ホワイトペーパー

次世代型ゼロトラストへのアップデート 実現に向けて重要な3つの要素を解説 | ホワイトペーパー | 東京エレクトロンデバイス

【セキュリティ】次世代型ゼロトラストへのアップデート 実現に向けて重要な3つの要素を解説

コロナ禍に伴い、テレワークという新しい働き方が普及した影響もあり、サイバー攻撃に備えて企業が管理・監視するべきデバイス・ネットワークは以前よりも増加しました。多様化するサイバー攻撃に対して新たに注目されているのが「ゼロトラストセキュリティ」のコンセプトです。これに基づく完璧な対策は難しい中、通信・エンドポイント・認証の3 つをカバーする対策を講じることで、強固なセキュリティ環境を構築できます。

  • ゼロトラストセキュリティが求められる背景(VPNの限界)
  • ゼロトラスト実装への課題と現実解
  • 脱VPNだけでは防げないリスク①:クラウドや、Webサービスに関連するインシデント
  • 脱VPNだけでは防げないリスク②:エンドポイントに関するインシデント
  • 脱VPNだけでは防げないリスク③:不十分な認証に起因するインシデント

ゼロトラストセキュリティが求められる背景(VPNの限界)

 昨今ではテレワークが普及し、オフィスや自宅など場所を問わない自由な働き方が広がる一方、セキュリティリスクは以前よりも高くなっています。従来のセキュリティ対策では、「社内のネットワークは安全である」という考え方のもとファイアウォールや侵入検知システム(IPS/IDS)で社内と社外に境界線を設けて対策する手法が主流でした。社外から社内にアクセスする際はVPNを介して通信を行います。

 しかし、テレワークが普及し、社外での業務が増えるとさまざまな問題が顕在化します。社内のファイアウォールを経由せず直接インターネットへ通信するデバイスが増えたことで、通信の安全性を確認できない問題や、社内にリモート接続するデバイスが増えたことでVPN機器へ負荷が増大してパフォーマンスが低下する問題も生じるようになりました。VPN利用が増える一方で、VPN機器に残る脆弱性が悪用されサイバー攻撃の被害にあう事例も増加しています。

 このような状況下で多くの企業で検討・導入されているのが「ゼロトラスト」のコンセプトに基づいたセキュリティ対策です。ゼロトラストでは、従来のように「社内に入ってきた通信はすべて安全なもの」とみなすのでなく、すべてのネットワークアクセスを信用せずに検証するという考え方を採用しています。

 注意するべき点は、ゼロトラストセキュリティとは特定のソリューションや製品を示すものではないということです。そのため、この考え方をどのように自社に実装すればよいか迷うかもしれませんが、その指針となるフレームワークは存在しています。その一例が、フォレスターリサーチ社が提唱したZTX(Zero Trust eXtended)フレームワークです。主に7つの観点から対策が推奨されており、それぞれに相当するセキュリティソリューションをマッピングしています。

Zerotrust_ゼロトラストのフレームワーク

ゼロトラスト実装への課題と現実解

 ゼロトラストはさまざまな要素を組み合わせて実現する必要がありますが、昨今では「VPN依存の限界」が叫ばれたこともあいまって、ゼロトラストの考えが単なる「脱VPN」に矮小化されて対策が進んでしまうケースも生じています。VPN代替となるソリューションとしては上記の表の「ネットワークセキュリティ」の部分ですが、たとえそれらの導入を進めても、ゼロトラストの考え全体で見たとき、構成要素の1つしか満たすことができません。


 もちろん、コストなどの理由から現実的に対策できる範囲には限界があります。その中で予算が限られた企業は何を検討するべきでしょうか。本稿では先ほどの「脱VPN」だけでは回避できない主要なセキュリティリスクについて言及しつつ「通信」「エンドポイント」「認証」の3つの観点から必要な対策を解説していきます。

「SOC(Security Operation Center)」に関連する製品・サービス