2021.3.31技術ブログ

ゼロトラストセキュリティの企業への導入について

本投稿ではゼロトラストモデルにおけるセキュリティ対策の概要と、実際に企業に対して導入した際に発生した課題について説明する。

1.はじめに

DXの推進やリモートワークの普及により、様々なデバイス・場所から仕事が行われるようになりました。
また、業務システムについては社内での利用が前提とされたものから、クラウドベースのものが多く利用されるようになりました。これら変化により、従来の境界防御モデルでのセキュリティの確保は困難となったため、ゼロトラストモデルに沿ったセキュリティ対策が必要となります。(図1参照)
ゼロトラストモデルの実現のために必要となる要素技術と導入に関する課題を説明します。

図1:企業ネットワークの変化と新たなセキュリティ対策の必要性

図1:企業ネットワークの変化と新たなセキュリティ対策の必要性

2.社外からのクラウド利用に関する懸念事項

社外に持ち出したデバイスでクラウド上の業務システムを利用する場合、どのような懸念があるでしょうか。 一例として下記が挙げられます。

(1)デバイスの管理及び可視化が困難
社内に存在するActive Directoryや検疫ネットワーク等でのデバイス管理ができなくなります。そのため、デバイスの設定や可視化を行うことができず、脆弱な状態のデバイスからクラウドを利用される可能性があります。

(2)認可外のクラウドストレージへの機密情報の保存
社内からの利用であればプロキシサーバやファイアウォールにより、アクセス制限やアクセス情報の取得を行うことができますが、社外からの利用においてはこれらの対応はできなくなります。そのため、既存のセキュリティ対策では、ユーザが私用で利用しているクラウドストレージ等に機密情報をアップロードされても遮断や検知はできません。

(3)マルウェア感染及び感染後の調査・復旧対応
社外にデバイスを持ち出され、公衆ネットワーク等へ接続されることが想定されるため、マルウェアの感染リスクが高まります。また、感染後においても、ユーザが社外にいる場合は即時の調査・復旧対応が困難となります。

(4)ID/PW流出による第三者からのクラウドアクセス
ID/PWが流出した場合、その情報を知った第三者からクラウドへアクセスされ、機密情報が取得される懸念があります。

3.ゼロトラストモデルでのセキュリティ対策

上記のようなセキュリティ懸念事項が想定されますが、従来の境界防御モデルでの対策では対応が困難となります。この解決のために”ゼロトラスト”というモデルが注目されており、この実現のためには複数のセキュリティソリューションの組み合わせが必要となります。

例として下表のようなものが挙げられます。

4.ゼロトラストモデル導入時の課題

NTTデータでは、世界主要7拠点のグループ会社に対し、ゼロトラストモデルの導入行ってきました。これは、グループ会社に所属する全社員の働き方に大きなインパクトを与える試みであり、導入にあたって様々な課題がありました。

課題1.デバイスの社内/社外兼用利用
社内/社外用の端末を分けて利用するケースも多いと思いますが国によっては費用面で制約があり、1つのデバイスを社内/社外兼用で利用したいという要望がありました。これを満たすためには、社内接続時においては社内の任意のリソースへのアクセスはできるが、社外接続時においては私用のファイルサーバへのアクセスを制御する等の制御が必要となります。
社内/社外のどちらに接続されているかを判別するための仕組みを検討しましたが、これには各社のNW情報の把握や一部社内NW設定の変更を依頼する必要がありました。ユーザの要望する利用シーンやそれによる影響範囲について、早期に把握をする必要があります。

課題2.BYODの利用
モバイルデバイスのBYODについては日本でも採用が進んでいますが、国によってはほぼ100%BYODというケースがありました。セキュアなBYOD活用のためには企業情報の流出についても検討が必要であり、この対策としてMAM(Mobile Application Management)の仕組みにより、アプリ間でのデータコピー制御等の設定を行いました。
BYODのMDM・MAM導入については、ユーザの理解が必要になる部分であるため計画的に導入説明が必要となります。

課題3.既存デバイスの継続利用
MDMはデバイスの自動キッティングの仕組みを持っており、これにより初期のセットアップ時から企業のポリシーに準じたデバイスを構成することが可能となります。ただし、これにはデバイスの初期化が必要となるため、このキッティング方法が許容できない企業・ユーザも存在しました。
初期化をせずに既存のデバイスをMDMに登録する方式を採用しましたが、企業によっては既存加入しているActive Directoryも継続して利用したいケースや、ユーザに管理者権限を与えていないデバイス等様々なケースが存在し、MDM加入の方式や手順を変更する必要がありました。 少数ユーザを対象にした先行導入の実施等方法により、早期の現状把握や課題抽出が必要となります。

5.おわりに

ゼロトラストモデルの要素となるソリューションと導入について説明をしました。様々な場所でクラウドを安全かつ効率的に利用するためには、今後ゼロトラストモデルが重要な要素となります。
最新のクラウド技術を利用した、働き方改革についてお悩みの場合は、弊社までご連絡ください。

- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ