IDaaS
ゼロトラスト
セキュリティ
ゼロトラスト
ゼロトラストとIDaaSの概念と関係性について、IDaaSの専門チームが詳しく解説していきます。
- ゼロトラストセキュリティとIDaaSの関係を理解したい
- 今、どういうセキュリティ対策が有効なのかを考えたい
- ゼロトラストセキュリティ対策がどう有効なのかを知りたい
リモートワークの推奨やクラウドサービス利用増によって、ゼロトラストセキュリティについて考える必要が増えてきたものの、実際、何が有効なのか、どうすればよいのか分からないという声もよく伺います。
本記事では、IDaaSの最大手「Okta」のディストリビューターである日立ソリューションズのIDaaSチームが、ゼロトラストセキュリティとIDaaSをテーマに詳しく解説をしていきます。
この記事を読むことで、ゼロトラストセキュリティとは何か、ゼロトラストセキュリティを実現するための方法は何か、IDaaSはゼロトラストセキュリティに対してなぜ基盤となりえるのか、を理解できます。
この記事に関連するおすすめの
ゼロトラストセキュリティの
さまざまな企業向けクラウドサービスが利用され、リモートワークが推奨される昨今、社内ネットワーク内でシステムを利用するという考え方から、社外からも業務システムやクラウドサービスへアクセスするという考え方にシフトしてきました。
社内外の境界線がなくなりセキュリティ対策の考え方が変わってきています。
そういった変化の中で、信頼されていない社外環境から信頼されている社内ネットワークにはアクセスをさせない・制限させる、という考え方のセキュリティ対策が通用しなくなってきています。
そこで今、「絶対に信用しない・常に検証する」というゼロトラストセキュリティの考え方が改めて広がっています。
企業のセキュリティ担当者は、従業員の場所、端末、ネットワーク環境の内容に関係なく、安全にシステムへアクセスをさせる必要があります。
ゼロトラストセキュリティを考えるにあたってさまざまな対策が必要となりますが、ID管理・アクセス制御はゼロトラストセキュリティの基盤となる対策となります。
そして、その対策を実現させるのが「IDaaS」です。
この記事ではゼロトラストセキュリティの考え方を知り、IDaaSがその基盤になり得る理由、他の対策は何があるのか、について説明します。
参考記事:IDaaSとは
IDaaSも活躍する「ゼロト
まずゼロトラストセキュリティについて詳しく説明します。
「境界防御モデル」から
社内ネットワークの内部でしかシステムを利用させない、利用しない、という時代から外部環境からシステムを利用する、という時代に変わってきました。
- 社外でのノートPC、スマートフォンなどの利用
- 在宅勤務などによるリモートワーク
- SaaS、PaaS、IaaSと呼ばれるクラウド型サービスの利用
- 個人所有のデバイスを業務に利用するBYOD(Bring Your Own Device)
「社内」「社外」という境界があった時代は社内外の境界防御対策を施せば問題ありませんでした。
しかし、境界が曖昧になってきている現状では境界防御という対策では不十分なものとなっています。
そこで注目され始めたのが「ゼロトラストセキュリティ」というセキュリティ対策です。
ゼロトラストセキュリティ
「ゼロトラストセキュリティ」とは「信頼せず攻撃されることを前提としたセキュリティ対策」です。
「絶対に信用しない、常に検証する」という概念と言えます。
社内ネットワークで利用するなら安全、という考え方が通用しなくなったため、利用者・端末・ネットワーク全てを信用せず徹底的に検証するという考え方に変わったということになります。
ゼロトラストの基本原則
ゼロトラストは、2009年Forrester ResearchのアナリストであるJon Kindervag氏が開発したセキュリティフレームワークです。その際、Kindervag氏は次の3つの原則をゼロトラストの基本として提唱しました。
- 場所に関係なく、すべてのリソースに安全な方法でアクセスすること
- アクセス制御は必要に応じて行い、厳格に実施すること
- 企業はすべてのトラフィックを検査し、ログを記録することでユーザーが正しい行動をしているか確認すること
全てのアクセスを検査することを推奨していることが分かります。
ゼロトラスト実現をする
今まではID・パスワード認証だけでよかったセキュリティ対策から、ゼロトラストセキュリティでは、確認すべきセキュリティ項目は多種多様になりました。
例えば、
- ID・パスワードは本当に本人が利用しているのか
- アクセスしてきたパソコンにはウイルス感染はないのか
- 社内で認められている端末がシステムにアクセスしているのか
- アクセスしてきた場所はいつもアクセスしてきている場所からなのか
- アクセスする端末には必要なセキュリティソフトが導入されているか、不要なアプリケーションはインストールさせていないか
などです。
ゼロトラストセキュリティの
さまざまな対策が必要であることをご紹介しましたが、全ての対策を施すのは難しいという担当者もいらっしゃるかもしれません。
そこでまず必要な対策のポイントを解説します。
1. アプリケーション防御の
ネットワークを信頼しないゼロトラストセキュリティでは、アプリケーションにアクセスしてくる時の認証方法を多要素認証によって強化する必要があります。
システムへアクセスしてきたIDが信頼できるIDなのかを判断する上で、パスワードだけでは情報としては不足しており、他の認証方法を加えることで不正なアクセスを防御する精度を高めます。
2. デバイス防御の必要性
モバイル端末やスマートフォンのセキュリティ対策(ウイルス対策、USBメモリ制御など)が必要です。
その上で、それぞれのデバイスからアクセスできるアプリケーションを制限したり管理することも必要となります。
仮想デスクトップにすることでデータを内部に持たせない、という方法もあります。
3. すべてのログ分析の必要性
不正アクセスを検知するために全てのアクセスログを監視することが必要となります。
上記3つのポイントからも分かることは、ID管理が重要なポイントである、ということです。
システムにアクセスする使用者が管理下にある正しい使用者なのか、不正アクセスではないのか、ということを検知することが必要となります。
つまりゼロトラストセキュリティを実現させる一歩として、さまざまなシステムで利用しているIDを統合管理していく必要があるということです。
ゼロトラストセキュリティを
ゼロトラストセキュリティを実現するためのID統合管理の方法として「IDaaS」があります。
IDaaSはこれまで説明してきたゼロトラストセキュリティのポイントを押さえながら、基盤となるソリューションです。
IDaaSを導入するにあたり必要な流れについて、IDaaSの概要も含めてご説明いたします。
管理すべきIDの現状を
社内外で利用するシステムそれぞれにIDが付与されているはずです。
社内システムであればActive Directoryなどを利用しID管理はされているかもしれませんが、クラウドサービスで利用しているIDについては管理できていない、ということも多々あるでしょう。
まずは社員が利用しているシステムの特定とID管理の実態を調査する必要があります。どこか使われていないIDから不正アクセスが発生する、ということもありえますので徹底して調査する必要があります。
ID統合管理
社内外のシステムのID、つまりオンプレミスとクラウドサービスのIDを一つのID管理システムで統合していきます。
IDaaSによって、オンプレミスとクラウドの異なる環境を横断して管理することができます。
統合したIDのアクセス制御
IDを統合管理できるようになった次の対策として「アクセス制御」が必要となります。
誰がアクセスしているのか、どのアプリケーションにアクセスしているのか、どの端末からどういう方法でアクセスしているのか、などの制御です。
社員の異動、退職時にアクセス権限変更やID削除など迅速に対応できるようにしておくことも不正アクセスをさせないために必要なことです。
認証情報を狙った標的型攻撃への対処も考えれば、多要素認証も必要な機能となります。
IDaaSでID統合管理を実現
ここまで説明してきたことを実現できるのが「IDaaS(Identity as a Service)」です。
IDaaSは、さまざまなクラウドサービスへのシングルサインオンやID・パスワード管理、多要素認証機能を提供するクラウドサービスです。
Active Directoryと連携させることにより、ID・パスワード管理を一元化することも可能です。
「クラウドとオンプレミスの混在環境」向けに開発されたシングルサインオンを実現するクラウドサービスがIDaaSです。
ゼロトラストを実現させるための
IDaaS以外の
ID統合管理がゼロトラストセキュリティの基盤になることは説明しました。
最後に、ゼロトラストセキュリティを実現するための代表的なセキュリティソリューションを紹介いたします。
EPP(Endpoint Protection Platform)
EPPとはエンドポイント保護プラットフォームのことで、外部からの脅威に対するガードのことを言います。
コアの機能は、ウイルス対策、アンチウイルスです。未知のマルウェアも検出可能なソリューションも市場に出てきています。
EDR(Endpoint Detection and Response)
標的型攻撃やランサムウェアなどによるサイバー攻撃を検出し、対応するために使用するソリューションに、EDRがあります。EPPで防御できずにすり抜けた脅威を検知(Detection)し、対処(Response)を支援するソリューションのことです。
CWPP(Cloud Workload Protection Platform)
複数のクラウドサービスを一元管理するためにはCWPPが有効な手段です。「システムの完全性の監視・管理」「ネットワークのセグメンテーション・可視化」「構成・脆弱性管理」「未承認クラウドサービスの検知」などが可能となります。
SOAR(Security Orchestration, Automation and Response)
SOARとはインシデントの分析から対応までを自動化・効率化するツールのことを言います。
「Orchestration(オーケストレーション)」は複数のシステムから出力される情報を分析し、対応の必要性や優先度を判断する仕組みのこと、「Automation(オートメーション)」はインシデント対応を自動化すること、「Response(レスポンス)」はインシデント対応状況、過去対応履歴を管理可能にすることを言います。
まとめ
ゼロトラストセキュリティとは、IDaaSがゼロトラストセキュリティの基盤となる理由は何かを解説しました。
ゼロトラストセキュリティでは「ID統合管理」が重要な要素です。どこから誰がどのようなシステムにアクセスするのか、それを検知するにはID統合管理が必要です。
クラウドとオンプレミスの混在環境が当たり前になってきている昨今、管理できていないIDがある状態は不正アクセスのリスクがある状態のままにしている、ともいえます。
IDaaSは「クラウドとオンプレミスの混在環境」向けに開発されたシングルサインオンを実現するクラウドサービスであることをお伝えしました。
クラウドとオンプレミス環境両方のID統合管理ができるソリューションだからこそ、IDaaSはゼロトラストセキュリティを実現させる基盤となることができます。
これからの時代に対応したセキュリティ環境として「ゼロトラストセキュリティ」を検討してはいかがでしょうか。
おすすめの記事
記事の絞り込み
- 全て表示
- IDaaS
- ID管理
- テレワーク
- リモートワーク
- ゼロトラスト
- セキュリティ
- できること
- メリット
