ゲートウェイセキュリティ

テレワークの普及で露呈--「決して信頼しない」ゼロトラストが必要な理由

多くの企業でリモートユーザーに企業リソースへのアクセスを提供するための標準技術であるVPNだが、テレワークが当たり前となった現在では、VPNも含めた現在のセキュリティモデルの限界が見えつつある。

 テレワークが例外ではなくなっている現在、ニューノーマル(新常態)のトレンドとしてテレワークの普及が加速しています。それに伴い、企業のセキュリティは危機にさらされています。

 この新常態で、従来の仮想プライベートネットワーク(VPN)の限界が明らかになり、安全なテレワークのための新しいアプローチが必要となっています。

VPNは安全じゃない?

 自宅にある家電の修理に来た修理業者に「キッチンは左手の最初のドアですので、ご自由にどうぞ」と言って、家の鍵を渡して立ち去ることはありません。慎重な人であれば、仕事の進捗を確認するために目を離さず、修理業者が家の中をうろうろするのを許すことはありません。

 VPNは、多くの企業でリモートユーザーに企業リソースへのアクセスを提供するための標準技術であり、「家の鍵」を渡すことと同じです。現在の危機的状況で多くのVPNゲートウェイが在宅勤務のユーザーが増えた場合、その負荷に耐えられるかどうか苦慮しているIT部門も多いと思います。

 すべてのトラフィックを企業のデータセンターを経由してルーティングしなければならないため、遅延が発生し、ビデオ会議のような回線速度が重要になるサービスの品質が損なわれてしまいます。しかし、この影響を回避するための多くの仕組みが、VPNの管理を複雑にすると同時にコストも高くしています。

 VPN の「鍵」から「家」へのアプローチは常に問題視されてきましたが、今日ではさらに危険なものとなっています。攻撃者がリモートユーザの認証情報を入手したり、保護されていないデバイスの権限を侵害したりした場合、従来のVPNでは社内ネットワークを自由に歩き回ることができます。機密情報を検索したり、データ漏えいツールやバックドアをインストールしたりすることで簡単に侵入することができます。

“決して信頼しない、常に検証する”ゼロトラスト

 もっと良い方法があるはずです。それが「ゼロトラスト」と呼ばれるものです。この新しいセキュリティアプローチは、ITアーキテクチャにセキュリティの考え方を加えたものです。

 ゼロトラストは「決して信頼しない、常に検証する」という原則に従っています。ネットワークの内側からでも外側からでも、リソースにアクセスするエンドユーザーやデバイスが信頼できるとは見なされません。

 そのためには、まず現在、ユーザーを知ることから始めます。理想的には、ハードウェアトークンやソフトトークンアプリのような複数の認証方法を適用することで、現在、ユーザーを知ることができます。

 ネットワークに接続されているデバイスも同様に、所有権(会社所有か個人所有か)やパッチレベルが最新かどうかなど、徹底的に検査します。同時に、現在、ユーザーが役割に応じて実際に必要とするリソースへのアクセスを制限することで会社のデータを保護します。

 現在のゼロトラストソリューションは、機械学習(ML)を応用してエンドユーザーやエンドポイントの活動を継続的に監視し、行動パターンや会社のポリシーと比較しています。これにより、セキュリティチームは、アカウントの漏洩やインサイダーの脅威を示す異常な活動を迅速に検出することができます。

 不審な活動が確認されるとすぐにアラートを上げることで、ゼロトラストは、迅速かつ高度に対象を絞った対応を可能にします。これにより、インシデント対応が大幅にスピードアップし、攻撃者がネットワークを嗅ぎ回る時間が短縮されます。

 このアプローチで、企業や組織の対応が遅れている間に「悪者」がツールや戦術を改善してきた長年の経験を経て、ついに企業がセキュリティ面で追いつくことができるようになります。これは、危機によって加速され、テレワークが新たな常態となった現在に最適なものです。

 ゼロトラストベースのIT環境は、企業が「修理業者」が来訪した際に家の鍵を単純に手渡すことを防ぎます。その代わりに、修理業者やその他の訪問者には、写真付きIDバッジの提示を要求します。

 キッチン以外のドアには鍵をかけ、修理業者がどこにいて何をしているのかを正確に把握します。また、予期せぬ行動があった場合には、自動的に住宅の所有者に通知をします。

 このようにして、企業は常にエンドユーザーやデバイスを監視することができ、侵害検知力を向上させ、攻撃される隙間を狭くすることができます。同時に、従業員はいつでも、どこからでも、会社のリソースに安全にアクセスすることができます。

國分俊宏(こくぶん・としひろ)
シトリックス・システムズ・ジャパン セールスエンジニアリング本部 金融SEグループ リードシステムズエンジニア
グループウェアからデジタルワークスペースまで、一貫して働く「人」を支えるソリューションの導入をプリセールスとして支援している。現在は、金融グループのリード・システムエンジニアとして、パフォーマンスを最大化できる働き方、ワークライフバランスを支援する最新技術を日本市場に紹介している。

「ゲートウェイセキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]