナーが提唱する「SASE(Secure Access Service Edge)」という新たなネットワークセキュリティのカテゴリーに基づいて考えると分かりやすいと思います。SASEは、クラウドによるエッジサービスで、ネットワークとそのセキュリティを統合制御するものです。これまで、企業のインターネットとの接続境界で実行してきたセキュリティ機能やクライアントVPNを移行し、さらにユーザーの行動をきめ細かくチェックし、制御できるようにする道筋を示してくれます。
権限管理と認証をどう実現するか
――具体的に組織は、何をやるべきなのでしょうか?
白石氏 最低でもやるべきことは、オンプレミス/IaaS上に展開しているアプリから、職場で正式に採用している「認可クラウド」、シャドーITとしてのクラウド、一般的なWebアクセスまでをまとめて、最小限の権限での利用を徹底することです。管理には2つの側面があります。通信に着目した監視や制御と、ユーザーに着目した認証です。私が所属するNetskopeでは通信に基づく包括的な制御を提供します。認証に関しては、「IDaaS(Identity as a Service)」と呼ばれるような、他社のクラウド型認証サービスを組み合わせることができます。
Netskopeは、VPNの代わりとなるゼロトラストネットワークアクセス機能の「Netskope Private Access(NPA)」、次世代型の「セキュアWebゲートウェイ(SWG)」を用いて通信に着目した包括的な制御を実現します。NPAでは、アプリケーションやユーザーがどこにあっても、必要な人が必要なアプリケーションのみ利用できるよう、最小権限で制御ができます。次世代SWGでは、あらゆる端末からのクラウドおよびWebへの通信について、記録、可視化、制御ができます。
――そうした機能は、ガートナーもSASEが備えるべき主要な機能として取り上げています。一方、こうした機能を備えていると主張するベンダーも少なくないと思います。
白石氏 確かに、ゼロトラストネットワークアクセスやクラウド型のセキュアWebゲートウェイの機能を備える製品は複数あります。ただし、特にセキュアWebゲートウェイについては、あらゆるクラウドやWebへのアクセスをきめ細かく制御できるかという点で、機能には違いがあります。
特に注目していただきたいのは次世代SWGに内包される「Cloud Access Security Broker(CASB)」関連の機能です。CASBは、企業として利用を許可したクラウド、そうでない勝手に使われるクラウドの双方について、ユーザーの利用状況を可視化し、きめ細かな制御を適用できるというものです。
Netskopeでは、「CCI(Cloud Confidence Index)」というスコアリングの機能があり、シャドーITで使われているクラウドサービスのセキュリティのレベルを数値化して示せることが大きな特長です。また、アプリケーション/クラウドサービスの利用制御で、さまざまな方式に対応しているのも重要なポイントです。
例えば、PCにエージェントを展開したり拠点とNetskopeをつなぐ形で実現したりするクラウドプロキシ型の導入はもちろん、エージェント導入が難しい外部PCはリバースプロキシ機能により、IDaaSと連携してNetskopeを経由したクラウドとの通信を制御することもできます。また、主要なクラウドサービスはAPI連携を通じ、外部共有設定の制御や情報漏えい対策、脅威防御などを実現できます。
Webからオンプレミスのシステム、クラウドまで、従業員が利用する可能性のある全てのITサービスについて、アプリケーション単位で強制的な制御ができるという点で、高い評価を受けています。
また、これらを全て統一した管理画面、エージェント、ポリシーで管理できるという点も運用上のメリットになります。
例えば「マイナンバーが入ったファイルをクラウドにもWebにもアップロードさせたくない」場合などは、管理画面からそのポリシーをあらゆるクラウドとWebに適用するだけで実現可能です。
NRIセキュアテクノロジーズ
マネージドセキュリティサービス事業本部MSS事業開発部の
主任ITセキュリティコンサルタント 永澤惇氏
永澤氏 NRIセキュアも、Netskopeの次世代SWGの機能にはとても注目しています。企業におけるゼロトラストセキュリティへの取り組みは、最終的には従来のネットワークセキュリティの在り方を大きく変えるものになるため、中長期的視野で取り組む必要があります。
そこで、優先順位をどのように設定し、何から始めるかが大きな課題となります。次世代SWGとゼロトラストネットワークアクセスであるNPAの組み合わせは、最初の取り組みとして適しています。理由は、境界型ネットワークセキュリティの考え方が時代に合わなくなったことで生まれているセキュリティリスクへの、機動的な対処ができるからです。
CASBサービスにもいろいろありますが、特にNetskopeの持つ、豊富なクラウドサービスをカバーし、セキュリティリスクを評価するCCIや、多様なアプリケーション/クラウド/Webに対応し、きめ細かな制御ができる点は、機能の有効性に直接影響するポイントとして、弊社も重視しています。
――では、CASBを導入すれば、当面の問題は解決するということになりませんか?
永澤氏 CASBを、従来型のVPNに代わるゼロトラストネットワークアクセスと組み合わせるだけでも、CASBをポイントソリューションとして独立的に導入するのとは違いが出てきます。クラウドの評価、分析、利用可否の判断と、リモートからのアクセス制御については、ゼロトラストを目指した情報管理という観点からも、適切なポリシーや設定を入れて運用していく必要があります。
セキュリティポリシーの策定や監視を支援
――そうなると、「機動的な対処」は難しそうですね。ポリシー策定や導入後の運用では、組織にさまざまな負荷がかかりそうです。
永澤氏 CASBを含む次世代SWGでは、ユーザーのあらゆる動きを可視化し、インターネットからの不審なファイルや通信を包括的に監視できるようになるという点で、大きなメリットがあります。ただし、不審な動きをどのように監視し、これを制御につなげていくかについては、セキュリティに関する知識の質や体制、負荷が課題となることも事実です。
NRIセキュアでは、さまざまなセキュリティデバイスの設計、運用、監視をユーザー企業に代わって行うサービスを提供しています。24時間365日の監視を行い、取得したセキュリティ関連情報を基に対処方法や設定のチューニングについてアドバイスを実施します。
――例えばCASBに関しては、どのような支援を提供しているのですか?
永澤氏 CASBの活用は、従業員によるさまざまなクラウドサービスの利用状況を可視化するところからスタートします。可視化は容易ですが、その分析や実装、実行を適切に実施するのが難しいという課題があります。
Netskopeは、前述の通り豊富なクラウドサービスをカバーしたCCIによるリスクの数値化が重要な特長ですが、示されるスコアは、そのクラウドサービス自体がどのようなサービス品質/セキュリティ上のリスクがあるかを示しています。一方、組織は、クラウドサービス自体の評価に加え、自社の状況を踏まえた情報漏えいなどのセキュリティリスクを評価する必要もあります。アプリケーションごとに制御方法を検討し、詳細なポリシーを策定しなければなりません。設定で不具合が生じた場合には、対処も求められます。
そこでNRIセキュアでは、「Netskope CASB運用支援サービス」を提供しています。このサービスでは、クラウドサービスの利用状況やトラフィック状況を確認、分析した「利用状況分析レポート」を定期的に作成します。セキュリティリスクに対する方針を提言することで、CASBの運用サイクルを支援します。さらに、Netskopeの設定変更も実施します。例えば、利用すべきではないと判断されたクラウドサービスをお客さまからのご依頼を受けて、Netskopeのクラウドプロキシで遮断するなどの設定をします。
2020年度中には、サンドボックスを利用したマルウェアチェックなど、Netskopeの脅威防御機能での検知を、弊社のアナリストが24時間365日で実施するサービスを追加提供する予定です。