顧客にゼロトラストの全体像を示して
その構成要素を継続的に提案していく
PART 3
ゼロトラストセキュリティの実現には広範囲にセキュリティ対策を講じ、導入した製品を連携させて統合的に運用することが求められる。前項ではゼロトラストセキュリティを構成する要素と技術に触れたが、その全体像とはどのようなものなのか、全体像の構築に向けてどのように取り組みを進めればよいのか、ここでは顧客への提案の進め方を考察する。
ゼロトラストの基本は
クラウドを含むIT全体の可視化
マルウェアに感染していても、ID・パスワードが外部に流出してクラウドサービスが不正に利用されていても、既に重要データが外部に流出していても、社員がデータを不正に利用していても、必要な対策を講じていなければ被害が表面化するまで問題を把握することはできない。
その必要な対策を示しているのがゼロトラストセキュリティだ。ゼロトラストセキュリティのポイントとしてユーザーやデータがどのような状態になっているのか、攻撃者は何をしているのか、どこにどのような攻撃を受けているのか、データの流出や喪失などの被害に遭っているのか、ユーザーは何をしているのかといった「可視化」が挙げられる。そこで利用や被害の実態を把握するための防犯カメラあるいはドライブレコーダーとなる専用ツールが必要となる。
やっかいなのは攻撃を受ける箇所が多数あり、その箇所も散在していることだ。社員がPCを利用して働いている場所はそれぞれの自宅などに散らばっており、守るべきデータも社員のそれぞれのPCと、複数の異なるクラウドに分散している。
これらを全体的に可視化するには複数のツールを組み合わせて実現するしかない。具体的にはエンドポイントを監視するEDRやクラウドサービスへのアクセスを監視するCASB、さらにネットワークの通信の監視や機密情報の外部流出の検知などを提供するSWGといった製品が挙げられる。同時にエンドポイントやクラウドに散在するデータの保護も必要だ。
特にクラウドのセキュリティに関して誤解しているユーザーが少なくないという。マカフィーの櫻井氏は「クラウド上のデータ保護の責任が自社にあると理解していない人が多いのが実情です」と指摘する。別掲のマカフィーの資料ではクラウドセキュリティ対策の責任分界点が示されており、IaaSやPaaS、SaaSのいずれもデータ保護、アカウントやアクセス管理の責任がユーザー側にあることを示している。こうした資料を示してクラウド上のデータを保護するDLP製品はもちろん、クラウド上のデータへのアクセスや攻撃を正規のユーザーを含めて監視、可視化するCASB製品などの必要性を顧客に訴えたい。
各ベンダーはセキュリティ強化に向けて
包括的に製品をラインアップ
ゼロトラストセキュリティによる包括的なサイバーセキュリティ対策の全体像について、ベンダーごとに見ていこう。まずシスコシステムズはITの利用環境すなわちネットワークへのアクセス環境が多様化する中で生じる課題への対処としてゼロトラストセキュリティを次のように考えている。
まず「場所やネットワークを信頼しない」、サイバー空間において安全な場所はないということ。「信頼性においては1度限りの検証に頼らず継続的に確認する」、1度安全と判断して許可しても、そのユーザーが継続して本人なのか、危険な状況に変遷していないかを確認する仕組みが必要だということ。
そして「アクセス制御においては最小限の範囲を最小限の時間で制限する」、ユーザーの業務に不要なネットワークやシステムの領域に立ち入らせず、業務に必要な領域と時間だけ利用を許可するということ。その実現にはネットワークの領域を細かく分けて、それぞれで権限を設定する仕組みが必要だ。
さらに「運用においては可視化された情報を利用してアクセスの調整を自動化する」、ネットワークやシステム、各種サービス、デバイスの利用領域や権限を細かく制御するためにIT環境を広範囲に、できれば全てを可視化して実態を把握しながら、状況に応じて適宜適切に制御する。ただしこれを人手で行うのは困難であるため、自動化も必要だ。
こうした考え方に基づいてシスコシステムズではユーザー、デバイス、データ、アプリケーションの四つの要素で信頼性の確立、信頼に応じた制御、継続的な診断をサイクルさせるセキュリティモデルを提唱しており、ワークプレイス、ワークフォース、ワークロードの三つの領域に向けてゼロトラストセキュリティの実現に必要な製品を包括的に提供している。
さらに企業のセキュリティインフラ全体の可視性を向上させることを目的に、クラウドネイティブなセキュリティプラットフォーム「SecureX」を提供している。SecureXはエンドポイントからネットワーク、クラウド、アプリケーションのデータをまとめて分析することができ、リスクの発見や脅威への対応が効率的に行える。
SecureXは同社のセキュリティ製品を統合的に可視化することに加えて、他社製品にも対応する。なおSecureXはシスコシステムズの全ての製品に付属する。シスコシステムズ セキュリティ事業 アーキテクト/エバンジェリスト 木村 滋氏は全体的なサイバーセキュリティ対策に関して「(導入した製品群の)運用を人手で行うことは困難ですし、人為的なミスによるリスクもあります」と、運用の効率化の重要性を指摘する。
セキュリティ投資の予算化を促し
優先度を明確にして計画的に提案
サイバーセキュリティ専業ベンダーであるトレンドマイクロでは以前より提供しているエンドポイント、サーバー、クラウド、メール、ネットワーク、さらにモバイルやIoTなどのセキュリティ製品と、XDRやセキュアアクセス、リスクの可視化などの機能を統合するプラットフォーム「Trend Micro Vision One」を、マカフィーは「MVISION」ブランドで統合ソリューションを提供している。
仮想化などのインフラベンダーであるVMwareもゼロトラストセキュリティを実現するために必要な製品のラインアップを充実している。同社ではITのあらゆる構成要素にセキュリティをあらかじめ内在させる「Intrinsic Security」(イントリンジック セキュリティ)というアプローチで製品を開発・提供する。
日本マイクロソフトはIDベースのゼロトラストセキュリティを提唱しており、Microsoft 365やAzureを通じてセキュリティ機能を提供しているほか、XDRの「Microsoft Defender」やSIEMの「Azure Sentinel」もサービス提供している。
企業で広く利用されているMicrosoft 365には「デバイスとアプリケーションの管理」「IDとアクセス管理」「脅威対策」「情報保護」「セキュリティ管理」「高度なコンプライアンス」など幅広い領域で多数の機能が提供されており、「Microsoft 365 E5」ではこれら全ての機能が利用できる。
手早く実施できるセキュリティの強化策として、既存のMicrosoft 365ユーザーに対してE5へのアップグレードを提案するのも効果的だろう。またOfficeの永続ライセンス版を利用している企業に対して、セキュリティ対策と仕事の生産性を向上させるMicrosoft 365の充実した機能を組み合わせた総合的なコストメリットおよびリスク軽減の効果をアピールし、Microsoft 365へのクラウドシフトを促す提案もできる。
セキュリティ対策の強化をマイクロソフト製品を中心に提案する一方で、顧客の要望に応えるため、あるいは提案に付加価値を加えるために他社のセキュリティ製品を組み合わせるならば、Azure Sentinelを加えることで他社製品を含めた可視化や管理の統合も提案できる。
このようにベンダー各社がそれぞれの強みを生かした考え方でゼロトラストセキュリティに基づく包括的なサイバーセキュリティ対策の全体像を描いている。こうした全体像を参考にして顧客のサイバーセキュリティ対策に不足している要素を指摘し、全体像の完成を目指して継続的に提案を続けることが、これからのサイバーセキュリティビジネスでの成長につながる。
IDC Japan ソフトウェア&セキュリティ リサーチマネージャー 登坂恒夫氏も「強化すべきサイバーセキュリティ対策の優先度を明確化し、計画的な投資によってセキュリティ強度を進めていくべきです」と提言する。
また「サイバーセキュリティ対策への投資を予算化している企業は取り組みに意欲的です。セキュリティ部門の幹部が取締役会に招かれることがある、セキュリティ部門の幹部に経営陣が定期的に報告を求めるといった企業はサイバーセキュリティ対策への投資を予算化する傾向が見られます」とアドバイスする。
ゼロトラストセキュリティの実現は
ベンダー統一かそれとも適材適所か
前述の通りゼロトラストセキュリティに基づく包括的なセキュリティ対策には、構成要素となる複数の製品を組み合わせて導入し、全てを相互に連携させて統合的に運用することが求められる。全ての相互連携と統合的な運用という観点から考えると、ゼロトラストセキュリティを網羅する製品ラインアップを持つベンダーに絞って顧客に提案した方がいいようにも思える。
しかしベンダーごとに製品の得手不得手があるだろうし、細かな機能の違いもあるだろう。また包括的に製品をラインアップしていても、顧客の要望によっては足りない要素が生じる可能性もある。仮にマルチベンダーで製品を構成した場合、SIEMやSOARを利用すれば異なるベンダーの製品間で連携を図れ、可視化や運用の自動化も可能となる。
一方で包括的に製品を提供するベンダーは次のような意見を述べている。ヴイエムウェア マーケティング本部 ソリューションプロダクト マーケティングマネージャー 林 超逸氏は「企業ではエンドポイント、ネットワーク、インフラのそれぞれに不足していたセキュリティを付け足して導入してきた結果、セキュリティ環境のサイロ化が進み複雑化して運用の負担が問題となっています。ベンダーを統一して運用をシンプルにするべきです」と語る。
マカフィーの櫻井氏も「エンドポイントとデータが分散しており、ベンダーを統一してセキュリティ対策を講じることで運用がしやすくなると思います。今後はベンダー統一の方向に進むと見ています」と同じ意見だ。
トレンドマイクロ エンタープライズソリューション部 シニアマネージャー 釜池聡太氏も「現状は異なるベンダーの製品を組み合わせて利用している企業が多いですが、製品ごとに管理コンソールが異なるなど運用が非効率な上に、脅威の全体像が把握できないという問題もあります。またSIEMを利用する際もベンダーごとにデータの出し方が異なるため、それらを統合して可視化するためのルールの策定やメンテナンスに手間がかかるなど、運用は容易ではありません。今後は統合プラットフォームでベンダーを統一していくことが求められるでしょう」と説明する。
シスコシステムズの西氏は「ベンダーを一つに統一にするのではなく、ベンダーの数を減らしたいというのがユーザーの本音でしょう。ツールの入れすぎでツールが連携できていないために生じているアラートの見過ごしや、アラートが増えているのか攻撃されているのかも分からないといった問題を、ベンダーの数を減らすことで連携しやすくなり改善できるからです」と説明する。
同社の執行役員 セキュリティ事業担当 石原洋平氏も「導入するツールが増えて複雑化していく課題に対して、運用の観点でシンプルにしていくことがポイントとなります」とアドバイスする。
全体像を目指して顧客に継続的に提案を続けていく際に、石原氏の指摘の通り、運用の観点でシンプルな構成で全体像の構築を目指すことが重要になる。ベンダーの統一か適材適所かは、提案する顧客の現状の環境においてどちらのアプローチがシンプルな構成で早く全体像に近づけるのかを検討し、顧客の要望も聞き入れながら進めるべきだろう。
また継続的な提案を進める上でベンダーが現在提示している全体像と提供している製品だけではなく、将来のポートフォリオにも着目してベンダーがどのような方向に向かっているのかを情報収集して提案に反映することも大切だ。
経営層にアプローチして
経営や事業に関わるリスク情報を提供
ゼロトラストセキュリティに限らず、そもそも中小企業ではセキュリティ対策に投資する企業が少ない傾向にある。だが今後は企業の規模を問わずセキュリティ対策に適切に投資していかなければ、テレワークで社外に放たれた社員の業務とデータを守ることは不可能であることを、企業の情報システム部門だけではなく経営層にも強く訴えかける必要がある。
その際、日本マイクロソフト Microsoft 365ビジネス本部 プロダクトマーケティングマネージャー 山本 築氏は「経営者に新しいマルウェアが発生して危険です、と話しかけても危機感を持ってもらえません。どんなデータがどのように流出して、感染した企業にどのような損害が生じたのか、経営や事業に関わる情報を提供する必要があります」とアドバイスする。
また「インシデントが発生してから相談しても対処が遅れて被害が大きくなり、取引先に与える悪影響も大きくなります。インシデントが発生する前提で日ごろから相談できるパートナーを作っておくべきです。パートナーも企業にインシデント発生時の迅速な対応の必要性を説き、自社をアピールするべきです」と強調する。