「ゼロトラスト実現は難しい」を解消

IT人材不足でもできる、中堅・中小企業向けセキュリティ強化とは

ゼロトラストのキーワードが定着し、大手企業で導入が進んでいる。人材やリソースの不足に直面している中堅・中小企業向けにゼロトラストを導入する術とは何か。

「境界型防御」では最新のサイバーリスクに対処し切れない

　境界型防御は、社内と社外のネットワークの境界にファイアウォールやUTM（統合脅威管理）製品を設置することで、社内のネットワークに脅威が入り込まないようにする。「社内にいれば安全」という考え方に基づいたセキュリティ対策であるため、オフィスで働くことや、インターネット接続を伴うクラウドサービスを利用しないことを前提にすれば、有効なセキュリティ対策だと言える。だが昨今はテレワークや、テレワークとオフィス勤務を組み合わせたハイブリッドワークが急速に広がり、それと並行して社内外から多様なクラウドサービスを利用する動きが加速している（図1）。

　従業員がテレワークをしたり、クラウドサービスに接続したりする働き方が広がると、境界型防御だけで脅威を防ぎ切ることはできなくなる。境界型防御に基づく既存のセキュリティポリシーを、クラウドサービスへの社外からの接続や、テレワークにも反映させることが難しいためだ。社外で業務をする場合のルールを設けることで、社内のセキュリティポリシーに近づけることも可能だが、従業員がそのルールに従わないことも考えられるため、理想的な手法とは言えない。

　昨今は社内なのか社外なのかを問わず、企業はさまざまな脅威にさらされている。従業員がどこにいても同じセキュリティポリシーの下で、安全に仕事をできるようにすることが喫緊の課題となっている状況だ。

中堅・中小企業が必要とする安価・手軽なゼロトラストセキュリティ

NTTデータルウィーブの石川大輔氏

クラウドサービス活用や、テレワークといった新たな働き方に適応するセキュリティモデルとしてゼロトラストが注目を集めている。境界型防御のようにオフィスの内と外を分けて考えるのではなく、常にユーザーの認証やアクセス権を厳密に管理することがゼロトラストの特徴だ。それによって、社内ネットワークとインターネットの区別なく、どこにいても同一のセキュリティポリシーを適用できるようになる。   　NTTデータルウィーブの石川大輔氏（ISS営業部）は、「ゼロトラストはセキュリティを強化するための手段の一つです。まずは自社のセキュリティ対策を見つめ直すことも必要だと当社は考えています」と語る。どのようなセキュリティ対策から着手すればいいのかを検討するに当たって、同社は「入り口」「出口」「内部」「認証」という4つの分類で対策を考えることが重要だと捉えている（図2）。

図2　セキュリティ対策における4つの分類（出典：NTTデータルウィーブ資料）

　このうち入り口については感染経路の大部分を占めるメールの対策、内部はエンドポイント対策といったように、企業が既に何らかの対策を実施していることが少なくない。「既存の対策に加えてセキュアWebゲートウェイ（SWG）を中心にした出口対策を打つことで、ユーザー企業のセキュリティ対策はもう一段階強化できると当社は考えています」と石川氏は話す。

　仮に着手すべきセキュリティ対策を決めた後、ユーザー企業にとっての次の課題となるのが、社内に専任のIT要員がいない、少ないといった事情だ。IT要員が豊富ではないユーザー企業は、ゼロトラストのセキュリティ製品を導入したり、活用したりするハードルが高く、旧来の境界型防御に頼り切っているのが実情だと言える。

こうした状況を変えるために、NTTデータルウィーブは中堅・中小企業でも導入しやすいゼロトラスト型のセキュリティ対策として「クラウドセキュリティ マネージドサービス」を提供している（図3）。ネットワークの構築や運用において豊富な実績を持つ同社は、その経験を生かして中堅・中小企業での利用に適したセキュリティサービスの提供を決めた。   　「ゼロトラストの重要性や必要性は十分理解していても、予算や人員の不足により、なかなか具体的な対策に取り掛かれていない――。中堅・中小企業はそういう実情があります」と、NTTデータルウィーブの倉島航太氏（ISS営業部）は話す。そこで同社は、ゼロトラストのサービスを安価に、かつ運用に手間が掛かりにくいマネージドサービスの形態で提供することで、ゼロトラストを浸透させることを重要視する。

NTTデータルウィーブの倉島航太氏

図3　セキュリティ対策における4つの分類（出典：NTTデータルウィーブ資料）

社内外で共通のセキュリティポリシーを適用

　クラウドセキュリティ マネージドサービスは、Cisco Systemsのクラウド型セキュリティサービス「Cisco Umbrella」をベースとしている。Cisco Umbrellaは、主にユーザーがインターネットに接続する際のリスクに対処する「出口対策」の役割を担うサービスだ。具体的には、

などの仕組みを使って、危険なWebサイトへの接続をブロックしたり、クラウドサービスの利用状況を監視したりする。

　DNSセキュリティとは、URLをIPアドレスに変換する名前解決の仕組みを応用したセキュリティ技術だ。URLの名前解決のリクエストを、通常のDNSサーバに送る代わりに、クラウドにあるCisco UmbrellaのDNSサーバに送信。不正なWebサイトへのリクエストが検出された場合には、自動的に接続をブロックする。

　セキュアWebゲートウェイは、クラウドに設けられたプロキシサーバで不正なWebサイトへの接続を監視する技術だ。プロキシサーバがクラウドにあることで、テレワーク環境からインターネットに接続する際に必ずプロキシサーバを経由するように設定するのが容易になる。CASBは、クラウドサービスへの接続を監視する仕組みだ。セキュリティの問題がありそうなクラウドサービスへの接続や不審な挙動を検知することで、対策が打てるようになる。

　これらの仕組みはクラウドで稼働しているため、社内からも社外からもインターネットを介して接続が可能だ。「社外からだけではなく、社内からもインターネットに接続する際は必ずCisco Umbrellaを経由することで、どこにいても常に同一のセキュリティポリシーを適用できます」と石川氏は説明する。

　Cisco Systemsのサイバーセキュリティ専門部隊「Cisco Talos」が、日々発生する新たなサイバー脅威を検知し、Cisco Umbrellaはその情報を脅威インテリジェンスとして活用する。そのため、最新の脅威にも素早く対処できるという。

マネージド手間いらず、1ユーザー月額450円からセキュリティ強化

　クラウドセキュリティ マネージドサービスのユーザー企業は、専用のネットワーク機器やサーバを新たに導入する必要はなく、1カ月程度の短期間で利用を始められる。料金も比較的安価に抑えられているという。20万円（税別）の初期設定導入費用に加え、月々の利用料金を支払うことで利用ができる。

　ライセンスは2種類ある。先述の「DNSセキュリティ」をはじめとした基本機能を取りそろえた「DNS Security Advantage」と、セキュアWebプロキシやCASBの機能も利用できる「SIG Essential」だ。利用料金は前者が1ユーザー当たり月額450円、後者が同780円（いずれも税別）となっている。

　利用料金にはCisco Umbrellaの利用権分だけではなく、NTTデータルウィーブが提供する保守運用サービス分も含まれている。ユーザー企業は平日9時から21時の間に障害対応やリモート設定変更（年各12回）、ポリシー管理といったサービスを利用できる。これらの保守運用サービスをNTTデータルウィーブが提供することで、中堅・中小企業がCisco Umbrellaのメリットを十分に引き出せるようにしている。

　NTTデータルウィーブはCisco Systemsの製品を中心にさまざまなネットワークセキュリティサービスを提供している。今後は出口対策を担うCisco Umbrellaだけではなく、外部からの脅威を遮断する「入り口対策」や内部に侵入した脅威を検知・除去するための「内部対策」においても、中堅・中小企業が利用しやすいマネージドサービスの提供を計画しているという。「全てのエンドポイントでセキュリティ対策を強化し、中堅・中小企業が安心して新たな働き方を実現するための一翼を担いたいと考えています」（石川氏）

 

転載元：アイティメディア
アイティメディア 2023年03月14日掲載記事より転載
本記事は アイティメディア より許諾を得て掲載しています
https://techtarget.itmedia.co.jp/tt/news/2303/03/news04.html