ゼロトラストで重要な入口・出口対策とは? 仕組みと機能について解説
ゼロトラストとは、従来のセキュリティ対策とは異なる新しい概念です。クラウド技術の進歩もあり、情報保護が従来のセキュリティ対策では十分とはいえなくなってきた昨今、新しい考え方としてゼロトラストが注目を集めています。本記事ではゼロトラストについて解説します。
目次
ゼロトラストとは
ゼロトラストとは、従来のセキュリティ対策とは異なる概念です。クラウドサービスの導入も進む中、情報保護が従来のセキュリティ対策では十分とはいえなくなり、新しいセキュリティ対策として注目を集めています。
ゼロトラストの仕組み
ゼロトラストは、保護すべき情報が組織の内外すべてにあることを前提としています。従来のセキュリティ対策では、組織の内部にある情報をいかにして外部から守るかということを考えていました。
しかし、クラウドサービスが一般化し、企業への導入も進んできたことによって、従来の境界である組織の内部と外部の境目が曖昧になりつつあります。そのため、ゼロトラスト モデルでは内外という概念ではなく、すべてのアクセスを信用せず、安全性・信頼性を確認する考え方を基本としています。
セキュリティの入口対策と出口対策とは?
セキュリティ対策は大きく以下の2つに分けることができます。
- 入口対策
- 出口対策
同じセキュリティ対策でも、前提が異なっているため、重要視しているものが変わってきます。それぞれの特徴を理解しておきましょう。
入口対策とは
入口対策とは、悪意のあるアクセスが組織の内部に入るのを事前に防ぐセキュリティ対策です。従来のセキュリティ対策の多くは、入口対策の方法をとっています。代表的な入口対策のセキュリティツールには以下のようなものが挙げられます。
- ファイアウォール
- スパムフィルター
- IDS・IPS
ファイアウォールは外部からの不正なアクセスがあった場合に、アクセスそのものを遮断し、組織の内部ネットワークへの侵入を防ぐものです。スパムフィルターはファイアウォールをメールに特化したような機能を持っています。受信したメールをチェックし、危険だと判断した場合には対象のメールを除外することができます。
IDSやIPSとは、不正なアクセスを監視するツールでIDSで不正アクセスの通知を行い、IPSではさらに遮断まで行います。
出口対策とは
出口対策とは、外部からの侵入を許してしまっても、組織の情報を外部に持ち出されることを防ぐための情報セキュリティ対策です。
入口対策と決定的に異なっている点は、外部からの不正アクセスを受け入れているという点です。侵入後、情報を外部に持ち出す際の通信をブロックすることで、情報を保護することができます。
ハッカーのように不正アクセスや標的型攻撃などを試みる人たちは、なんらかの方法でサーバーへのアクセス権限を獲得し、組織のシステムへ侵入してきます。侵入に成功すると、機密情報などを見つけ出し外部へと持ち運ぼうとしますが、持ち運ぶ際にもシステムからハッカー側への通信が必要になります。
出口対策を行うことで、持ち運ぶ際の通信を遮断し、不正に侵入されたとしても情報の外部流失を阻止することができます。
ゼロトラストでは出口対策を重視する
ゼロトラストでは、出口対策が重視されています。
テレワークの普及やクラウドサービスを導入する企業が増えたことにより、組織内ネットワークの概念が曖昧になってきました。クラウドサービスの導入により、内部ネットワークと外部ネットワークの接続が当たり前になり、入口対策の有効性は低下し続けています。
入口対策がもはや意味を持たなくなってきてしまったことで、外からの侵入を防ぐのではなく、侵入されたとしても危険な状態になることを防ぐことのできる出口対策がより重要考えられはじめました。
ゼロトラストで有効な出口対策
ゼロトラストで有効な出口対策として、今回は以下の3つをご紹介します。
- Webレピュテーション
- ふるまい検知
- Web Application Firewall(WAF)
それぞれの特徴を確認していきましょう。
Webレピュテーション
Webレピュテーションとは、端末をインターネット上のサイトにアクセスするといった通信が行われる際に接続先のドメインやWebサイト・Webページが不正なものかどうか確認するものです。接続先が不正なものであると確認された場合、アクセス自体を遮断することで、情報漏洩などの被害を防ぐことができます。
接続先のWebサイトなどが不正なものであるかどうかは、これまで収集された膨大なビッグデータを元にしています。Webレピュテーションを使うことで、業務用端末が屋外にあったとしても、セキュリティ対策を講じることが可能になります。
ふるまい検知
ふるまい検知とは、ある決められた空間で事前に挙動を確認し、ウィルスであるかどうかを検知する機能です。
ふるまい検知の挙動確認で使われる空間をサンドボックス環境と呼びます。サンドボックス環境とは、システム内に存在している不正アクセスによって攻撃されても問題のない領域を指します。そのため、サンドボックスでウィルスに感染しているファイルを開いても、それ以上ウィルスがシステム内に広がることはありません。
ふるまい検知はサンドボックス環境で、どのような挙動をするかを監視することにより、システムに侵入されてもそれ以上の拡大を防ぎます。
Web Application Firewall(WAF)
Web Application Firewall(ウェブアプリケーションファイアウォール)とは、Webアプリケーションの脆弱性を狙ってくる不正アクセスからシステムを守るセキュリティ対策です。インターネットが爆発的に普及したことで、Webアプリケーションの利用を前提としたサービスも数を増やしています。
利用者がWebアプリケーションを利用する通信の間にWAFを挟むことで、外部からの不正なアクセスを監視することができます。Webアプリケーションが普及するとともに、様々なシステムと組み合わせることによって、開発段階では予想し得なかった脆弱性が出てきてしまうのも事実です。
Webアプリケーションやシステムの更新が間に合わない場合でも、WAFを導入することで一括したセキュリティ管理を実現することができます。
ゼロトラストの出口対策のためのサービス
ゼロトラストの出口対策のためのサービスとして、今回は以下の2つのサービスをご紹介します。
- Identity Aware Proxy(IAP)
- Secure Web Gateway(SWG)
それぞれの特徴を確認していきましょう。
Identity Aware Proxy(IAP)
Identity Aware Proxy(IAP)は、アイデンティティ認識型プロキシとも呼ばれ、利用者とアプリケーションの間で通信の仲介を行うアクセス代行システムを指します。
Identity Aware Proxyの特徴は、利用者がアプリケーションに通信を行うたびに認証を確認してアクセス許可を行う点です。不正アクセスと疑われる通信に対しては、アプリケーションに接続させない、あるいは認証を何回も行うことで、不正アクセスではないことを確認します。
Identity Aware Proxyは端末が社外にあっても有効なため、ゼロトラストのセキュリティ対策として注目されています。
Secure Web Gateway(SWG)
Secure Web Gateway(SWG)は、利用者が外部ネットワークに安全にアクセスすることを目的としたプロキシです。
プロキシとは、内部ネットワークと外部ネットワークの間におくシステムのことで、ログの収集やキャッシュの蓄積を行うことができます。SWGは従来から存在していたプロキシをさらに発展させたセキュリティ対策の1つです。
テレワークやコワーキングスペースでの作業が普及してきたことによって、従業員がどこから外部ネットワークにアクセスするのか事業者は管理するのが難しくなってきています。Secure Web Gatewayを従業員と外部ネットワークのすべての通信に中継させることで、作業環境や端末を選ばず、出口対策を行うことができます。
まとめ
テレワーク推進を起点とした働き方の大きな変化やクラウドサービスの普及によって、セキュリティリスクが高まり、従来の入口対策では組織の情報を不正アクセスから保護することは難しくなってきました。
現在においては、侵入を防ぐことよりも侵入された後いかに情報を外部に持ち出させないかの出口対策がより重要になっています。出口対策のセキュリティシステムも日々進化がので、環境にあったセキュリティ対策を行いましょう。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら\お見積りや導入のご相談はこちら/
お問い合わせはこちら