%SITETITLE%

コラム技術コラム2023.01.18

セキュリティコラム – ゼロトラスト・ネットワークにおける組織内ネットワークの見える化

組織の業務システムのクラウド化やテレワークは、コロナ禍を経て急速に普及しました。

これによって、従来のセキュリティ対策では安心・安全なセキュリティを維持することが困難になり、
頭を抱えている情報セキュリティ担当者の方も多いのではないでしょうか。

加えて、多くの組織がレガシーのオンプレミス環境のクラウド移行の過渡期にあり、
より複雑なセキュリティ対策を講じる必要がある状況にあるかと思います。

そんな中で、組織のネットワークや端末、またそれらを利用するユーザなどを信頼せず、
攻撃や侵害を前提とした「ゼロトラスト」というセキュリティのコンセプトを目にする機会が増えたかと思います。

このコラムでは、なぜゼロトラスト・ネットワーク/ゼロトラスト・モデルの必要性が叫ばれているのか、
実際にその概念を自組織に取り入れるための初歩として何が重要か、について考えたいと思います。

ゼロトラスト・ネットワークとは？

「ゼロトラスト」とは一言でいうと、「攻撃されることを前提とする」という考え方です。
ゼロトラストの概念自体は、2022年現在ON2IT社のシニアバイスプレジデント兼ON2ITグループフェローである
John Kindervag氏によって、2010年に提唱されたものと言われています。

業務システムのクラウド化やSaaSなどの外部サービスの利用機会が増え、
またテレワークで自宅や公共のネットワークから組織のネットワークにアクセスすることも一般的になった現在においては、
組織の「内」と「外」の境界を定義しづらくなり、従来型の境界防御のアプローチが意味をなさなくなっています。

そうなると、組織の業務システムやデバイス、各種サービスは攻撃者による侵害のリスクにさらされることになりますが、
「ゼロトラスト」の考え方では攻撃者による侵害を前提とした対応をとることになります。

ゼロトラスト・モデルでは、何を信頼して何を信頼しないか、不正なアクセスや改ざん、
窃取をいかに検知して防御するか、といったことが重要になります。

信頼については、ユーザやデバイス、アプリケーションやクラウドサービスなどが信頼/認証の対象となり、
その対象は組織によって様々かと思います。

また不正な通信の検知、防御については、従来のパターンファイルによるマルウェア検知はもちろんですが、
一旦認証をすり抜けてしまった不正なアクセスでも、ふるまいの異常性を判定するなどしてアクセス制御をかける必要があります。

これらは、従来のセキュリティ対策と同様に、組織によって利用するサービスやネットワークの形態、
守るべき資産が異なるために組織個々にカスタマイズされた対応をする必要があります。

それでは、「ゼロトラスト」の考え方を採用するとしたとき、組織はまずどのような対応をとる必要があるのでしょうか。

ゼロトラスト・ネットワーク実現に向けた組織の対応

昨今の組織の情報システム部門の担当者の悩みは多岐にわたると思います。

とくにセキュリティ対策は、攻撃者や内部不正をする者がいなければコストはゼロに近い値で済むものです。それ故組織の経営者は、サイバー攻撃対策の重要性は頭では理解しているものの、情報システム部門に対してはコストの圧縮を迫るという、一見矛盾した対応を強いられることが多いかと思います。

加えて、従来のオンプレミス環境とクラウドが共存する過渡期においては、セキュリティ・コストが増大する傾向にあり、さらに情報システム部門の人員不足の問題を抱えている場合においては頭が痛くなる状況であると思います。

セキュリティ対策とは、本来まずそのような組織やその情報システム部門の問題状況も踏まえた上で、最善の道筋を組織各々で考えなければなりません。

ゼロトラスト・ネットワークを実現するための製品・サービス群は多種多様にあり日進月歩していますが、その辺りの整理は他にお任せすることとして、このコラムではそれら各種製品・サービスの導入以前に、必ずしもセキュリティやツールの熟練者が多くないような組織においてとくに重要になる「目に見えないネットワーク・セキュリティを見える化する」ことについて考えたいと思います。

目に見えないネットワーク・セキュリティを見える化する

組織内ネットワークに接続するIoT機器も含めたデバイスの増大や、オンプレミスとクラウドのハイブリッド環境、テレワークの普及は、ネットワークの管理をより複雑にする要因となっています。

そもそも、通信やネットワークは目に見えないからこそ、管理/監視すべきネットワーク内のどこで何が起きているか？を把握することは、たとえネットワーク管理やセキュリティ対応の熟練者でも難しいものです。

さらには、平常時のネットワーク管理業務ならまだしも、インシデント発生時にその場にいる限られたスタッフで初動対応を行わなければならない状況に陥った際の対応は熟練者頼みになってしまい、その負荷は大きいものかと思います。

そのような問題を解決する一つの方法として、まずは目に見えない通信やネットワーク・セキュリティを目で見えるようにすることが考えられます。

セキュリティの可視化のためのツールとして、例えばSIEM(シーム；Security Information and Event Management)という製品カテゴリがあります。

SIEMは組織内で導入しているセキュリティ製品等のデータを収集し、時系列的な分析を含めて一元的に情報を管理するツールですが、実際のインシデント対応の現場では、SIEMに熟達している人にしか扱えなかったり、実際の初動対応の意思決定のためにはログを1行1行読み解く必要があったりと、必ずしも限られた人員のみで構成された対応チームにおいて有用なツールにならない場合も少なくありません。

SIEMが時系列的な分析を得意とするのに対して、ネットワーク内の通信やセキュリティアラートをわかりやすくヴィジュアライズするようなコンセプトのソフトウェア製品やクラウドサービスも、近年増加しています。

このようなツールを用いることで、「今どこでどんな通信やアラートが発生しているか？」を情報セキュリティの非専門家であってもリアルタイムに把握することができ、当該のデバイスやサービスなどを停止・隔離するという初動対応が可能になります。

弊社ではそのようなコンセプトのセキュリティ製品として、国立研究開発法人情報通信研究機構の開発したリアルタイムネットワーク可視化システム「NIRVANA改」をベースとしたソリューションを提供しています。