DXの推進やコロナ禍によるテレワークの浸透でセキュリティが変わる――ゼロトラストに基づくクラウドセキュリティとは

(SB C&S株式会社 ICT事業本部 ICT事業戦略・技術本部 技術統括部 テクニカルマーケティングセンター ビジネス開発課 竹石渡氏)

自動化やロボット、AIなど、新しい技術の導入、運用で忘れてはならないのが、情報セキュリティの確保です。ネットワークに接続されているシステムを不正アクセスから守り、サイバー攻撃や情報漏洩といったセキュリティインシデントを防ぐため、企業のネットワークには様々な技術が導入されています。

近年の働き方改革、特にコロナ禍で劇的に変化したテレワークによる社外環境からの接続増加、クラウドサービスの利用拡大などに伴い、セキュリティ施策の重要性は増すとともに、その技術に関しても、大きな変化が起きています。本記事では、セキュリティに関する2つの新たなキーワードである「SASE」「ゼロトラスト」について、SB C&S株式会社 ICT事業本部 ICT事業戦略・技術本部 技術統括部 テクニカルマーケティングセンター ビジネス開発課の竹石渡さんに解説していただきます。

SASEとはなにか?

[竹石氏]近年は様々な企業がDX(デジタルトランスフォーメーション)に取り組んでいますが、このDXの推進にはセキュリティが必ず求められます。しかし、セキュリティはコストやスピード、利便性などとはトレードオフの関係と言えるもので、例えば新しいサービスにセキュリティを実施したがゆえに利便性が失われてDXが失敗してしまう、ということもありえるでしょう。

そのため、これからはセキュリティを実施する際にスピードや利便性を両立させることが、DX成否のポイントになり、それを実現するための概念が「SASE(Secure Access Service Edge)」なのです。

[竹石氏]一言でセキュリティを担保するといっても、実際には様々なファンクションを導入する必要があります。例えばクラウドのプロキシやリモートアクセスの制御、ファイヤーウォール、SaaSのセキュリティなど、セキュリティ環境を守るための製品は多くありますが、別々のベンダーの機器を導入することになると、管理が複雑になってコストも高くなり、運用も難しいという問題が出てきます。そのため、こうしたセキュリティ製品を単一あるいは少数のベンダーで提供することで、コストの削減や複雑性の排除、利便性の向上を実現するというのが、SASEという概念です。

もっとも、現状ネットワークやセキュリティに係わる機能を、1社で全て提供しているメーカーはありません。弊社はITディストリビューターとして、いろいろなメーカーの製品を用意することで、お客様の要件にあった最適な組み合わせを提供し、SASEの概念に沿ったソリューションを実現しています。

テレワークの拡大によるネットワーク環境の変化

[竹石氏]コロナ禍になるまでは、多くの企業で従業員は普通に出社して、社内でインターネットやイントラネットを使っていました。こうした場合のアクセスは社内のゲートウェイを通してすべて制御できますから、社内の情報資産を社外から守る、という境界防御型のセキュリティが主流だったのです。

[竹石氏]オンプレミスのセキュリティ環境では、その機器の配下に制御対象の端末があることが条件になります。ではコロナ禍によってテレワークが浸透し、従業員が自宅から外部にアクセスしようとすると何が起きるかと言うと、通常は各自が持っている個人向けルーターはセキュリティ機能を持っていないことが多いので、社内にいるときと比較して、セキュリティ環境はとても脆弱になってしまいます。

この脆弱性が許容できない場合、いったん会社のネットワークにVPNで接続し、会社のプロキシを経由してインターネットにつなげるという手段があります。この場合、セキュリティレベルは社内からのアクセスと同等だと言えますが、テレワークの急拡大によって、企業のVPNゲートウェイのリソースがひっ迫するなど、利便性に係わる別の課題が顕在化してきてしまいます。

[竹石氏]加えて、テレワーク環境ではアクセス元が自宅やネットカフェなど多様化する一方で、アクセス先もオンプレミスで構築された社内システムから、DXの推進などによって、パブリッククラウドやSaaSの利用へと移行しています。このように、アクセス元もアクセス先も多様化したことで、従来の境界防御型のセキュリティから、ゼロトラストベースのクラウドセキュリティへの移行が求められるようになってきました。

性悪説で考えるゼロトラストがセキュリティの主流に

[竹石氏]「ゼロトラスト」とは、性悪説に基づいてセキュリティを考えるということです。例えば、AさんがVPN接続を利用しているとしましょう。一旦VPNで接続した後で、Aさんではない他の人がそのPCを使っていない、という保証はありませんよね。一般的なVPN接続では、1回認証して接続したらたとえ他の人が使っていたとしても検知できないのです。つまり、ユーザーが悪いことをしないという性善説に基づいてセキュリティを実装しているということですね。

VPN接続であれば、1回だけでなく、アプリケーションに接続するたびに常に認証、認可する仕組みを入れたり、あるいはそのユーザーの通常勤務時間が9~18時である場合、もし深夜2時にアクセスがあったら、端末が乗っ取られたのではないか?と考えたり、各ユーザーの普段の振る舞いに基づいて、アクセスを認証する仕組みが必要です。加えて、アンチウイルスソフトウェアが正しくアクティベーションされているかなども確認した上で認証、認可する。これはVPNの例ですが、サーバーもクラウドサービスも、ありとあらゆるところで性悪説に立ってセキュリティを考えましょうというのが、ゼロトラストという考え方で、これが最近のセキュリティの主流になってきています。

[竹石氏]DXの推進、クラウドシフトによるアクセス先の多様化と、コロナ禍で加速したテレワークによるアクセス元の多様化、こうした変化によって、従来のセキュリティには限界が来ています。

ぜひこれを機にSASEやゼロトラストのエッセンスを盛り込みセキュリティのトランスフォーメーションをご検討してみてはいかがでしょうか。


<プロフィール>
竹石 渡(SB C&S株式会社 ICT 事業本部 ICT事業戦略・技術本部 技術統括部 テクニカルマーケティングセンター ビジネス開発課)
2013 年、新卒でSB C&S 株式会社へ入社。セキュリティ製品のプリセールスエンジニアとして案件支援やセミナー登壇、プロダクトの性能検証などに従事。2018 年からはビジネス開発を担当、クラウドセキュリティ、DevOps、データマネジメントのキーワードで技術トレンド調査、新規プロダクト取り扱い、GTM 策定、案件支援などに従事。セキュリティの上位資格「CISSP」を保有。

関連リンク

SB C&S株式会社


ライタープロフィール
後藤 銀河
アメショーの銀河(♂)をこよなく愛すライター兼編集者。エンジニアのバックグラウンドを生かし、国内外のニュース記事を中心に誰が読んでもわかりやすい文章を書けるよう、日々奮闘中。


関連記事

アーカイブ

fabcross
meitec
next
メルマガ登録
ページ上部へ戻る