前回までに記載した通り、ゼロトラスト・アーキテクチャは概念であり、特定のソリューションを指すものではありません。とはいえ、それを実現する立場であるクライアントからは、「結局、何を使ってどう実現すればよいのか」といった旨のお問い合わせをいただくことがあります。
実際には、各ベンダーがそれぞれのシーズでゼロトラストを解釈していることから、製品/ベンダーによって多様な実現方法があるのが実態です。そのため、一概にソリューションへ紐づけることが困難な側面があるのですが、ここでは「ゼロトラスト・アーキテクチャの実現に求められる機能」を考え、それを実現するための一般的なソリューション例を紹介していきます。
第1回で述べた通り、ゼロトラスト・アーキテクチャでは、ユーザーやデバイスおよびコンテキストに基づき正当性・信頼性を検証し、その結果に基づきシステムやデータなどへのアクセス可否を判断するという考え方を採用します。そのためには、例えば以下のような機能を具備している必要があります。
ここまでに記載した内容を簡単にまとめると、以下のようになります(図表1)。こうして一覧化してみると、ゼロトラスト・アーキテクチャは、概念としては新しいものの、その実現に用いるソリューション群自体は目新しいものばかりではないことが分かるのではないでしょうか。
ゼロトラスト・アーキテクチャでは、特定のネットワーク(企業のLANなど)に参加していることを条件としたアクセス許可を行いません。つまり、自宅やカフェからでも、オフィスからでも、等しくデータやシステムにアクセスできる環境が必要となります。一方、アクセス先のデータやシステムは未だにオンプレミス環境内に存在する場合もあり、インターネット越しにアクセスさせることのリスクがあります。
その場合は、SDN/SD-WAN(Software-Defined Network/WAN)を用いて、アクセス先のシステムに応じて経路を変更するなどの方法が採られる場合もあります。ただし、リバースプロキシなどを用いて、インターネットから安全にアクセスする方法も存在します。
これまでの内容に基づき、ゼロトラスト・アーキテクチャを実現した場合のセキュリティアーキテクチャについて、一例を図示します(図表2)。ただし、冒頭に記載した通り、解釈によって多様な実現方法があることから、これが決して唯一の解ではないことにご留意ください。
いずれにしても、各ソリューションの機能・コスト優位性、既存ソリューションとの互換性・親和性、もしくはグループ会社や海外本社・支社との兼ね合いを踏まえて、各企業で適切なソリューションを検討・選定していくことになります。
ただし、第1回・第2回でも記載している通り、「どのソリューションを用いるか」に先立ち検討すべきことが多くありますので、まずはそれらをクリアした上でソリューションの検討・選定を行うべきであると考えます。
神野 光祐
シニアマネージャー, PwCコンサルティング合同会社
PwCは、企業のITシステム、OTシステム、IoTの領域におけるサイバーセキュリティ対策を支援します。高度なサイバー攻撃の検知、インシデントが発生した際の迅速な事故対応や被害の最小化、再発防止から対策の抜本的見直しまでさまざまなアプローチを通じ、最適なサイバーセキュリティ対策を実行します。
在宅勤務(リモートワーク)をはじめとする新しい働き方やデジタルトランスフォーメーション(DX)を推進する上で、課題となるのがITセキュリティです。この対策として、企業や組織の「ゼロトラスト・アーキテクチャ」の有効性を評価し、ビジネス/IT環境を踏まえたブループリント(概要設計)の策定を支援します。
企業の“俊敏性”と“弾力性”を確保し、不確実性が高まる世界を生き抜くための変革を支援します。
不確実な現代においては、デジタルトランスフォーメーション(DX)をはじめとする変革の成否がビジネスのキーになり得ます。PwCはあらゆる経営課題の解決に向けてデジタルを活用したコンサルティングやアドバイザリーサービスを提供し、企業価値の向上を支援します。
