今回の新型コロナウイルス感染拡大防止に向けた取り組みとして急速に広がったテレワーク。働き方改革を後押しする効果はあったものの、新たに見えてきたICT面での課題も少なくない。特に問題となるのが、テレワーク環境におけるセキュリティをいかに担保するかという点だ。

　「安全に業務を遂行するためには、自宅で使うPCや各種クラウドサービスへのネットワーク接続、IaaS上に移行した社内業務システムなど、様々な領域への目配りが必要です。その一方で、脅威の悪質化・巧妙化は一段と進んでおり、社内／社外といった『境界』を前提とする従来型のセキュリティ対策では、十分な成果を挙げにくくなっています」と日立ソリューションズの扇 健一氏は指摘する。

　そこで注目されているのが、「ゼロトラストセキュリティ」の考え方だ。「情報資産にアクセスするトラフィックを、『すべて信用しない』のがゼロトラストセキュリティの特徴です。ここでは守りたい情報資産の種類に応じ、様々な製品を組み合わせて対策を行います」と扇氏は説明する。

　例えば、アカウント侵害に対してはIAM（Identity & Access Management）、デバイス侵害に対してはUEM（Unified Endpoint Management）やEDR（Endpoint Detection & Response）といった具合に、それぞれの用途に適したツールを活用。さらに、これらを統合的に監視／分析したり、対応の自動化を行ったりすることで、利便性を損なうことなく安全な情報活用が可能になる（図１）。

自宅で使用するPC、クラウドサービスへの接続に用いるネットワーク、それにIaaS上で稼働する業務システムの3点に適切な対処を施すことで、テレワークでの安全な業務遂行が可能になる

　「ただし、完全なゼロトラスト環境を実現するには、全システムがクラウドへ移行済みであることが必要です。これはハードルが高くなるので、まずは境界型防御と部分的なゼロトラストを組み合わせて対策を施すのがお勧めです」（扇氏）

　扇氏はゼロトラストの具体的な適用方法として、5つの実装例を紹介する。まず１つ目は、「PCや仮想環境のマルウエア対策」である。

　「テレワーク用のPCはインターネットに直接つながっているため、特に優先度が高いと考えられます。ウイルス対策製品の導入は大前提ですが、高度なマルウエアには突破されてしまうおそれもあります。こうした場合に役立つのが、EDRやSIEM（Security Information & Event Management）です。システム上のふるまいをEDRで監視・分析し、必要に応じてSIEMと連携すれば、疑わしい挙動が検知された際に該当端末をネットワークから切り離したりできるようになります」と扇氏は話す。

　日立ソリューションズでは、こうしたインシデント監視から対策までの一連のプロセスを代行するMDR（Managed Detection & Response）サービスを提供。社内での対応が難しいという企業は、こうしたサービスを利用するのも1つの手だろう。

　2つ目に「未知のマルウエア対策」では、IAM/UEMやSWG （Secure Web Gateway）の活用も有効だ。もしテレワーク用のPCが乗っ取られてしまったら、正規のアカウントとパスワードで社内システムに侵入されてしまう可能性がある。しかし、位置情報や利用時間、デバイス情報やアカウント情報などを収集し、SIEMで相関分析を行うことで、同じ時間帯に離れた場所から同一アカウントでのログインがあったり、普段は使われないデバイスからのアクセスがあったりした際には、明らかにおかしいと判断できる。こうした場合に前述のツールを用いれば、アカウントの凍結やデバイスの遮断を行えるというわけだ。

　また、3つ目は、テレワークでしばしば問題になる「VPN（Virtual Private Network）の高負荷への対処」である。最近では社員が一斉にVPNにアクセスすることで、通信が遅くなり業務に支障を来すケースも増えつつある。これを解消するのが、インターネットブレイクアウトだ。

　「通常の通信に関しては、ファイアウオールやURLフィルタリングなどによるアクセス制御を行う一方で、Web会議などの重たいサービスは直接インターネットへ接続させるのがインターネットブレイクアウトです。これにより、危険なサイトへのアクセスを防止しつつ、VPNの負荷を下げられるようになります」と扇氏は話す。

　なお、これまでは主に端末側の対策について述べてきたが、情報資産を守る上では、クラウドに移行した「Webや業務アプリケーションが動作する仮想環境の態勢管理」も重要になる。これが4つ目だ。「サーバーの設定ミスやセキュリティパッチの適用漏れなどにより、情報が改ざんされたり、サイバー攻撃の踏み台にされたりするリスクが生じます。こうした事態を招かないよう、CSPM（Cloud Security Posture Management）を用いて、仮想資産の可視化やセキュリティ診断などを行っておくことが肝心です」と扇氏。同社でもCSPM製品として「クラウドワークロードセキュリティサービス」を提供しているという。

　そして最後の5つ目が、「悪性Botへの対策」である。最近ではBotを使って、品薄商品や人気チケットなどの買い占めや転売、Webコンテンツの自動収集などを行う攻撃者も現れている。これは脆弱性を突かない攻撃であるため、WAF（Web Application Firewall）では防ぐことができない。「こうしたものに威力を発揮するのがBot対策ツールです。ユーザーのふるまいやデバイスをAIで分析し、異常と判断した場合にはアクセスを拒否したり、人の操作を必要とする認証画面を再表示したりします。攻撃を自動的に検知・ブロックするという意味では、ゼロトラストの考え方に近いといえます」と扇氏は話す。

　日立ソリューションズでは、「アカウント侵害」「デバイス侵害」「ネットワーク侵害」「アプリケーション侵害」「監視・分析・自動化」など、ゼロトラストの実現に必要な分野の製品・サービスをトータルで提供。とはいえ、企業が目指す事業の在り方やコスト、期間、リスクなどの兼ね合いによって、具体的な取り組みの方法はそれぞれ変わってくる。

　「もし、どこから始めればよいか迷われた場合には、第一に『業務を可能とするアカウントの認証・管理強化』、第二に『社外ネットワークにさらされるエンドポイントの防御力向上』、第三に『ネットワークセキュリティの実装』が重要であるとお考えください。まずIAMによるアカウント管理を徹底し、次にEDR/UEMでデバイスの管理・保護を実施。そしてSWGやSDP（Software Defined Perimeter）でネットワークアクセスを管理するという流れです（図２）」と扇氏。このように、段階的に取り組みを行うことで、「ゼロトラストセキュリティ」の実現に向けて着実に前進していけるのである。

ゼロトラストセキュリティ実現に向けてどこから手をつけたらいいか分からない場合、1つの考え方として、アカウント管理、デバイス管理・保護、ネットワーク管理と、優先度の高い領域から段階的に取り組みを進めるとよい