世界一簡単なゼロトラスト解説！関連する製品群と頻出の保護領域を見える化して考えてみた

本日のセミナーでは、ゼロトラストについてお話を伺っていきたいのですが、竹石さんの所属されているゼロトラスト推進室とはどのような部署になるのでしょうか？

はい、主に取り扱う製品の選別や、オーダーメイドでの製品提案、またセキュリティのエヴァンジェリスト活動（※）などをさせていただいております。シマンテック専任ではないため、本日は一般的な観点からセキュリティやゼロトラストについてお話させていただければと思います。よろしくお願いいたします。

※エヴァンジェリスト活動：元来は「伝道者」の意だが、IT業界では新しい技術やトレンドについて中立的な立場から大衆向けに知らせるための活動のこと。

よろしくお願いいたします。それでは、本編を進めていきましょう。

最初に、ゼロトラストセキュリティを耳にするようになって数年が経っていますが、その始まりや流行した理由についてお話しいただけますか？

はい。流行したのは4年ほど前になりますが、言葉自体は相当前からあります。なぜ4年ほど前から急にもてはやされてきたのかといいますと、やはり、コロナの影響が大きいです。テレワークが活発になったり、テレワークを利便性高く行うためにさまざまなSaaSを導入されたりした企業も多かったと思います。そうしてIT環境が大きく変革したことで、従来型のセキュリティでは情報資産を守り切れないと判断した企業が増えたことが、ゼロトラストセキュリティという考え方が広まったきっかけだったと思います。

ありがとうございます。確かにコロナ以前と以後では働き方も大きく変わりましたよね。それに合わせてセキュリティも大きく変わったということですね。

そうですね。今までLAN内に集まっていたPCが自宅などにも散らばっていき、その中で本当はアクセスしてはいけないサイトにアクセスしたり、使ってはいけないサービスを使ったりといったことが起きていきました。また、クラウドサービスの採用も進み、自社のデータセンターに集約して一元的に管理していた情報が散らばってしまい、誰がどこにアクセスしているのか、何をしているのかを可視化・制御できないということになっていきました。こうした中でゼロトラストセキュリティが広がっていったというところです。

なるほど。ゼロトラストとは、具体的にはどのようなものを指すのでしょうか？

ゼロトラストがどのようなものか、具体的に指すとするとNIST（※） SP 800 207がわかりやすいです。本来、ガイドラインはすごく長いのですが、207番で要約したものを紹介しています。それが図の7項目です。

※NIST：米国国立標準技術研究所の略称。SP800シリーズは特にコンピュータセキュリティについての研究やガイドライン。

なるほど。これは、やはりハイライトされている部分がポイントですか？

そうですね。スライドだけでは味気ないので、少し説明していきますね。⑤⑥はおおよそわかると思いますので割愛します。

「暗黙の排除」がキーポイントとのことですが、少し詳しく説明をお願いできますか？

たとえば、今までなら「ファイアウォールの内側にいるので大丈夫だろう」とか、「IDとパスワードは確認できているから大丈夫だろう」とか、そういうことですね。境界型で大丈夫とされている、曖昧な部分を白黒はっきりさせていくという意味合いです。

こうしたことを1つ1つ、ちゃんと見ていくというイメージで合っていますか？

はい、その理解で大丈夫です。今、いろいろなベンダーが「うちの製品を入れればゼロトラストに近づけますよ」ということを言っていると思うのですが、ゼロトラストは自社にとっての最適解をオーダーメイドで取り組んでいかなければなりません。ですから、特定の製品を入れれば何とかなるというものではないということをぜひ覚えておいていただけたらと思います。

ただ、セキュリティの領域ってすごくたくさんあって、何から取り組んだらいいのかわからないという声も多いですよね。

はい、ゼロトラストにはどんな機能が必要なの？という話になるのですが、図はセキュリティ機能のマッピングで、こうした相談を受ける際に持って来いなので、こちらで説明していきたいと思います。

お願いします。

図は中央の「Security」を中心にセキュリティ領域を分類してマッピングしたものでして、ざっとこんな感じで分類しています。

• Onprem。オンプレミスのセキュリティ
• 右側（中～下）：Cloud base Security。セキュアなWebアクセスのための技術。
• 下側：Cloud Native。クラウドシステムのための高度なセキュリティ機能。
• 左側：CTEM。攻撃者視点を基にしたセキュリティ機能

最終的に末端がその領域におけるソリューションになっています。

保護対象だけでなく、攻撃者側の視点も必要なのですか？

攻撃者がたとえば標的型攻撃をする場合、インターネット上のいろいろな情報を収集した上で攻撃を仕掛けてきます。ドメインや、インターネット上に露出している資産は何か、悪用できる脆弱性は何かといった情報を集めて、それを基にエクスプロイトコードを作成しています。ですので、同じ目線をもって防御側でも情報を集めて、それをもとにして防御していこうという考えがあります。このCTEMの分野は今のセキュリティでホットな領域の1つですね。

なるほど。すごいですね。竹石さんはお客様とゼロトラストはどこからやったらいいかという話になった場合、どのようなお話をされていますか？

ゼロトラストはオーダーメイドで提案する必要がありますので、安直にEDRやSASE（※）を入れておけばいいというような提案はしません。今、（お客様の環境で）どのようなセキュリティ機能が有効になっているのか、ツールが使われているのか、従業員がどのような働き方をしているのか、クラウドサービスはいくつ使われているのか、重要な資産はどこに保護されているのか、といったヒアリングをしながら提案すべき領域を一緒に考えさせていただいています。

※EDR：Endpoint Detection and Response。端末内の不審な動きを検知し、対応を支援する機能。
※SASE：クラウド上でネットワーク保護のための機能を提供し、場所を問わず安全なネットワーク接続を可能にするための技術や機能。

では、たとえばコロナなどもあって「たくさんクラウドサービスを使っています」というお客様に対しては、どこの領域からのアプローチになりますか？

もちろんご予算や今のセキュリティツールの導入状況にもよりますが、たとえばCloud NativeにPafeCloudやAWS、Azure、GCPなどを使っていて、EKSやAKS（※）をゴリゴリに使っているとします。図の下の部分、CNAPPの部分からアプローチします。もしあらゆる資産をクラウドにリフト（※）しているというお客様であれば、右側のSASEなど、あたりをつけて提案させていただいております。

※ EKS、AKS：オーケストレーションツールのKuberutenesをクラウド上で管理するためのサービス
※ リフト：オンプレミス環境で稼動するシステムをそのままクラウド環境に移行すること。クラウドリフト。

なるほど。

次に、ゼロトラストで頻出の領域についてです。現在、ゼロトラストを実現するとなるとマップの機能のすべてが必要と言っても過言ではない状況です。これはゼロトラストの解釈がさまざまだからです。そのため、どこから手をつけたらいいのかという話になった場合、弊社ではこのような形でヒントというかアドバイスをさせていただいております。弊社では、年間にゼロトラスト関連の提案や商談が年間で700件ほどありますので、それをもとに傾向を分析し、先ほどのNIST SP 800 207を弊社で解釈し、特に重要分野としてまとめたのがこちらの図です。

なるほど。たとえば、この中でシマンテックのEPPやEDRを使っているといった場合には、次はこういう風にしたらいいという話も具体的にできるのでしょうか？

はい。さらに従業員数やセキュリティの専任担当者の有無、テレワークやクラウドサービスの導入状況、拠点の数などをお伺いし、図から導入状況を可視化して抜けているポイントを絞り込むといったことをしながら提案しております。

ありがとうございます。シマンテックの製品では、この図のどのあたりをカバーしている、みたいなものはあるのでしょうか？

では、図を見ながらやってみましょう。シマンテックの製品ということでは、こんな感じでしょうか。

EPP：SES（Symantec Endpoint Security）、SEP（Symantec Endpoint Protection）
EDR：SESC（SES Complete）
MTD：Moblie Thread Defense（SESの機能）
Mail（オンプレミス）：SMG（Symantec Messaging Gateway） Mail（ネットワーク）：ESS（Symantec Email Security.cloud）
DLP（オンプレミス、ネットワーク、クラウド）：Symantec Data Loss Prevention

プラスアルファでブロードコムが対応している領域を加えると、SASE/SSEの分野はWeb Protection Sweet（WPS。旧WSS）というパッケージの形で提供しています。ZTNAにCASB、SWG（※）などもあります。なので、このあたりも軒並みオッケーです。

※ZTNA：Zero Trust Network Access。IDやコンテキストに基づくアクセス境界を提供するサービス。
※CASB：クラウドサービスの利用状況を可視化、管理できるサービス。
※SWG：社外へのネットワークアクセスを安全に行うためのプロキシ。

プラスアルファで、直近発表された内容になりますが、ブロードコムがVMwareを買収して、VMwareで提供していたVelocloudをWSS（SSE）と連携させていくという方針です。以前はSSEだけだった部分が、SASEで全部提供できるようになっているというイメージです。

ありがとうございます。では、最後にまとめをお願いします。

わかりました。現在、単一のベンダーがSASEを提供していこうという考えを打ち出しており、ブロードコムでも実現できています。加えてCSPM、Cloud Security Posture Managementの略ですが、パブリッククラウドの設定ミスやスタンダードへの準拠状況を可視化するものです。また、CWPPはクラウドのワークロードを保護するためのサービスです。XDR、さまざまなセキュリティツールを個別にではなく一元管理して運用を効率化するためのサービスもあります。

ゼロトラストの頻出領域を図に紐づけると、こういった形になります。図で見ると、認証の部分以外はほぼフォローできているので、シマンテックもゼロトラストを構築していく上での有力な選択肢と見て間違いないかと思います。