第2回 ゼロトラストセキュリティの実現には何が必要？

第2回 ゼロトラストセキュリティの実現には何が必要？

ゼロトラストセキュリティ導入記の第2回。前回はアライドテレシスがゼロトラストセキュリティ導入に踏み出すきっかけを紹介した。今回は、ゼロトラストセキュリティを推進する上で重要となる組織、そしてゼロトラストセキュリティが目指すものなどをお伝えする。

ゼロトラストセキュリティのためのDevOps部を設立してサービス提供まで視野に

一般的にセキュリティ対策の導入や強化にはさまざまな障壁がある。まずはコストだ。セキュリティ対策は重要だと分かってはいても、そこに大きなコストが必要となるとなかなか進まないのが現実だ。そして人の問題も深刻だ。セキュリティ対策なら通常は情報システム部門が主導して行うものだが、セキュリティ対策に専任の人員を配することができる企業は少ないだろう。
こうした中でアライドテレシスでは、ゼロトラストセキュリティ導入のために新たな専任部署・グループを設立している。

それがサービスDevOps部とIT DevOpsグループだ。DevOpsといえば、実際に運用しながら開発を行うことを指す。その名の通り、ゼロトラストセキュリティを実際に導入し、使いながら、その効果を確認してサービス化するためのセクションだ。

サービスDevOps部は現在9名の体制だが、当然情報システム部門やサービス提供部門などとも密接に連携して、ゼロトラストセキュリティを推進している。

アライドテレシスがゼロトラストセキュリティで目指すもの

では実際にどのような対策によりゼロトラストセキュリティを実現していくのか。まず既存のネットワーク環境を見てみよう。
アライドテレシスではこれまで境界型のセキュリティ対策を実施してきた。ファイアウォールはもちろん、UTM、WAF、ウィルス対策など一般的な対策に加え、クライアント運用管理ソフトウェアのSKYSEAも導入し、資産管理とともに不許可端末の接続を防御している。また、不審な通信・振る舞いを検知した場合に該当端末を停止する「AMF-SEC」も導入しており、セキュリティ対策としてはかなり万全なものであると言える。加えてISO27001（ISMS）を取得してガイドライン、マニュアルに沿ったITの活用を行っているほか「Net.CyberSecurity」の脆弱性診断なども定期的に実施している。

働き方やITの活用方法がクラウド中心になっていくことを見据えて、ゼロトラストセキュリティを検討しなくてはならないと考えて調査・検証を進めていたところ、新型コロナウイルスの流行によって導入が早まったということについては第1話でも説明した。
次の図は一般的にゼロトラストセキュリティを実現するために必要とされている要素だ。アライドテレシスではこのうち「アクセス制御」からゼロトラストセキュリティをスタートしているが、他の要素についても推進している。

ゼロトラストを実現する4つの要素

• ユーザー認証：IDaaSでユーザー・デバイスに基づいた認証
• エンドポイントセキュリティ：EDRでリスクに応じた動的なポリシー制御
• アクセス制御：セキュリティゲートウェイ、SD-WAN/SD-LANで常に通信をチェックして最小限でアクセスを許可する
• ログ監視：SIEMですべての通信を常に監査・分析する
  

これらの要素は独立しているようで実際は密接に連携しており、どの要素が欠けてもゼロトラストセキュリティは実現しない。目指しているのは、統合型セキュリティゲートウェイによる、高度化するサイバー攻撃にも対応できるクラウド型のゼロトラストセキュリティの実現だ。

さらに、自社への導入・効果の確認を行った上で、顧客へのサービス展開も実施していく。すでに拠点アクセスの改善やクラウドアクセスのセキュリティ強化など、サービス化を実現しているものもある。

当連載ではこのあと、アライドテレシスが実際に導入した、あるいは導入を進めているゼロトラストセキュリティについて詳しく紹介していく。SD-WAN、インターネットブレイクアウト、セキュリティゲートウェイ、EDR/EPP、UEM/EMM、内部情報漏洩対策、ID管理、シングルサインオン（SSO）など、導入の経緯から期待される効果、実際の効果などをそれぞれ紹介していく予定だ。

（第3話につづく）