テレワークの普及と共に、次世代セキュリティの本命として注目が集まる、ゼロトラストネットワークアーキテクチャ（ZTNA）をできるだけわかりやすく解説をしたいと思います。（第二回）

 

■ゼロトラストの考え方

第一回の繰り返しになりますが、境界型防御は社内ネットワークをインターネットから隔離し、境界の中を信用できる領域として守ります。一方でゼロトラストは何も信用しない、境界が無いので、守るべき対象は常時インターネットに接しているイメージです。

・境界型防御：境界内は安全と考える

・ゼロトラスト：安全な場所はないと考える

ゼロトラストはセキュリティの考え方にすぎません。これを導入すれば、すべてが解決というゼロトラスト製品は存在しません。具体的にどのような機能が必要になるのか？順番に整理しましょう。

 

■利用者の認証

ゼロトラストでは、今アクセスしてきている利用者が「本当に正しいユーザなのか？」という厳格な利用者認証が必要になります。イメージとしては、クラウド上に関所を設け、利用者や端末を認証します。この関所には攻撃者も含め、誰でもアクセスをすることが可能ですので、ID/PWといった単純な認証では不十分です。どうするかというと「多要素認証」を活用いたします。

多要素認証とは？　「知識・記憶の認証」と「所持の認証」

多要素認証に加え、アクセスしてきた端末の状態をチェックし、認証するような方式もあれば、より厳格になります。

 

例：二要素認証（Cisco Duoの場合

■アクセス制御

アイデンティティー＆アクセス管理（IAM）

関所になるサービスをIAM（Identity＆Accesss Management）と呼ばれることが多いです。条件としては、利用者のID管理と、その利用者をどこにアクセスするのか？を管理する内容が必要です。IAM上で上記の多要素認証を実施します。 

アイデンティティー認証型プロキシー（IAP）

テレワークが前提になると社外から社内の業務アプリケーションにアクセスすることになります。この社内へのアクセスをVPN接続とは異なる形で提供するのがIAPです。

セキュアウェブゲートウェイ（SWG）

クラウドサービス、インターネットへの接続ポリシー管理や、ログを管理していたのが、境界防御ではプロキシサーバだったと思います。これをクラウド上で行うのが、セキュアウェブゲートウェイです。

 

 

■セキュリティイベント管理（SIAM）

ゼロトラストは境界がありませんので、守りたい対象すべてが、攻撃にさらされた状態です。この状態で守りを固める方法として、機器やサービスからログを集めて、異常なアクセスなどを検知する仕組みが挙げられます。このようなサービスをセキュリティ情報イベント管理（SIAM）と呼びます。しかしながらコストが高く、導入のハードルが高いのがネックで、まだ一般的ではありません。

 

ゼロトラストは、セキュリティの考え方ですので、上記のようなソリューションを組み合わせて実現する内容になります。一度に実現することは難しいですし、お客様の既存境界型環境で直面している課題の大小によって改善の優先度も違います。よって、導入しやすい部分から段階的に導入を進めることが現実解になると考えます。

最後に、第一回の内容も踏まえまして、まとめます。

・ゼロトラストは新しいセキュリティの考え方

・ゼロトラストはクラウドサービスや製品を組み合わせて実現する

・実現方法はお客様環境によって異なる

 

弊社提案ソリューションとしては、Cisco UmbrellaやCisco Duo、Zscaler、PaloAlto、Fortinet等のご提案が可能です。お客様にとって最適な組み合わせをご提案させていただきます。

 

 

（お問い合わせ・ご依頼はこちら↓↓）

NTTデータルウィーブ株式会社　ISソリューション事業本部　ISS営業部　営業担当まで

mail：network@nttdata-luweave.com

TEL：044-223-4903