メールの誤送信から不正アクセス、大規模な情報流出まで、セキュリティの事故は日々後を絶たない。パブリッククラウドや外部データ連携など、自社の境界外で情報資産を扱うことも増えた今、ネットワーク上のセキュリティリスクは一層高まっている。
そんな時勢を踏まえてか、いま注目を集めているのが「ゼロトラストネットワーク」だ。
ゼロトラストとは、社内外といった境界を作らず「何も信頼しない(zero trust)」ことを前提にセキュリティ対策を講じていくということだが、どうすれば実現できるのか。ゼロトラストを実現し、社内の情報資産を守るには、何から始めていけばいいのか。
本稿は、4月20日に開催されたLedge.ai Webinar vol.46「情報資産をどう守る? ゼロトラスト時代のネットワークセキュリティ」をレポートする。
NTT Com DD株式会社 ソリューションアーキテクト 団野奈保子氏
Tufin Japan 担当者
株式会社レッジ 代表取締役社長 小瀧健太
知っておきたい、ネットワーク運用のサイクルとゼロトラスト実現の3ステップ
社内資産にアクセスする端末や手段は増え続け、もはやネットワークの複雑化は避けられない。
リモートワークが変えたのは働き方だけではない
NTT Com DDの団野氏は、働き方の多様化で、ネットワーク上のセキュリティの担保がより難しくなってきたという現状を明かす。
接続元(サブジェクト)と接続先(オブジェクト)間が複雑化して、ネットワークの全体像を把握できなくなってきたいま「どういった形で社内の情報資産にアクセスさせ、認証情報を持たせるか」という条件の管理がより難しくなっているのです」
接続デバイスが多様化するだけでなく、特定アプリを経由した接続も増えている
情報資産にアクセスする端末やアプリケーションが増える中で、アカウント(ID)の管理や、社員ひとりひとりに合わせた権限の付与・ポリシーの管理に加え、認証コントロールやAAA(トリプルエー、Authentication/Authorization/Accounting)の保証も加味して保守・運用する必要があるという。
いかにネットワーク管理を保証し、運用していくかを考えるとき、団野氏は以下の(1)から(4)までのサイクルを回していくことが重要だと主張した。
(1)Orchestration(オーケストレーション):端末やアプリケーションの接続情報を集め、人が見やすいように現状を整理・可視化する
(2)Automation(オートメーション):整理された情報を元に、レポートや対策案を自動作成し人に提案
(3)Decition(ディシジョン):オートメーションの提案を踏まえて、適用か検討をするか意思決定する
(4)Responce(レスポンス):人の判断を元に対策を自動で適用・設定変更したうえで実行する
人が必要とされている工程は3番目の「Decision」のみ
人力で作る「可視化リスト」はいつまでたっても完成しない
このサイクルを念頭に、はじめの一歩をどう踏み出せばいいのかを考えてみたい。
多くの社員が複数のデバイスからアクセスし、さまざまなアプリケーション経由で情報資産にアクセスするという状態でも、可視化・自社のあるべき姿(tobeモデル)を描く・実際にアクションを起こす、の3ステップを踏んでセキュリティを担保すればゼロトラストに近づけるという。
ゼロトラストはあくまで理想状態で、自社の考える理想に近づけつつ現実の落とし所を探るというのが現実的、ということだが、一番始めの可視化ステップで陥りがちな罠がある。
とはいえ外部の業者に管理や可視化を依頼しても、かえって特定の範囲で管理が分断し、サイロ化するのが現状です」
可視化リスト作りをはじめとする、手作業の最大のリスクは属人化だ。
可視化や課題の発見には担当者個人の経験や独自のノウハウがものをいう。転職や異動などでその人が離れてしまった場合、リストの更新が止まり状況が把握できず、適切な対処法が分からないままセキュリティ事故が発生……という最悪のケースも起こりうるだろう。
潜在リスクの発見から対策の提案まで自動化
人手と時間をかけながら、手作りの可視化リストを更新し続けずとも、ネットワーク全体やリスクを見渡せる方法はあるのか?
「現状を把握し、複雑なネットワーク環境をいかに効率的に運用すべきかを提案する」という観点のもと、ネットワークの可視化から、対処法の提案までを自動でできるツールがある。それがオーケストレーションツールのTufin Orchestration Suite(以下Tufin)だ。
Tufinは世界約2000社の企業で導入されている、ネットワーク・セキュリティ・ポリシー管理ソリューションだ。社内資産へのアクセス状況や、現在運用しているセキュリティポリシーがはらむリスクを可視化する。
さまざまなエンタープライズ向けツールと連携できる 出展:Tufin Orchestration Suite(NTT Com DD 公式ウェブサイト)
この画像のセキュリティスコアは49%で「望ましくない状態」ということだ
Tufin Japanの担当者によると、Tufinのようなオーケストレーションツールはオーケストラにおける「楽譜」のような存在だという。
なかには『(自社のネットワークの状況やリスクを)だいたい理解しています』とおっしゃる方もいますが、ゼロトラストを目指すなら『だいたい』は許されません」
Tufinのオーケストレーションは単なるネットワーク可視化にとどまらない。自動的にネットワーク利用図を作成する機能(ネットワークトポロジー)に加え、サブジェクトとオブジェクト間の関係をマトリクス化し、全社ネットワーク上の潜在的なリスクを洗い出すUSP※機能なども備えている。
※USP:”Unified Security Policy”の略。サーバー間・セグメント間の通信のセキュリティ方針をマトリクス形式で定義したもの
USP機能では、コンプライアンス違反のルールや設定がないか一望できる
現状の機器が抱えている課題などの情報もまとめてグラフ化する
よりセキュリティ性の高いネットワークにしていくには、過去に作ったルールやポリシーの点検も欠かせません。こうした部分もTufinを使って可視化すると、新たな対策方法が見えてきます」
Tufinは管理手法を自動で提案する、オートメーションの役割も果たす。代表的なものが、入力された要件に応じて自動でルールを作る機能と、自動生成されたルールを診断するリスク分析機能だ。
自動提案を踏まえて人が意思決定をしたあとは、Tufinは設定変更の箇所も提案する。先ほどの「ネットワーク運用サイクル」では、“判断する”以外の作業工程をTufinが請け負う、というわけだ。
団野氏も、Tufinのこれらの機能に太鼓判を押す。
ツールの利用金額だけで「費用対効果」を測るのは早計?
こうしたツールの導入を考えるときに、ほぼすべての方が考えるのが費用対効果だろう。特にセキュリティは、直接利益を生み出せる投資とは言えない。団野氏は、人手やセキュリティ事故発生後のコストも加味して考えてほしい、と主張する。
事故が起こる前と起こった後では費用だけではなく、責任の問われ方も重くなります。こうしたリスクも踏まえて費用対効果、というのも一つの考え方かなと思います。
セキュリティはお金を生む投資ではありませんが、ツールを使うと人手では1〜2カ月かかるような作業が1日で終わるので、管理工数の削減に繋がります。人手不足が叫ばれる中で、これまで人が運用・管理してきた部分を、うまくAIなどに置き換えて自動化していく、ということに焦点を移していかないと間に合わなくなるでしょう」
セキュリティ対策は少数精鋭で挑め
最後に「これからゼロトラストを実現したい」と考える人に向けた登壇者からのメッセージを紹介したい。
残念ながら、現状分析だけでも力尽きてしまう会社さんがほとんどです。巨大プロジェクトだと思われていると大抵が失敗します」
Tufinを通じてAIの力を借りると、ネットワーク保証のサイクルが回しやすくなります。
可視化や情報整理、ひとつひとつのルールを吟味するといった負荷を軽減し、人は判断をするだけ、という状態にすることで、人手不足のカバーにも繋がっていくのではないでしょうか。
こうしたツールの活用を含め、ネットワーク運用の課題を解決するお手伝いができますと嬉しいです」
