情報セキュリティコラム
本稿の核心を3点で解説します。
コロナ禍やテレワークの普及により、従来の「社内と社外を分ける(境界防御)」セキュリティは限界を迎え、「ゼロトラスト」への移行が急務となっている。
「SASE(サシー)」というクラウドサービス群が流行しているが、これはゼロトラストの一部(通信制御など)を含んでいるため、しばしば混同されがちである。
SASEには、ゼロトラストの根幹である「認証(IdaaS)」が含まれていないことが多い。真のゼロトラスト実現には、SASE(通信制御)だけでなく、IdaaS(本人確認)の導入が不可欠である。
これまでの企業セキュリティは、ファイアウォールなどで社内とインターネットを区切り、境界を守る「境界防御型」が主流でした。しかし、この方式は一度境界を突破されると無力です。
特にコロナ禍以降、VPN機器の脆弱性を狙った攻撃や、テレワーク環境からのランサムウェア感染が急増しました。社内外の境界が曖昧になった今、この従来型の手法は限界を迎えています。
そこで登場したのが、「すべての通信を信頼しない(ゼロトラスト)」という考え方です。
「社内なら安全」という前提を捨て、インターネット上のあらゆるアクセスに対し、個別に「認証(あなたは誰か?)」と「通信制御(通して良いか?)」を行うのが特徴です。これを構成する主要素は、以下の2つです。
インターネット上での「認証」を司る
通信の制御や情報漏洩対策を行う
ゼロトラストに対抗、あるいは関連する概念として提唱されたのが「SASE(サシー)」と「SDP」です。
ガートナー社が提唱。クラウド上のセキュリティサービス(SWGやCASBなど)をひとまとめにしたパッケージ概念です。ゼロトラストの要素を含んでいるため「SASE=ゼロトラスト」と誤解されがちです。
クラウドセキュリティアライアンスが提唱。境界を仮想的に変化させる概念で、中心には「認証(IdaaS)」があるため、SASEよりもゼロトラストに近い考え方と言えます。
SASEとゼロトラストは構成要素が似ていますが、決定的な違いがあります。
通信の最適化(SD-WAN)などが含まれる一方、ゼロトラストの根幹である「IdaaS(認証)」が含まれていないことが多いです。
何よりもまず「認証(IdaaS)」をメインに据えてセキュリティを確保します。
つまり、両者は似ているようで、その根本的な思想と構成要素が異なっているのです。
最近、「SASEを導入したからゼロトラストは完了した」と考える事例が見受けられますが、これは誤りです。
SASE(通信制御)を入れただけでは、ゼロトラストの実現とは言えません。インターネット空間でのセキュリティを確保するためには、SASEに加えて、必ずクラウド認証(IdaaS)を組み合わせる必要があります。
今後、境界防御からの脱却を目指す皆様には、IdaaSの重要性を再認識していただきたいと思います。
記事内のキーワード解説
クラウド経由でID管理や認証(ログイン確認)を行うサービス。ゼロトラストの「玄関」となる機能。
安全なWebアクセスを確保するためのクラウド型プロキシ。有害サイトへのアクセス防止などを行う。
社員がクラウドサービス(SaaS)を安全に使っているか監視・制御する仕組み。
ネットワーク機能とセキュリティ機能をクラウド上で統合して提供するモデル。
ソフトウェアによって接続ごとに仮想的な境界(Perimeter)を作り、通信を保護する技術。
サービスごとのお問い合わせも可能です。
03-6811-1525