ゼロ トラスト ネットワーク。 米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから

今後のネットワークセキュリティに必要な考え方、「ゼロトラスト」とは?

ゼロ トラスト ネットワーク

[1ページ目] [2ページ目] ゼロトラストのアクセス制御は、動的な判断/対処がキモ NISTの定義や原則に従って考えると、「ゼロトラストはどうアクセス制御を行うかという話が重要になる」と小町氏は言う。 アクセス制御のステップは、「識別」「認証」「許可」「説明責任」の4つから構成される。 どのサービスやリソースにアクセスするかということまで把握した上で、ユーザー、デバイス、サービスをID管理基盤に登録し識別する。 そして、アクセス元の身元をより厳密に検証し正当性を認証する。 これはいわゆる多要素認証にあたるもの。 その上でセキュリティリスクを評価し、アクセス元の属性/信頼性に基づきアクセス範囲を決定する」というステップになるとする小町氏。 さらに、ゼロトラストでは、アクセス元の信頼性に応じたかたちで、ユーザーやデバイスがどこにアクセスできるかをポリシーベースでコントロールするという「動的な判断/対処」を行う必要があるとする。 「IDとパスワードが合っていても、本人によるリクエストかどうかまではわからない場合もあります。 また、たとえ本人によるアクセスだったとしても、そのデバイス自体にリスクが存在している可能性があるでしょう。 このように信頼性が低いアクセスの場合、ただブロックするだけでは生産性が上がりません。 公開情報や機密情報でないものならアクセスを許可し、社外秘データをはじめ機密レベルの高いものはアクセスをブロックする。 さらに、多要素認証を強制して本人であることを確認できればアクセス範囲をさらに拡大する、といったことを自動的に行うのがゼロトラストのアクセスコントロールの特徴です」 小町氏 動的な判断 動的な対処 ゼロトラストを実現するには 複数の段階を経てアクセスをコントロールしていくことがゼロトラストのポイントとなる。 小町氏は「ゼロトラストを始めるには、まずセグメンテーション戦略とチームの連携方法から検討していくことが重要」だと説き、「チームが縦割りの状態で進めると失敗する。 必ず横串を通せるような環境で進めてほしい」とアドバイスする。 その上で、IDベースで最新の境界を構築し、セグメント化とネットワーク境界を見直すという流れで進めていくわけだ。 「動的に判断/対処ができるようにして初めて、ゼロトラストのコアな部分が出来上がります。 ネットワークのマイクロセグメンテーションは間違ったことではありませんが、それ自体を目的にしてはいけません。 あくまでコンポーネントの一つとしてセグメンテーションがあるのです」 小町氏.

次の

2020年に流行るらしいゼロトラストネットワークって何?

ゼロ トラスト ネットワーク

昨今、働き方改革という言葉に代表されるように「いつでも、どこでも働ける」環境を整えることが、企業によって大きな課題になりつつあります。 その際に、必ず議論になるのがセキュリティです。 クラウドの活用が進み、デバイスを社外へ持ち出すようになれば、企業のネットワークにおける社内と社外の境目はあいまいになります。 もちろん、例えばクラウドサービスなどを使用するときに、VPNを張りプロキシ経由でアクセスするような構成にしている企業も多いのではないかと思います。 しかし、通信をセキュアに保とうとすれば、プロキシの増強やユーザーの接続時間が長くなるといった、生産性の低下につながりかねません。 こうした悩みを解決すべく、最近は「ゼロトラストネットワーク」に注目が集まっています。 ネットワークに依存しないセキュリティ環境を整えることで、働き方改革もスムーズに進められるでしょう。 具体的には、アクセスの認証を行う際に、毎回セキュリティレベルに達しているのかを検査することでセキュリティを担保します。 例えば 関連記事• 今回は、アンチウイルスソフトだけではマルウェアを防げない実態を紹介します。 ついに配信されるWindows 10の最新アップデート「Fall Creators Update」。 法人向けにも、セキュリティを中心にさまざまな機能強化が行われます。 今回はその中でも、Windows Defender ATPの進化についてご紹介しましょう。 マイクロソフトの新OS「Windows 10」。 今回はAnniversary Updateで追加された、企業向けセキュリティ機能「Windows Defender ATP」について。 働き方改革などのトレンドによって、エンドポイントセキュリティの重要性が高まっています。 今回はエンドポイントセキュリティを「7つの階層」に分け、Windows 10が備えるセキュリティ機能をまとめてみようと思います。

次の

今後のネットワークセキュリティに必要な考え方、「ゼロトラスト」とは?

ゼロ トラスト ネットワーク

現在、ネットワークセキュリティで「ゼロトラストモデル」「ゼロトラストネットワーク」という概念が注目を集めています。 この記事では、ゼロトラストモデルの仕組みやメリットを従来のネットワークセキュリティと比較しながら解説します。 従来モデルの境界防御とは? セキュリティとウイルスなどのサイバー攻撃は、いたちごっこを繰り返していました。 境界防御とは、内部ネットワークを信頼できる領域と考え、基幹システム、業務系ソフトウェア、ファイルサーバーなど機密性の高い情報を設置します。 一方でインターネット(外部ネットワーク)を危険と考え、内部と外部の境界線にUTM(Unified Threat Management=総合脅威管理システム)、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)などを導入するセキュリティ対策です。 つまり内部ネットワークは信用し、外部は信用しないというセキュリティ対策になります。 ゼロトラストが注目され始めた背景 ゼロトラストモデルが注目され始めた背景には、クラウドサービスの普及と働き方の多様化が挙げられます。 クラウドサービス(SaaS)の普及とマルチデバイス テクノロジーと通信技術の発展で、近年世界中でクラウドサービスが爆発的に普及しています。 日本も例外ではありません。 総務省「平成30年通信利用動向調査の結果」によると、「全体的に利用している」「一部の事務所又は部門で利用している」と回答した企業の割合は2016年には46. 基幹システム、ファイルサーバもクラウド上で管理する企業が増え、内部ネットワークに守るべき情報資産がなくなってきた、という現状があります。 それに伴い、モバイル端末のビジネス利用も増えています。 つまり内部ネットワークを介さずに直接インターネット経由で、クラウドサービスを利用するため境界防御の概念自体が成り立たなくなってきています。 働き方の多様化 働き方の多様化もクラウドサービスとモバイル端末の普及に並び、車の両輪のようにネットワークセキュリティの変化を促進させています。 働き方改革により、テレワークやモバイルワークなどオフィス以外で働くスタイルが普及してきたため、社外からさまざまなデバイスを通してクラウドや内部ネットワークに接続します。 そのためリモートアクセスには安全性・利便性が高いVPNを利用するのが一般的です。 しかし、リモートアクセスの数が増えていることと、認証情報さえあればアクセスできる仕組みになっているため、境界防御による内部ネットワークは安全とはいえなくなってきています。 たとえば、BYODで企業ネットワークにアクセスが認められているケースで、端末の紛失・盗難・乗っ取りが起きると、簡単に情報資産にアクセスされてしまいます。 ゼロトラストモデルは、ネットワーク内外の境界を排除し、守るべき情報資産にアクセスするものはすべて検証し、脅威を防ぐという考え方です。 アクセス制御の地点を境界から各ユーザー・デバイスに移すことで、すべてのトラフィックを検証し、安全性を確保します。 裏を返せば「いつでも、どこからでも情報資産に安全にアクセスできる」ということになります。 つまりゼロトラストモデルは、現行の働き方やデジタルトランスフォーメーション自体にもっともフィットしたセキュリティ対策といえます。 ゼロトラストモデルの事例:グーグルのBeyondCorp グーグルは以前より「社外からVPNを介さずにインターネットからどこでも内部ネットワークにアクセスする」環境を構築しています。 それが「BeyondCorp」です。 考え方や仕組みはゼロトラストモデルと同様で、ユーザーと端末の情報に応じたアクセス権が付与される仕組みです。 そのためグーグルは、従業員はもちろん、契約業者もいつでもどこでもインターネットを介して、社内の情報やサービスにアクセスすることが可能となりました。 ゼロトラストモデルは働き方改革に必要なセキュリティ これまで解説してきたように、ゼロトラストモデルはテレワークなどの多様な働き方を促進する際の足かせとなっていたセキュリティ問題を解決しうる新しい概念です。 場所やデバイスを選ばずに、いつでも社内ネットワークに安全にアクセスできることは、業務効率化の観点からも革新的といえるでしょう。 またクラウドサービスが一般的となった現在は、必須ともいえるセキュリティ対策かもしれません。 2020年から5Gが実用化され、IoTやビッグデータ、AIの活用がさらに進むと、ゼロトラストモデルの必要性はさらに増してくるでしょう。 一方で、新しい概念のため、導入にはコストや技術面でのハードルがいくつか存在します。 理想の働き方と生産性、必要なセキュリティ対策をしっかりと見極めて、今後の導入に向けて検討してみてはいかがでしょうか。

次の