2020-10-01
クラウド活用の拡大や在宅勤務(リモートワーク)推進などを背景に、ITシステムに求められる要件が大きく変化しています。こうした状況下で経営層が留意しなければならないのが、セキュリティ対策の変化です。デジタルトランスフォーメーション(DX)を加速させる上では、「いつでも」「どこでも」「どのデバイスからでも」データやアプリケーションに安全にアクセスできるITシステムが不可欠です。しかし、従来型の境界防御モデルによるセキュリティ対策では、こうしたニーズに対応できません。
そこで注目されているのが、新しいセキュリティモデルである「ゼロトラスト」です。本シリーズではゼロトラストの概念を用いてセキュリティを推進する企業を迎え、ゼロトラスト化の課題や成功に向けたアプローチなどを伺います。今回は、マイクロソフトコーポレーションと日本マイクロソフト株式会社の花村 実氏、山野 学氏、小町 紘之氏にお話をいただきました。
(本文中敬称略)
マイクロソフトコーポレーション
サイバーセキュリティソリューショングループ
Chief Security Advisor 花村 実氏
日本マイクロソフト株式会社
クラウド&ソリューション事業本部
第4技術営業本部 本部長 山野 学氏
日本マイクロソフト株式会社
クラウド&ソリューション事業本部
テクニカルスペシャリスト 小町 紘之氏
PwCコンサルティング合同会社
テクノロジーコンサルティング
パートナー 荒井 慎吾
PwCコンサルティング合同会社
テクノロジーコンサルティング
シニアマネージャー 神野 光祐
神野:
まず始めに、マイクロソフトが考える「ゼロトラスト」の世界観を教えてください。
花村:
マイクロソフトのゼロトラストは、「決して信頼せず、常に検証する」という考え方を基本としています。ユーザーが利用しているデバイスや付与したユーザーIDを、外部との「境界(ペリメーター)」として捉えています。そして、デバイスやユーザーIDに対するアクセス権限確認を、動的なポリシーの制約内で認可するアプローチを採用しています。
山野:
従来のセキュリティ対策は、社内ネットワークとインターネットの間に境界線を引き、社内の安全性を高める「境界防御モデル」でした。しかし、近年は攻撃が高度化・多様化しており、「境界の壁を高く&分厚くすれば防御できる」という考えでは通用しません。そもそも、ハイブリッドクラウドやマルチクラウドの環境下では「境界の内と外」という概念が無くなっています。こうした環境では、守るものの構成単位をネットワークのような大きな単位にするのではなく、最小限にしていく必要があります。つまり、デバイスやユーザーIDを「境界」と捉えることで、ネットワーク環境に依存しないセキュリティが実現できるのです。
小町:
ゼロトラストアプローチでもう1つ重要なのが「自動化」です。セキュリティリスクを評価し、信頼性に基づきアクセスを制御するためには、担当者のマンパワーだけでは負担が大きくなってしまいます。セキュリティポリシーを自動的に設定/変更する「動的なポリシー」が不可欠です。
神野:
ポリシーを動的に運用する場合、何を判断基準にしてポリシーを設定/変更しているのでしょうか。
小町:
各デバイスやユーザーIDのステータスです。これまでシステムにログインする場合は、IDとパスワードが合致していればアクセスできました。しかし、IDとパスワードが合致しても、アクセスしているユーザーが(そのIDを付与されている)本人だとは限りません。現在、IDとパスワードのセットはダークウェブで簡単に入手できます。不正アクセスを避けるためには、そのIDとパスワードが「闇市場」で流通していないかどうかを確認する必要があります。万が一、既に流出しているIDとパスワードであれば、追加の認証要素(多要素認証)を強制したり、パスワードの変更要求をしたりしてセキュリティレベルを引き上げるのです。
山野:
各デバイスやユーザーIDという「アクセス元(サブジェクト)」と、アプリケーションや情報資産である「アクセス先(オブジェクト)」をひも付けて、そのアクセス権を動的にコントロールするのがゼロトラストのアプローチです。つまり、「このデバイスは危険だからアクセスをブロックしよう」「このIDはややリスクがあるが機密度がそれほど高くないアプリケーションに対するアクセスなので許可しよう」という具合です。
神野:
コンテキストベースの認証が優れていることは理解しつつも、動的なポリシーを適用すると過検知や誤検知が多くなるのではないか、と懸念されるお客さまもおられます。その点はいかがでしょうか。
山野:
過検知・誤検知の弊害は、セキュリティ担当者の負荷が上がることと、本当に対応しなければいけないインシデントを見逃すことです。こうした事態を回避するためにも先程小町が説明したような「自動化」が重要になるのです。
花村:
マイクロソフトでは、セキュリティ運用の自動化ソリューションである「SOAR(Security Orchestration, Automation and Response:セキュリティ対応のオーケストレーションと自動化)」を活用しています。複数のセキュリティ機器が検知した脅威情報を一つのプラットフォームに統合し、フィードバックシステムを利用して正しい情報を蓄積することで、過検知・誤検知を削減しています。
実は、マイクロソフトは、米国国防総省に次いで世界で2番目に多くのサイバー攻撃を受けていると言われている組織です。これは、視点を変えれば攻撃者の「手の内を知る」情報を大量に収集できているとも言えます。攻撃されれば、必ずその痕跡が残ります。そうした攻撃データを機械学習や人的リソースを使って分析し、セキュリティインテリジェンスとしてお客さまの支援に役立てています。
小町:
過検知・誤検知をゼロにすることは不可能です。しかし先ほど述べたように、検知されたアラート全てにSOC(Security Operation Center)が対応するとなると、SOCのセキュリティ対策担当者の負担は相当なものになってしまう。ですから、機械学習やクラウドを活用して脅威への対応プロセスを自動化したり、セルフサービス機能を活用したりして、セキュリティ担当者の負荷を低減する。ゼロトラストにおいてはこうしたアプローチが重要になります。
荒井:
最近は、お客さまからゼロトラストセキュリティの導入についてご相談をいただく機会が多くなりました。お客さまがゼロトラストに関心を持たれるようになった背景には何があるとお考えですか。
花村:
ゼロトラストのアーキテクチャは「トラストレベル」によってアクセスをコントロールします。新しい攻撃手法が登場した場合には、トラストレベルに応じて動的にアクセスを許可/拒否するという柔軟性を持っています。ゼロトラスト(アーキテクチャ)を構成する技術要素に目新しいものはありませんが、「比較的低コストで堅牢な防御ができる」「さまざまな攻撃に対して柔軟に対応できる」といった特徴があります。そうした部分が、お客様の抱える課題に対する解決策として注目されているのだと思います。
小町:
「ゼロトラスト」という言葉が多く聞かれるようになり、お客様から「自社でもゼロトラストの導入を検討したい」というご相談をいただくようになりました。しかしまだまだ「ゼロトラストとは何か」という理解が曖昧なお客さまも少なくありません。例えば、「ゼロトラスト=多要素認証の導入」だと誤解しているお客さまもいらっしゃいます。
そうしたお客さまには「ゼロトラストは、セキュリティを担保しながらダイナミックなアクセスを実現し、生産性向上を目指すための概念であり、手段です。ゼロトラストは個々の技術を指しているのではありません」とお伝えしています。
神野:
新型コロナウイルス感染症(COVID-19)の拡大に伴い、ゼロトラストという言葉をよく耳にするようになったと感じられますが、いかがでしょうか。
山野:
そうですね。COVID-19防止のためにリモートワークを導入する企業が増加していますから、「ゼロトラストを導入し、リモートワークでも安全にデータやアプリケーションにアクセスできるような環境を構築したい」というご要望をいただきます。しかし、詳細を伺うと「ゼロトラストでリモートワークのセキュリティを強化する対策」ではなく、「基本的なセキュリティ対策」が必要であると気づくことが多いのです。つまり、本来ならば既に講じておくべきセキュリティ対策を十分に行えていなかったことが判明するのです。
荒井:
「緊急事態宣言の発令中、多くの従業員がリモートワークで一斉にVPN(Virtual Private Network)を利用したため、VPNゲートウェイがパンクした」という話を、あるお客さまから伺いました。こうしたネットワークインフラの課題を解決するため、ゼロトラストを導入したいというお客さまもいらっしゃいますが、小町さんがおっしゃられたように、ゼロトラストはあくまで概念であり、そうした課題を直接解決する技術ではありません。そうしたお客さまに対しては、ゼロトラスト導入の前に自社のセキュリティ対策を見直し、「どの部分で何が足りないのか」を把握した上でゼロトラストの導入を検討することをお伝えしています。
花村:
ゼロトラストは、これまで怠ってきたセキュリティ対策を補うものではありません。私は経営層の方とお話をする機会が多いのですが、ITやセキュリティの担当者よりもゼロトラストの本質を理解されているのではないかと感じることがあります。経営層の方とは「ゼロトラストの導入でどのくらい生産性が上がるのか」「どのくらいリスクを取らなければいけないのか」という議論をしています。例えばエンタープライズリスクマネジメントに対する考え方でも、以前は「リスクはゼロでなければならない」との考えでしたが、現在は「組織にとって許容できる侵害リスク(Assume Breach)を想定し、そのリスクを緩和・低減させるにはどのような対策が必要か」に目を向けていらっしゃる。そうした枠組みの一環で、ゼロトラストの導入を検討しているケースは多いと感じています。
神野:
クラウドを中心にSaaS(Software as a Service)を導入している企業ならば、ゼロトラストの導入もスムーズに進むと考えられます。しかし、スクラッチで開発した古いシステムをオンプレミス環境で利用している企業にとっては、ゼロトラスト導入のハードルは高い。こうした会社はどのようなアプローチでゼロトラストを導入すべきでしょうか。
山野:
現在、オンプレミス環境で運用しているシステムに対し、SaaSと同じように動的なポリシーでアクセス制御を行うアプローチは現実的ではないと思います。まずはオンプレミス環境をクラウドに移行し、クラウド環境でのアクセスを制御する手段としてゼロトラストを導入するというステップが妥当でしょう。
小町:
オンプレミス環境では、従来通りの「内と外」というセキュリティ対策を講じながら、クラウド環境にはゼロトラストを導入するという「並行型」で実施するのがよい方法だと感じています。
花村:
根本的なことを言えば、オンプレミス環境で運用しているシステムを今後も使い続ける必要があるのかを再考することも重要です。例えば、過去に導入したERPソリューションがアップグレードできず、現在はメンテナンスできる人材がいない「お荷物システム」になっているのであれば、徐々にシステムを停止させるという選択肢もあり得ます。
これからの「ニューノーマル時代」に対応するためには、生活様式だけではなく新しい働き方に合わせたシステムの見直しが必要です。これを機会に「オンプレミスで運用しているシステムは本当に必要なのか」を、ゼロベースで考える必要があるでしょう。
神野:
マイクロソフトは全てのレイヤーでゼロトラストを構成するソリューションを持たれていますが、同時に「ゼロトラストは目的ではない」ことも明言されています。こうした理念は私たちPwCとしても非常に共感できるところです。
荒井:
企業の目的は、従業員に対して柔軟な働き方を提供し、生産性を向上させてビジネスを成功に導くことだと考えています。お話を伺って、「その『手段』としてゼロトラストが最良であれば、ゼロトラストを導入しましょう」というのが適切なアプローチであると実感しました。本日はありがとうございました。
