ゼロトラストを深く掘り下げる
企業はもはや、過去に一般的であった城塞モデルに頼ることはできません。これからはゼロトラストネットワークの時代です。
映画『アンタッチャブル』でショーン・コネリー扮する世間擦れした警官は、ケビン・コスナーが演じる主人公に禁酒法時代のシカゴの現実を教えます。世間に対する最初の教訓は、「誰も信用するな」というシンプルなものでした。
セキュリティの世界において、特に信頼に関する従来の前提を考え直す際には、同じように率直なアプローチを取る必要があります。セキュリティに関する旧式のアプローチでは、ユーザーの信頼性をネットワークの境界で認証し、判断していました。そこで信頼できると判断された場合にはアクセスが許可され、そうでない場合にはアクセスが拒否されました。しかし残念ながら、完全な信頼を確立することは決してできません。
そうこうしている間に侵入者によって壁が破られ、境界ベースのセキュリティの内側に侵入されたことにより、かつて普及していた城塞モデルのアプローチでは対処しきれないことが明らかとなったのです。これを受けて、企業がセキュリティを確保できるように、データを中心とした包括的な新しい手段の模索が業界内で始まりました。
以前のブログで取りあげたように、セキュリティ対策を強化するために従うべき実用的なブループリントとして、企業の多くは Forrester 社のゼロロトラストモデルへ移行しています。ゼロトラストでは、脅威が常にあらゆる方向、つまり社外と社内の「両方」から迫ってくることを前提にしています。これから、ますますクラウドやモバイルを中心に展開される環境において、もはや境界は存在せずデータはあらゆる場所に分散されます。
そのため、データ自体にきめ細やかな保護を適用し、データのあらゆるアクセスポイント(モバイルデバイス、クラウドワークロード、企業ネットワークなど)で制御することが不可欠になります。
今後のブログで、ゼロトラストを構成する主な「柱」を 1 つずつ細かいところまで説明します。この記事では、ネットワークセキュリティ制御という観点から、ゼロトラストが持つ意味について少し詳しく触れたいと思います。では、以降でゼロトラストネットワークについて説明します。
ゼロトラストネットワーク
ゼロトラストネットワークでは、ネットワーク境界内にいるユーザーであっても、誰一人として自由に出入りすることはできません。実際のところ、ネットワーク全体を囲む境界は存在しません。ネットワークはいくつにも分割されています。その結果、小さい境界をたくさん持つ微細に分割されたネットワークが構築されます。
このような微細に分割されたリソースにアクセスしようとするユーザーやデバイスからのリクエストに対しては、厳重に認証を行う必要があります。さらに、こういった境界内のデータを機密性に応じて分類し、最も機密性の高いデータを暗号化すれば、セキュリティがより高まります。そして、許可されたユーザーのみがクラウドのデータにアクセスできるようにします。当然ながら、状況は急速に変わることがあります。このため、最新のゼロトラストネットワークの一部として、ユーザーを監視する機能や、このような可視性と、ふるまいのリスクスコア、デバイスの種類、ユーザーの場所といった要素を根拠に、ネットワークセグメントへのアクセス権を調整する機能の導入を検討する必要があります。
最新のネットワークは、データセンターからクラウドへ拡張されています。つまり、データの細分化と制御の原則を、そこにも適用する必要があります。そして、Web についても考えてみてください。ユーザーがアクセスする必要のない Web ページはないでしょうか。また、ユーザーが業務を行うために閲覧する必要がある Web ページのうち、アクセスに不安を感じるようなページはないでしょうか。Web もまた、リスクを考慮して細分化し、データのやり取りとアクセスを監視して厳重に制御しなければなりません。
このようなすべての領域での目標は、ネットワークセグメントへのアクセスに適用する制限や厳密な制御の範囲を拡大して、セキュリティの脅威に対して無防備な状態を作らないようにすることです。さらに、企業の防御を破り、犯罪者に侵入された場合に生じるおそれのある損害を最小限に抑えることも目標です。
このような細分化とアクセス制御に加え、ソースを問わずにネットワークトラフィックをスキャンおよび監視して、脅威がないかをチェックする必要があります。Web ゲートウェイは、暗号化トラフィックの中に潜んでいるおそれのあるマルウェアをスキャンする機能を持ち、そのような最も困難で手間のかかる多くの処理を行うことを目的に設計されています。そして、Web ゲートウェイはゼロデイの脅威を阻止するために、トラフィックをサンドボックスなどのツールに統合することができます。また、業界最高クラスを誇る脅威隔離などのツールを備えた電子メールゲートウェイを使って、私たち全員が直面するフィッシング攻撃を阻止します。リアルタイムの正確な脅威インテリジェンスを活用するこういったツールを、ゼロトラストネットワークのアプローチに加える必要があります。
多くの企業が、セキュリティ対策の強化に向けて従うべき実用的なブループリントとして、Forrester 社のゼロトラストモデルへの切り替えを進めています。
労力に見合う成果
では、時間と労力そして特に投資を増大してまで、なぜゼロトラストモデルに適合するようにネットワークを刷新するする必要があるのでしょうか。ゼロトラストを採用している企業は綿密な計算をした結果、ゼロトラストモデルに合わせてネットワークをアップグレードする投資支出よりも、データ侵害で被るコストのほうが大きくなると判断しています。データ侵害が発生した場合、ネットワークの細分化とデータの隔離が実施されていれば、その影響を最小限に抑えられることをそういった企業は理解しているのです。
同時に、ゼロトラストネットワークの監視とフォレンジックを使い、侵入者と侵入者による影響を特定し、それらを阻止するための緩和手順も自動化しなければなりません。そこから、自動化によってネットワークの修復作業や他の制御ポイント(モバイルデバイスなど)を統合して、企業のセキュリティ体制を適切なレベルまで戻すことができます。
その他のメリットとして、ゼロトラストを採用することで企業は、対応を迫られている厳格なコンプライアンス要件を満たすことができます。たとえば、データを保護し、デバイスやネットワーク上で実行する ID の制御やアクセス制御などに関するコンプライアンスを確保できます。企業はゼロトラストの取り組みと、遵守すべきさまざまなコンプライアンス規定を効果的に関連付けています。
ゼロトラストネットワークでシマンテックが選ばれる理由
シマンテックは、バラエティに富んだセキュリティソリューションを用意しており、独自の方法でゼロトラストネットワークのアプローチを導入するために欠かせない豊富な機能を提供しています。シマンテックが提供する主なテクノロジは、以下のとおりです。
- セキュアな Web ゲートウェイと電子メールゲートウェイ
- 脅威の隔離とネットワークのサンドボックス
- Network Forensics と暗号化トラフィックの管理
- Information Centric Encryption および Data Loss Prevention(DLP)
- クラウドアプリケーションセキュリティ
- ユーザーふるまい分析
- SD-WAN
さらに、ファイアウォールテクノロジに強いFortinet 社とシマンテックがパートナー関係を結んだことにより、Fortinet 社の業界トップクラスの次世代ファイアウォールが、シマンテックのクラウド型ネットワークセキュリティサービスに導入される予定です。
企業がゼロトラストネットワークを支える中心的要素の先を見据えるときに、シマンテックがゼロトラストの他の領域で生じるニーズにも対応していることをご理解いただけます。シマンテックのインテグレーテッド サイバー ディフェンス(ICD)で実現している幅広く深いレベルでの統合こそ、Forrester 社が Zero Trust Extended(ZTX)Ecosystem Wave でシマンテックをリーダーに選出した主な理由です。シマンテックのポートフォリオがゼロトラストフレームワークにどのように対応しているのかについて詳しくは、シマンテックのゼロトラストに関するページをご覧ください。
シマンテックは、ゼロトラストへの投資を進めるお客様を支援しています。詳しい情報について、ぜひお問い合わせください。このブログのゼロトラストネットワークに関する説明が皆様のお役に立てれば幸いです。今後も、お客様やパートナー様からのゼロトラストについてのお問い合わせをお待ちしております。
We encourage you to share your thoughts on your favorite social platform.