NTTデータ ビジネスソリューション事業本部の高橋 淳です。
企業内のデジタルワークスペースを実現するためのソリューション開発部隊に所属しており、世にあるセキュリティ技術や最新クラウドサービスの技術検証、お客様への提案活動・導入支援を行っています。
さて今回は「デジタルワークスペース」を実現する上での必要な概念、「ゼロトラストネットワーク」について、私の知見や考えをお話ししていきたいと思います。
ゼロトラストネットワークとは?
ゼロトラストネットワークのコンセプトは「Never Trust, Always Verify」で決して信用せずに、常に検証するというものです。ゼロトラストネットワークは定義がとても曖昧なもので、未完成であり非常に難解なものです。それっぽい環境を実装するには複数の技術要素を組み合わせる必要があります。詳細はインターネット上に参考文献が山ほどあるのでご参照いただきたいですが、ここではどんな感じの実装をすればゼロトラストネットワークっぽくなるのか、私なりの解釈をご紹介したいと思います。
第2回でご紹介したように、ゼロトラストネットワークは常にユーザ・デバイス・アクティビティを検証し、「信頼」できるのであれば企業リソースへのアクセスを許可するといった概念になります。検証内容と実装技術の一例としては以下のようなものがあります。
これらはネットワークに関係なく、社内ネットワークだろうがインターネットだろうが、企業リソースにアクセスする際に必ず検証されます。つまり、自宅のインターネットやカフェのWi-Fiからアクセスしていようが必ず検証されるため、社内外のネットワークの区別なくセキュアにアクセスすることができます。
また、オンプレミスへのアクセスが必要な場合、VPNに変わる次世代のリモートアクセス技術としてSDP(Software Defined Perimeter)/ZTNA(Zero Trust Network Access)という技術を用います。これらはゼロトラストネットワークの概念に則り、オンプレミスへのアクセスの際もユーザ・デバイス・アクティビティを検証し、セキュアにアクセスする機能を持ちます。
ゼロトラストネットワークの実装例
上記内容に基づき、ゼロトラストネットワークのアーキテクチャの一例を示すと以下のようになります。あくまで私の解釈であり、これが正解というわけではないことにご留意ください。
※ゼロトラストネットワークのコンポーネントは全てインターネットからアクセス可能なクラウド上のサービスとして提供するようにします。
次に、ゼロトラストネットワークでも重要なコンポーネントになる、統合ID基盤、エンドポイントセキュリティ、ネットワーク制御の一部詳細機能についてご紹介したいと思います。
①統合ID基盤
統合ID基盤はゼロトラストネットワークの一番の肝になる実装です。ゼロトラストネットワークを実装する際、他の機能は統合ID基盤と連携することになるため、まずこれを先に取り組まないと後で苦労することになります。統合ID基盤では「ユーザ管理」と「アクセス制御」の機能を持ち、IDaaS/IdPによって機能が提供されます。世の中にある具体的なサービス名としては、Okta, Azure AD等が挙げられます。
ユーザ管理機能
さまざまなクラウドサービスを活用する上で、ユーザの管理は難解なものになります。通常、利用するクラウドサービスごとにユーザアカウントの登録・管理が必要になるためです。例えばユーザAがあるクラウドサービスAを使う必要があれば、管理者権限でそのクラウドサービスの管理コンソールにログインし、ユーザAを追加し、必要な権限を割り当てする必要があります。当然ユーザAが退職した場合、同様に削除作業が必要になり、削除し忘れた場合セキュリティリスクになります。大規模な環境の場合、これらを手作業でやるのは困難になりますし、企業内のユーザを統一的に管理できているとは言えません。IDaaS/IdPの機能でライフサイクルを自動で一元管理をすることが可能になります。
アクセス制御機能
企業のリソース(サーバ、アプリケーション、クラウドサービス等)にアクセスする際に必ず認証・認可のプロセスを通るようにします。ユーザ、デバイス、アクティビティを必ず毎回確認し、「信用できる」のであればリソースへのアクセスを許可します。企業内のリソースを全てIDaaS/IdPを連携することで、必ず統合管理されたユーザでの認証・認可のプロセスを経ることが可能になります。
②エンドポイントセキュリティ
エンドポイント、つまりデバイスのセキュリティはゼロトラストネットワークにおいて重要な要素の1つです。企業リソースにアクセスするエンドポイントが適切に管理され、健全な状態を維持していることが求められます。エンドポイントセキュリティの「デバイスの管理・制御」機能は、MDM/EMM/UEMによって提供され、世の中にある具体的なサービス名としては、Microsoft Intune, Jamf, VMware Workspace ONE等が挙げられます。「デバイスの保護・監視・遮断」機能は、NGAV/EDRによって提供され、世の中にある具体的なサービス名としては、Microsoft DefenderやCrowdStrike等が挙げられます。
デバイスの管理・制御機能
デバイスには企業として必要なセキュリティポリシーの設定(ディスク暗号化やデバイスの制限等)アプリケーションの配布、セキュリティパッチの管理を行う必要がありますが、これらはインターネット経由で管理・制御されるようにします。こうすることにより、デバイスをロケーションフリーで利用することができます。
またデバイスのキッティング手法も極限まで簡略化します。これは各種OSベンダが用意しているゼロタッチデプロイの機構により実現します。メーカから出荷された端末をユーザに直接届けられると、インターネット経由で勝手に企業として必要な設定やアプリケーションが降ってきて、ユーザは自分の業務をすぐに実施することができるような仕組みを実装できます。ユーザも分厚い設定マニュアルも見る必要は無くなりますし、管理者もこれまで苦労していた端末キッティングから解放されます。
デバイスの保護・監視・遮断機能
これまで境界のFWで守ってきた考えから、ゼロトラストネットワークではエンドポイントそのものを守る考えにシフトする必要があります。デバイスのセキュリティといえばパターンファイル型のアンチウイルスソフトを入れていましたが、これだけでエンドポイントのセキュリティを守るのは難しくなってきました。というのも、近年はセキュリティ攻撃が高度化しており、ファイルレスの攻撃や亜種のウイルスが大半を占めており、ウイルスの「指紋」を登録するパターンファイル型のアンチウイルスでは対応しきれないためです。そのため現在は、振る舞い検知型のNGAVや侵入されることを前提としてデバイスログの解析・早期対処を行うEDRのソリューションを実装し、多層防御的にエンドポイントを保護する必要があります。
③ネットワークセキュリティ
ゼロトラストネットワークではインターネットの利用が前提条件にあります。インターネット環境下でも安全に企業のリソースにアクセスし、シャドーITを検知・制御するために、どのネットワークに居ても、「通信の暗号化」と「通信の可視化・制御」が行えることが必要になります。これらの機能はSWG/CASBによって提供され、具体的なサービス名としてはNetskopeやZscalerが挙げられます。
通信の可視化・制御機能
これまで、企業内のプロキシサーバ等では通信の内容までは確認できず、アクセスさせたくないサイトに対してはURLフィルタによってブロックする手段が取られていました。そのため、企業内からのクラウドサービス利用が一律ブロックされることになり、自由に使えないユーザの不満が溜まる、許可すると通信内容が分からないため情報漏洩が発生してしまう、ということジレンマが発生していました。
そこでゼロトラストネットワークでは、通信内容を全て可視化・制御することを基本にします。
その一例をご紹介しましょう。
・ どのユーザがどのクラウドサービスにアクセスしてどんな操作をしているのかをログとして残す
・ 許可されていないクラウドサービスでは、ダウンロードは許可するがアップロードに対してはリアルタイムで警告する
・ 許可しているクラウドストレージでも機密情報を社外に共有しようとしている場合はブロックする
こういった制御を、どのエンドポイントがどのネットワークに居たとしても可能にします。
ゼロトラストネットワークはとても複雑?
今回ご紹介した機能の他にも、ゼロトラストネットワークにおいて実装・考慮しなければならないものは多くあります。例えばオンプレミス環境へのアクセス(SDP/ZTNA)、統一的なFW制御(FWaaS)、統一的なログ管理・監査、内部犯行の検知(SIEM/UEBA)、データの保護・監査(DMaaS)、企業コンテンツの管理方法等々です。また、ゼロトラストネットワークは現状1つのサービスで完結することは難しく、いろいろなクラウドサービスのセキュリティサービスを組み合わせて実装する必要があるため、難易度は高いと言えるでしょう。
ただし、理想的なゼロトラストネットワークの環境になれば、閉域網やオンプレミス環境に依存することが無くなるので、複雑なサーバ・ネットワーク機器が不要になり、システム構成自体は非常にシンプルになります。
デジタルワークスペースの実現に向けて
ゼロトラストネットワークの概念を自社のワークスペース環境に取り入れることで、従業員にとって働く場所やネットワーク、デバイスに依存することなく柔軟な働き方を実現し、生産性やエンゲージメントを向上させることができます。IT管理者や経営者にとっても、これまでのIT環境の課題を一挙に解決できる手段になり得るでしょう。
一方で、現実はオンプレミスにある既存環境の縛り、ネットワークの制約、デバイスの制約、社内ルールの変更等、様々なことを考慮する必要があり、実際の導入は一筋縄にはいきません。実際の企業環境ではオンプレミス環境を完全に捨てることは難しいのも事実です。クラウドサービスの世界的な障害に巻き込まれると業務が継続できなくなる等、逆にクラウド依存によって生じるデメリットもあるでしょう。
これらのことを踏まえ、企業ごとの課題やAsIsのシステム構成を整理し、なぜゼロトラストにしたいのか、ゼロトラストで何が解決できるのか、どういうステップで実施していくべきなのか、どのオンプレミスを残してどれをクラウドに移行するのか、ゼロトラストネットワーク実現のため世の中にあるどのサービスを採用すべきなのか……を突き詰めて検討し、企業ごとの最適解を模索していく必要があります。
NTTデータではこのような検討整理をお手伝いし、ゼロトラストネットワークを活用したデジタルワークスペース実現に向けたロードマップを描くコンサルティングサービスや、現在世の中にある最適なサービスを組み合わせてゼロトラストネットワークの概念を実装するサービスを提供しています。ご興味のある方は是非お問い合わせください。