信頼しない前提で守りを再構築せよ
段階的な「ゼロトラスト」実現のポイント

　思い返せばコロナ禍以前、テレワークには「推進派」と「慎重派」がいた。働き方改革や生産性向上に向けて不可欠なものだと考える企業がいる一方で、労務管理や業務プロセスの維持の難しさを不安要素と考える企業もあった。それが現在は、流れが大きく変わっている。見切り発車とはいえ、やればできることに多くの企業が気付いたからだ。

　ただ、問題がなくなったわけではない。新たな課題も浮き彫りになっている。その最たるものがセキュリティ対策だろう。「セキュリティ対策が不十分なテレワーク環境は、世界に向けて侵入口を開けているようなもの。攻撃者に狙われるリスクも広がっています」とパルスセキュアジャパンの山田 晃嗣氏は警鐘を鳴らす。

　社外で端末を利用するため、マルウエア感染のリスクも高まる。感染端末が踏み台になって、社内の重要情報資産が脅かされる可能性もあるだろう。また、攻撃手法は日進月歩で高度化しており、社内ネットワークへの脅威の侵入を完全に防ぐことは難しくなっている。一度、脅威が境界線を越えると、内部のフラットなネットワークでは容易に脅威が拡散する。「パスワードだけに頼らない高度な認証や、端末のセキュリティ、さらには脅威に侵入されることを前提とした拡大予防策が必要です」と山田氏は言う。

　これらを体系的・効率的に実施する次世代のセキュリティ対策として注目されているのが「ゼロトラストセキュリティ」だ。その基本は、「あらゆるアクセスを信頼しない」。アクセス元に必要最小限の権限しか与えず、常に監視を継続することでリスクを最小化するアプローチである。

　「これはホームセキュリティに置き換えて考えると分かりやすいでしょう。玄関に鍵をかけるだけでは、ひとたび不審者に侵入されたらおしまいです。しかし、玄関で持ち物チェックを行い、部屋ごとに鍵をかけ、さらにはカメラで行動を常時監視する。そうすれば、リスクを低減できる上、たとえ被害に遭っても証跡が残るため犯人を特定しやすくなります。これがゼロトラストセキュリティです」と山田氏は説明する。

　ゼロトラストセキュリティの実現に向けては、いくつかのポイントを押さえる必要がある（図1）。 　1つ目は「強力なユーザー認証」だ。認証手段にはID／パスワードなどの「知識」、限定された端末やクライアント証明書、トークンなどの「所有（物）」、指紋など本人の身体的特徴による「生体」の3つがある。「このうち複数を組み合わせる『多要素認証』を実現すれば、仮にパスワードが盗難されても不正侵入の防止に有効です」と山田氏は言う。

　2つ目は「端末のセキュリティ確認」。端末にアンチマルウエアやパーソナルファイアウオールなどのセキュリティ対策を徹底することは前提だが、その上で、企業ネットワーク接続時に端末の対策状況を確認し、不十分であれば接続を拒否する。感染リスクの高い端末の接続を制限することで、脅威の侵入を抑制する。

　3つ目が「適切な認可権限の設定」である。先に紹介した認証は、システムやネットワークにログインする人・端末が正規のものであることを確認する手続き。一方、認可はログイン後の権限のことを指す。「例えば、権限を持つ人だけが重要情報にアクセスできるようにしておけば、認証によってログインしても、認可されなければアクセスできない状態が構築できます。適切な認可権限を設定することで、脅威に侵入された場合の被害を最小限に抑えることができます」と山田氏は述べる。

　さらに、ゼロトラストセキュリティをさらに発展させるためには「ネットワーク利用状況の可視化と記録」、そして「ユーザーの振る舞い（コンテキスト）に基づいたリスク評価と認可」も大切な要素になる。いわば、先の3つは必須の基本編、あとの2つは発展編だ。計5つのポイントをすべて押さえることで、高度なゼロトラストセキュリティが具現化できるという。

　とはいえ、すべてを一気に短期間で実現することは困難だ。そこでパルスセキュアは、計画に基づく段階的な導入・発展手法を提案している。実際、多くの企業が同社のソリューションを活用し、段階的かつ発展的なゼロトラストセキュリティを実現しているという。

　国内100カ所以上の小規模拠点を展開する、ある企業の取り組みはその一例である。東西2つあるデータセンターとIaaS基盤をベースに、各拠点をWANで接続し運用していたが、働き方の変化に対応したセキュリティ強化が喫緊の課題になった。そこで同社がまず導入したのが、セキュアなリモートアクセスVPNを実現する「Pulse Connect Secure」（以下、PCS）だ（図2）。このPCSは、様々な多要素認証に対応するほか、端末のセキュリティ対策状況の確認、柔軟な認可権限の設定が行えるSSL-VPN製品。つまり、先の基本編の3つを実現する製品となる。 　「このお客様は、PCSが提供するワンタイムパスワード機能と、通常のパスワード認証を組み合わせることで、セキュアな多要素認証を実現しています。また、高度な端末認証機能により、アンチマルウエアやセキュリティパッチの適用状況の一元的な把握も実現。さらに、システムリソース単位での認可権限設定を行うことで、内部でのリスクも最小限に抑えています」（山田氏）

　副次的な効果も出ている。PCSの導入により、LAN内は無条件に信頼する小規模拠点よりも、多要素認証や端末確認を行うリモートアクセス環境の方がむしろセキュアであることが分かってきた。そこで、小規模拠点のLAN／WANを廃止し、リモートアクセスを標準ネットワークとして利用。これにより、LAN／WANの管理コストも大幅に削減できたという。

　大きな成果を実感した同社は、ゼロトラストセキュリティのさらなる拡張を目指した。そこで導入したのが、クラウド型セキュリティサービス「Pulse Zero Trust Access」（以下、PZTA）である。

　このサービスはデバイスと複数の拠点のゲートウエイを管理・制御するコントロールプレーンとして機能する。ユーザー認証、デバイスの状態、アクセス時間帯／場所など各種の情報を総合的に判断し、アプリケーションごとにアクセスを制御することが可能になる。社内／社外を問わず、すべてのネットワークアクセスをPZTA経由にすることで、あらゆる端末、あらゆるリソースの可視化と記録、そして振る舞いベースのリスク評価・認可が可能になるという。

　「先のお客様は、各拠点からIaaS環境やインターネットを利用する場合、以前は東日本のデータセンターがインターネットへのゲートウエイの役割を担っていました。しかし、PZTAを利用すれば、各拠点からのアクセスを東日本のデータセンターに集約する必要がなくなります。本格的なゼロトラストセキュリティを実現しつつ、拠点間を結ぶWANも大幅に削減することもできています」と山田氏はメリットを述べる。

　次世代セキュリティ対策の切り札となるゼロトラスト。段階的な導入・発展を目指す上で、パルスセキュアの提案は有力な選択肢となるだろう。