セールスセンター2024.06.07
世界一簡単なゼロトラスト解説!関連する製品群と頻出の保護領域を見える化して考えてみた
シマンテックでは、製品を利用中・利用をご検討中のお客様向けに、役立つ情報を提供するオンラインセミナーを定期的に行っています。
今回は、Symantec World 2024内のWebセミナー「世界一簡単なゼロトラスト解説 ~セキュリティよくある疑問スッキリ解消セミナーVol.3 出張編~」より、現代のセキュリティにおいてのゼロトラストについてSB C&S(株)ゼロトラスト推進室の竹石さんに解説いただきます。
この記事を読むのにかかる時間:約9分
安心と安全を提供する Symantec
本日のテーマ
本日のセミナーでは、ゼロトラストについてお話を伺っていきたいのですが、竹石さんの所属されているゼロトラスト推進室とはどのような部署になるのでしょうか?
はい、主に取り扱う製品の選別や、オーダーメイドでの製品提案、またセキュリティのエヴァンジェリスト活動(※)などをさせていただいております。シマンテック専任ではないため、本日は一般的な観点からセキュリティやゼロトラストについてお話させていただければと思います。よろしくお願いいたします。
※エヴァンジェリスト活動:元来は「伝道者」の意だが、IT業界では新しい技術やトレンドについて中立的な立場から大衆向けに知らせるための活動のこと。
よろしくお願いいたします。それでは、本編を進めていきましょう。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
よくある疑問①:ゼロトラストセキュリティはなぜ流行っているの?
ゼロトラストが流行した理由
最初に、ゼロトラストセキュリティを耳にするようになって数年が経っていますが、その始まりや流行した理由についてお話しいただけますか?
はい。流行したのは4年ほど前になりますが、言葉自体は相当前からあります。なぜ4年ほど前から急にもてはやされてきたのかといいますと、やはり、コロナの影響が大きいです。テレワークが活発になったり、テレワークを利便性高く行うためにさまざまなSaaSを導入されたりした企業も多かったと思います。そうしてIT環境が大きく変革したことで、従来型のセキュリティでは情報資産を守り切れないと判断した企業が増えたことが、ゼロトラストセキュリティという考え方が広まったきっかけだったと思います。
ありがとうございます。確かにコロナ以前と以後では働き方も大きく変わりましたよね。それに合わせてセキュリティも大きく変わったということですね。
そうですね。今までLAN内に集まっていたPCが自宅などにも散らばっていき、その中で本当はアクセスしてはいけないサイトにアクセスしたり、使ってはいけないサービスを使ったりといったことが起きていきました。また、クラウドサービスの採用も進み、自社のデータセンターに集約して一元的に管理していた情報が散らばってしまい、誰がどこにアクセスしているのか、何をしているのかを可視化・制御できないということになっていきました。こうした中でゼロトラストセキュリティが広がっていったというところです。
ゼロトラストとは?
なるほど。ゼロトラストとは、具体的にはどのようなものを指すのでしょうか?
ゼロトラストがどのようなものか、具体的に指すとするとNIST(※) SP 800 207がわかりやすいです。本来、ガイドラインはすごく長いのですが、207番で要約したものを紹介しています。それが図の7項目です。
※NIST:米国国立標準技術研究所の略称。SP800シリーズは特にコンピュータセキュリティについての研究やガイドライン。
なるほど。これは、やはりハイライトされている部分がポイントですか?
そうですね。スライドだけでは味気ないので、少し説明していきますね。⑤⑥はおおよそわかると思いますので割愛します。
①全てのデータソースとコンピューティングサービスをリソースとみなす
PCやサーバーだけではなく、IoTデバイスやOT(※)、クラウドサービスなども含めてセキュリティの対象としていくということ。
※OT:Operatioal Technologyの略で、工場などの設備を動かすための制御用の技術や機器。
②ネットワークの場所に関係なく、すべての通信を保護する
場所を問わずに均一のセキュリティを提供していくということ。
③企業リソースへのアクセスをセッション単位で付与する
VPNのように接続後はアクセスについてチェックしない仕組みではなく、セッションが発生するごとに確認してアクセスを制御するという仕組みにすること。
④リソースへのアクセスはクライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
IDとパスワードだけでなく、行動や環境の属性、マルウエア感染の有無などのさまざまな要素を鑑みて動的にポリシーを変更させるということ。
⑤全ての資産の整合性とセキュリティ動作を監視し、測定する
⑥全てのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
⑦資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
さまざまな情報を収集して、PDCAを回していくということ。一度決めたものが1年後も正しい、適切に機能しているとは限らないため、確認を定期的に行い続けること。
「暗黙の排除」がキーポイントとのことですが、少し詳しく説明をお願いできますか?
たとえば、今までなら「ファイアウォールの内側にいるので大丈夫だろう」とか、「IDとパスワードは確認できているから大丈夫だろう」とか、そういうことですね。境界型で大丈夫とされている、曖昧な部分を白黒はっきりさせていくという意味合いです。
こうしたことを1つ1つ、ちゃんと見ていくというイメージで合っていますか?
はい、その理解で大丈夫です。今、いろいろなベンダーが「うちの製品を入れればゼロトラストに近づけますよ」ということを言っていると思うのですが、ゼロトラストは自社にとっての最適解をオーダーメイドで取り組んでいかなければなりません。ですから、特定の製品を入れれば何とかなるというものではないということをぜひ覚えておいていただけたらと思います。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
よくある疑問②:ゼロトラストセキュリティは何から取り組んだらいい?
ただ、セキュリティの領域ってすごくたくさんあって、何から取り組んだらいいのかわからないという声も多いですよね。
はい、ゼロトラストにはどんな機能が必要なの?という話になるのですが、図はセキュリティ機能のマッピングで、こうした相談を受ける際に持って来いなので、こちらで説明していきたいと思います。
お願いします。
図は中央の「Security」を中心にセキュリティ領域を分類してマッピングしたものでして、ざっとこんな感じで分類しています。
- Onprem。オンプレミスのセキュリティ
- 右側(中~下):Cloud base Security。セキュアなWebアクセスのための技術。
- 下側:Cloud Native。クラウドシステムのための高度なセキュリティ機能。
- 左側:CTEM。攻撃者視点を基にしたセキュリティ機能
最終的に末端がその領域におけるソリューションになっています。
保護対象だけでなく、攻撃者側の視点も必要なのですか?
攻撃者がたとえば標的型攻撃をする場合、インターネット上のいろいろな情報を収集した上で攻撃を仕掛けてきます。ドメインや、インターネット上に露出している資産は何か、悪用できる脆弱性は何かといった情報を集めて、それを基にエクスプロイトコードを作成しています。ですので、同じ目線をもって防御側でも情報を集めて、それをもとにして防御していこうという考えがあります。このCTEMの分野は今のセキュリティでホットな領域の1つですね。
なるほど。すごいですね。竹石さんはお客様とゼロトラストはどこからやったらいいかという話になった場合、どのようなお話をされていますか?
ゼロトラストはオーダーメイドで提案する必要がありますので、安直にEDRやSASE(※)を入れておけばいいというような提案はしません。今、(お客様の環境で)どのようなセキュリティ機能が有効になっているのか、ツールが使われているのか、従業員がどのような働き方をしているのか、クラウドサービスはいくつ使われているのか、重要な資産はどこに保護されているのか、といったヒアリングをしながら提案すべき領域を一緒に考えさせていただいています。
※EDR:Endpoint Detection and Response。端末内の不審な動きを検知し、対応を支援する機能。
※SASE:クラウド上でネットワーク保護のための機能を提供し、場所を問わず安全なネットワーク接続を可能にするための技術や機能。
では、たとえばコロナなどもあって「たくさんクラウドサービスを使っています」というお客様に対しては、どこの領域からのアプローチになりますか?
もちろんご予算や今のセキュリティツールの導入状況にもよりますが、たとえばCloud NativeにPafeCloudやAWS、Azure、GCPなどを使っていて、EKSやAKS(※)をゴリゴリに使っているとします。図の下の部分、CNAPPの部分からアプローチします。もしあらゆる資産をクラウドにリフト(※)しているというお客様であれば、右側のSASEなど、あたりをつけて提案させていただいております。
※ EKS、AKS:オーケストレーションツールのKuberutenesをクラウド上で管理するためのサービス
※ リフト:オンプレミス環境で稼動するシステムをそのままクラウド環境に移行すること。クラウドリフト。
なるほど。
次に、ゼロトラストで頻出の領域についてです。現在、ゼロトラストを実現するとなるとマップの機能のすべてが必要と言っても過言ではない状況です。これはゼロトラストの解釈がさまざまだからです。そのため、どこから手をつけたらいいのかという話になった場合、弊社ではこのような形でヒントというかアドバイスをさせていただいております。弊社では、年間にゼロトラスト関連の提案や商談が年間で700件ほどありますので、それをもとに傾向を分析し、先ほどのNIST SP 800 207を弊社で解釈し、特に重要分野としてまとめたのがこちらの図です。
なるほど。たとえば、この中でシマンテックのEPPやEDRを使っているといった場合には、次はこういう風にしたらいいという話も具体的にできるのでしょうか?
はい。さらに従業員数やセキュリティの専任担当者の有無、テレワークやクラウドサービスの導入状況、拠点の数などをお伺いし、図から導入状況を可視化して抜けているポイントを絞り込むといったことをしながら提案しております。
ありがとうございます。シマンテックの製品では、この図のどのあたりをカバーしている、みたいなものはあるのでしょうか?
では、図を見ながらやってみましょう。シマンテックの製品ということでは、こんな感じでしょうか。
EPP:SES(Symantec Endpoint Security)、SEP(Symantec Endpoint Protection)
EDR:SESC(SES Complete)
MTD:Moblie Thread Defense(SESの機能)
Mail(オンプレミス):SMG(Symantec Messaging Gateway)
Mail(ネットワーク):ESS(Symantec Email Security.cloud)
DLP(オンプレミス、ネットワーク、クラウド):Symantec Data Loss Prevention
プラスアルファでブロードコムが対応している領域を加えると、SASE/SSEの分野はWeb Protection Sweet(WPS。旧WSS)というパッケージの形で提供しています。ZTNAにCASB、SWG(※)などもあります。なので、このあたりも軒並みオッケーです。
※ZTNA:Zero Trust Network Access。IDやコンテキストに基づくアクセス境界を提供するサービス。
※CASB:クラウドサービスの利用状況を可視化、管理できるサービス。
※SWG:社外へのネットワークアクセスを安全に行うためのプロキシ。
プラスアルファで、直近発表された内容になりますが、ブロードコムがVMwareを買収して、VMwareで提供していたVelocloudをWSS(SSE)と連携させていくという方針です。以前はSSEだけだった部分が、SASEで全部提供できるようになっているというイメージです。
ありがとうございます。では、最後にまとめをお願いします。
わかりました。現在、単一のベンダーがSASEを提供していこうという考えを打ち出しており、ブロードコムでも実現できています。加えてCSPM、Cloud Security Posture Managementの略ですが、パブリッククラウドの設定ミスやスタンダードへの準拠状況を可視化するものです。また、CWPPはクラウドのワークロードを保護するためのサービスです。XDR、さまざまなセキュリティツールを個別にではなく一元管理して運用を効率化するためのサービスもあります。
ゼロトラストの頻出領域を図に紐づけると、こういった形になります。図で見ると、認証の部分以外はほぼフォローできているので、シマンテックもゼロトラストを構築していく上での有力な選択肢と見て間違いないかと思います。
安心と安全を提供する Symantec セキュリティソリューション資料をダウンロード
本⽇のまとめ
- ゼロトラストセキュリティは昨今のIT環境の変化の中で、従来型の境界防御に代わるセキュリティの考え方として登場した。
- ゼロトラストセキュリティの考え方についてはNIST SP 800 207にある7原則を参考にするとよい。
- ゼロトラストは自社にとって最適な取り組み方を考えていくべきで、現状は、特定の製品を入れれば実現できるというものではない。
- ゼロトラストに取り組む際は、自社の環境や、使用中のセキュリティ製品のカバーしている範囲を把握することが大切。
- 単一のベンダーでSASEを提供しようという動きが強まっており、シマンテック(ブロードコム)でも実現可能。シマンテックは認証に関する部分を除き、ゼロトラストの頻出領域をカバーしている。