[IT Leaders Tech Strategy LIVE ゼロトラストへのシフトを急げ!]

境界型対策とのハイブリッドがゼロトラストの現実解、“境界制御+SDP”サービスの実力とは

2021年8月13日(金)

従業員の働く場所が社外にも急速に広がる中、従来からの境界型セキュリティ対策は限界に近付きつつある。そこで注目を集める新たなセキュリティの在り方が、あらゆる対象を信頼しない「ゼロトラスト」だ。ゼロトラストはその仕組みから、慣れ親しんだオンプレミスの利便性が低下してしまいがちだが、打開策となるのが、境界型と組み合わせるハイブリッド型のアプローチだ。2021年7月28日にオンラインで開催された、IT Leaders Tech Strategy LIVE『企業ネットワーク/セキュリティの新原則「ゼロトラスト」へのシフトを急げ!』(主催:インプレス IT Leaders)のセッションでは、インターネットイニシアティブ(IIJ)の浅子良太氏が、具体的な道筋を提示した。

ゼロトラストの“必然性”と“方向性”

 働き方改革、さらに新型コロナの感染防止策としてのリモートワークの急速な広がりを背景に、社内外のネットワークの境界で外部攻撃を食い止める従来からのセキュリティ対策が機能しにくくなっている。

 そこで新たなアプローチとして注目を集めるのが、不特定多数が利用するクラウド環境を前提に「何も信頼しない。攻撃があるのが当然」との考えに立った「ゼロトラスト」だ。NIST(米国立標準技術研究所)がセキュリティ対策の標準として扱うよう提言し、今日のクラウド化が進む時流にも合致していることもあり、ベンダー各社の対応も急ピッチで進む。

 ゼロトラストで実行されるべき信条は7つ存在する。

  1. アクセス対象のデータ、コンピューティングは“全て”リソースとみなす
  2. ネットワーク的なロケーションは信用しない
  3. リソースへのアクセスは“セッション毎”に認可するべき
  4. リソースへのアクセスは動的ポリシーによって決めるべき
  5. 企業のデバイスはセキュアな状態に維持・監視すべき
  6. 確実で強固な認証と認可確認の仕組み
  7. ネットワーク(通信状況)の情報収集を行い、ポリシー策定に反映

 柱となるのが社内リソースへのアクセス時にあらゆる端末が、PDP(ポリシー決定ポイント)とPEP(ポリシー強制ポイント)を必ず通過し、認可を得ることだ。

 インターネットイニシアティブ(IIJ)のサービスプロダクト推進本部 営業推進部 DWPソリューション課で課長代行を務める浅子良太氏は、「これをベースに、周辺システムから得られる情報なども加味したPDPによるポリシーの柔軟な見直しや、PEPでのセッションごとのアクセス制御、デバイス監視の仕組み作りなどの推進が、ゼロトラストの向かうべき方向性となります」と説明する。

株式会社インターネットイニシアティブ(IIJ) サービスプロダクト推進本部 営業推進部 DWPソリューション課 課長代行 浅子良太氏

ゼロトラストの不便さをハイブリッド化で解消

 ただし、ゼロトラストへの移行には大きな課題も残されている。理想的なゼロトラストでは境界の概念が無いことから、既存ネットワークを抱えるほとんどの企業にとって実現が困難だ。クラウド環境を前提とすれば仕方がないことだが、企業システムの現状に目を転じれば、いまだオンプレミス頼りの部分も多く、クラウド利用が進みつつも、独自システムをIaaS環境に配置するなど、オンプレミスの延長として扱うケースが大半だ。

 浅子氏は、「こうした実態を無視した無闇なゼロトラストの採用は、システムの利便性の低下を招いてしまいます」と警鐘を鳴らす。実際に、SAML(Security Assertion Markup Language)による認証が行えない従来からのシステムの利用は難しくなり、対応のために導入したコネクタも全てのアプリケーションには対応しておらず、レガシーなシステムはRDP(Remote Desktop Protocol)で使わざるを得なくなるケースも珍しくはないという。

 「つまり、クラウドとオンプレミスが併存した環境での、ゼロトラストの適切な適用法を見極める必要があるのです」(浅子氏)。

 そのための“秘策”として浅子氏が有効性を訴えるのが、オンプレミスは今後も残り続けることを前提に、境界型防御も併存させる「ハイブリッド・ゼロトラスト」だ。

 「NISTも境界型防御やFW・VPN等の技術自体を否定しているわけではありません。逆にそれらの環境と共存する前提で考えることで、ゼロトラストの利便性の問題を少なからず解消でき、現場に馴染みやすく仕立てられます」(浅子氏)。

高品質なVPNとセキュアな接続コントロールを実現するSDPの組み合わせ

 IIJではその支援に向けたサービスを数多く提供している。その代表格が、VPNの遅さや切れやすさなどを解消した高品質なVPNと、ソフトウェアでの境界定義によるセキュアなアクセス制御を実現するSDP(Software Defined Perimeter)を組み合わせた「IIJフレックスモビリティサービス」だ。

 注目されるのは、IIJフレックスモビリティサービスでは、ユーザーや端末の状態などの「対象」と、端末固有のIDや接続状況、ソフトウェアなどの「条件」、作業内容の「アクション」を掛け合わせるかたちでの条件設定により、SDPがアクセスを柔軟に制御するPDP/PEPとして機能する点だ。

IIJフレックスモビリティサービスがPDP/PEPとして機能する
拡大画像表示

 「業務する場所に応じたポリシー変更やウィルス検知による遮断といった様々なコンテキストによる制御から、IPやポート番号によるアクセス制御、アプリケーションを指定したインターネットブレイクアウトまで、SDPにより幅広い制御が可能です」(浅子氏)。

 企業ネットワークとセキュリティに必要な機能をクラウド上で提供する同社のSD-WAN/SASE(Secure Access Service Edge)サービス「IIJ Omnibus」との連携により、クラウドやWAN、インターネットへの安全かつ適切な大量トラフィックの振り分けも実現できる。

「IIJ Omnibus」との連携イメージ
拡大画像表示

 SDPのデザインパターンはいわばアイデアの数だけ存在すると言っていい。例えば、「指定時間」「セキュリティ対策ソフトを導入し、Windows Updateを実施済みの端末」「ドメイン参加端末」のみのVPN接続の許可や、IT環境の利便性向上のための「VPN接続時のプリンター利用」「VPN強制時のビデオ会議アプリ通信のオフロード」「VPN強制時のWindows Update通信のオフロード」などがその一例だ。

通信可視化による細かな制御でセキュリティを一層強化

 IIJフレックスモビリティサービスの機能はサービスインから2年を経た今なお進化中だ。近年、利用が広がるインターネットブレイクアウトで課題となっているのが、通信がFWやゲートウェイなどを経由しないために、どのアプリがどのリソースにアクセスしたのかの追跡、ひいてはリスク把握が困難なことだ。

 それに対して、IIJフレックスモビリティサービスでは、「インターネットブレイクアウト通信の可視化」に加え、「端末側でのWebフィルタリング」などの機能の実装と「ログ収集/可視化機能の強化」といったサービス進化を2021年度中に予定している。

 「通信を可視化できなければ、現場からリモートアクセスへの機能的なクレームが寄せられても、原因がユーザーの操作なのか、Wi-Fiの電波状況なのかといった問題切り分けも困難です。しかし、機能強化を通じた通信状況の把握を通じて、早期の原因特定や新たなポリシー策定のための通信の分析が可能となります」(浅子氏)。

 各種分析を通じた前述の7つの規程の深化を通じて、セキュリティをより強固なものにできるのは言うまでもない。

ハイブリッドを具現化する多様なサービスコンポーネント

 IIJフレックスモビリティサービスは端末にエージェントをインストールして利用するが、BYOD(Bring Your Own Device)などの理由でそれが困難なケースもある。そのための策としてIIJが用意しているのが、仮想デスクトップとの連携だ。具体的には、FIDO(Fast IDentity Online)などの高度な認証で仮想デスクトップにアクセスさせ、端末から完全に分離された、つまり端末に起因するリスクを排した通信をPDP/PEPで制御する仕組みである。仮想デスクトップサービスの長年の提供実績もそこでのIIJの武器の1つだ。

ネットワークエージェントを配布しない構成例
拡大画像表示

 もっとも、企業ネットワークは各社各様で、ハイブリッド・ゼロトラストで目指すべき姿もそれぞれ異なる。

 「VPNやリモートアクセス、ソフトウェア制御機能をクラウドで包含して提供するSASE(Secure Access Service Edge)との組み合わせは、その親和性の高さからハイブリッド・ゼロトラストの実現に向けた有力な選択肢です。ただ、いずれの形態を採るにせよ、ハイブリッド・ゼロトラストの狙いは、安全かつ快適なデジタルワークプレースの実現にあることに変わりはなく、その点から自社に最適なかたちの見極めが何より肝要です」(浅子氏)。

 デバイスのセキュリティから資産管理、通信/アプリケーション制御、認証までの多様なサービスを豊富に取り揃えるIIJは、群を抜く総合力で今後も企業のセキュリティ対策の右腕であり続けるだろう。


●お問い合わせ先

株式会社インターネットイニシアティブ

URL: https://www.iij.ad.jp/

バックナンバー
IT Leaders Tech Strategy LIVE ゼロトラストへのシフトを急げ!一覧へ
関連記事

Special

-PR-

境界型対策とのハイブリッドがゼロトラストの現実解、“境界制御+SDP”サービスの実力とは従業員の働く場所が社外にも急速に広がる中、従来からの境界型セキュリティ対策は限界に近付きつつある。そこで注目を集める新たなセキュリティの在り方が、あらゆる対象を信頼しない「ゼロトラスト」だ。ゼロトラストはその仕組みから、慣れ親しんだオンプレミスの利便性が低下してしまいがちだが、打開策となるのが、境界型と組み合わせるハイブリッド型のアプローチだ。2021年7月28日にオンラインで開催された、IT Leaders Tech Strategy LIVE『企業ネットワーク/セキュリティの新原則「ゼロトラスト」へのシフトを急げ!』(主催:インプレス IT Leaders)のセッションでは、インターネットイニシアティブ(IIJ)の浅子良太氏が、具体的な道筋を提示した。

PAGE TOP