ゼロ トラスト ネットワーク。 2020年に流行るらしいゼロトラストネットワークって何?

ゼロトラストとは? クラウド普及で変わる新しいセキュリティ対策

ゼロ トラスト ネットワーク

この記事の目次• ゼロトラストネットワークとは ゼロトラストネットワークとは、アメリカの調査会社フォレスターリサーチ(Forrester Research)の調査員キンダーバーグ氏により提唱された次世代のネットワークセキュリティの概念のことです。 ゼロトラストネットワークでは「社内は安全である」という前提の下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼロトラスト)ことを前提として、全てのデバイスのトラフィックの検査やログの取得を行う」という性悪説に基づいたアプローチを採用しています。 ゼロトラストネットワークが提案された背景には、2010年前後に重大なセキュリティ侵害や情報漏えいが多発したという事実があります。 これは従来のセキュリティ対策では不十分である証拠であるとして、今後のセキュリティ対策の方向性を抜本的に変える必要があると、キンダーバーグ氏は主張しています。 ゼロトラストネットワークの仕組み ゼロトラストネットワークでは、まず「全てを信頼しない」ことからスタートします。 具体的な例として「アクセス認証」を取り上げましょう。 ゼロトラストネットワークでは外部からのアクセスに対して、毎回セキュリティレベルをチェックして安全が確認できたデバイスのみにアクセスを許可します。 例えば以下の様な観点でセキュリティレベルをチェックします。 アクセスしてきたデバイスが社内で登録されている端末であるかどうか• デバイスにインストールされているセキュリティ対策ソフトの定義ファイルが最新かどうか• デバイスにマルウェアが感染していないかどうか• 外部に漏洩しているIDを使用していないかどうか このような項目をアクセスがあるたびに毎回自動で確認します。 ゼロトラストネットワークの実装ではネットワークの分割が重要になってきます。 つまりデータの種類や用途に応じて、ネットワークを分割し、各ネットワークの境界においてセキュリティ対策を施すことが重要です。 「何を守り、それはどこにあるのか」という対象を整理して、各境界においてアクセスの制御を施し、脅威への対策をとることが必要です。 また、ユーザが使うデバイスなどエンドポイントの対策も重要です。 最近では社外からスマートフォンやノートパソコンを使って、オフィス外部のネットワークからアクセスするケースが増えてきました。 これらのアクセスを社内からのアクセスであると見なして対策を取ることや、エンドポイント自身の自衛手段を持つことも必要不可欠です。 ゼロトラストネットワークのメリット ネットワークの境界だけを防御するこれまでのセキュリティ対策では不十分であることが、認識された結果として、ゼロトラストネットワークの普及が進みつつあります。 特にクラウドコンピューティングなどセキュリティ対策を施すための境界が曖昧な環境において、ゼロトラストネットワークは有効に機能します。 クラウドベースで構築されたゼロトラストネットワークは、クラウド環境と社内環境の双方に対して境界を設けずにセキュリティを確保できるように設計されます。 さらにゼロトラストネットワークでは最小アクセス権の原則に従うことで、「必要な人に必要なだけのアクセス」を実現できます。 営業部門の従業員には営業に必要なデータとアプリケーションの権限を付与し、技術部門の従業員には技術開発に必要なデータとアプリケーションに対して権限が付与されるといった具合です。 クラウドコンピューティングの発展はパソコンだけでなくスマートフォンやタブレットなどを含めた様々なデバイスによる資源の活用も見込まれています。 社内においてファイアウォールとセキュリティ対策ソフトを導入するだけでは守り切れない情報や資源を、ゼロトラストネットワークの導入により、防御可能になる点がゼロトラストネットワークの最大のメリットと言えるでしょう。 ゼロトラストネットワークのデメリット ゼロトラストネットワークでは「信頼できるモノ」と「信頼できないモノ」を区別する必要があります。 しかしここで区別する「信頼性」は不変なものではないことを押さえる必要があります。 一度信頼できると判断されたものは、無条件に信頼できるものであるわけではありません。 完璧なセキュリティが存在しないのと同様に、ゼロトラストネットワークにおいても完全に信頼できると判断できるものはありません。 どのようなモノであっても、セキュリティ上のリスクは残存するものであり、信頼できると判断されたものの残存リスクと向き合う必要があることが、ゼロトラストネットワークのデメリットの1つと言えるでしょう。 さらに、全てを信頼しないという立場から、社内から外部サイトへのアクセスの制限、外部からの社内へのアクセス制限、添付ファイルの禁止など、これらはわかりやすいセキュリティ対策ですが、業務を遂行するにおいて利便性を大きく損なうことになります。 従来からセキュリティ対策には安全性と利便性が相反するというデメリットがありましたが、ゼロトラストネットワークに導入により、そのデメリットが強く表出する可能性があります。 既存環境との共生を図りながら、より効果的に導入できるかどうかが、ゼロトラストネットワークの鍵だと考えられます。 ゼロトラストネットワークの今後 ゼロトラストネットワークの普及のカギの1つとして、「動的なポリシーの設定」があげられます。 例えば同じデバイスを使って、社内のリソースにアクセスする場合、社内からのアクセスの場合は無条件で許可をし、社外からのアクセスの場合は2段階認証を要求するといったものです。 デバイスの所在地や状態を確認し、ポリシーを動的に変化させる技術として機械学習(AI)の活躍も期待できます。 ポリシーの作成は通常複雑になりますが、アクセスした場所やデバイスの種類などを学習させることで、「安全な状態」をAIに学習させることもできるでしょう。 ゼロトラストネットワークは概念としては数年前からあるセキュリティモデルですが、ようやく現実的なレベルで実装されはじめました。 これからのAIやソフトウェアの発達とともに、ゼロトラストネットワークが進化することが期待できます。 まとめ 国内においては2018年ごろからゼロトラストネットワークの重要性が高まり始めました。 この背景にはクラウドの業務活用の伸展と働き方改革の推進が関わってきています。 つまり、会社内だけで仕事をするのではなく、自宅などの社外での業務が推奨されるようになったのです。 アクセス元もアクセス先も社外に存在するようになり、これまでの「境界を防御する」という考え方が意味をなさなくなりつつあるのです。 このような流れを受けて、ゼロトラストネットワークは構築されますが、その実現方法は様々です。 自社においてゼロトラストネットワークの導入を検討する際には、ベンダーが提供している製品やサービスの内容をしっかりと把握することが重要です。 メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント 1. はじめに 2. 近年の個人情報漏洩の状況 3. 内部要因による情報漏洩 3-1. 内部犯行による被害統計情報 3-3. 内部犯行による情報漏洩が増え続ける3つの原因 3-4. 内部犯行を減らすための対策 4. サイバー攻撃の統計情報 4-4. サイバー攻撃がふえ続ける5つの原因 4-5. 急増する日本の企業のWEBサイト改ざんへの対策 4-6. サイバー攻撃の種類を把握しよう 4-7. 日本におけるサイバー攻撃に対する国の対応と今後 4-8. 外部要因による情報漏洩のセキュリティ対策 無料でここまでわかります! ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?.

次の

第27回 もう何も信じない――セキュリティの新常識「ゼロトラストネットワーク」って何ですか? (2/3)

ゼロ トラスト ネットワーク

働き方改革を推進している東芝グループは、それを具現化するさまざまな施策を進めています。 テレワークの導入もその一つです。 さらに、コラボレーションツールやクラウドサービスの活用も、今後ますます増えて盛んになっていくことが見込まれます。 しかし、このような柔軟な働き方を行う際、現状のセキュリティ対策では会社の情報資産を十分に守り抜けないという理由から、デバイスやサービスの利用が厳しく規制されたり、利用のための手続きに多くの時間がかかったりするなどの課題がありました。 そこで東芝デジタルソリューションズでは、新たな情報セキュリティのマネジメントポリシーを策定し、それを基に、新たなネットワークセキュリティ「ゼロトラストネットワーク」を構築することにしました。 ここでは、私たちが今構築しているゼロトラストネットワークについて、ご紹介します。 その一方で、世間ではサイバー攻撃による被害のニュースが後を絶ちません。 情報通信研究機構が2020年2月に公開したレポートでは、ダークネット観測という、使われていないIPアドレスに届いたパケット数の観測を行ったところ、サイバー攻撃に関連する通信が年々増加傾向で、2019年は2018年の1. 5倍にも及んでいたことが報告されています。 (出典:情報通信研究機構 NICTER 観測レポート 2019) デジタル技術の進化や、IoT機器の更なる普及などの反面で、今後ますますサイバー攻撃による脅威が高まることは間違いありません。 しかし、セキュリティ対策を強化することで、便利なサービスの利用制限や禁止事項で利用ポリシーをガチガチに固めてしまうことは、本来の事業活動や作業効率化、さらには働き方改革を推進することへの妨げにしかならないため、これらのバランスを考えた施策を行うことが重要になってきます。 例えば、サイバー攻撃の予兆を事前に把握して対策したり、インシデント時の被害を最小限にしたりするなど、事業の拡大や業務効率化を安全に図れるようなセキュリティ対策が求められます。 そこで当社では、独自ネットワークを構築して、そのセキュリティポリシーを従来の「防御や規制」の重視から、「アクセス制御と継続的な監視」を重視することに再定義しました(図1)。 この定義をもとに生まれたのが、「リスクベースセキュリティマネジメント」「ゼロトラスト」「カスタマーゼロ」という3つのセキュリティマネジメントポリシーです。 1つ目のリスクベースセキュリティマネジメントは、画一的な対策ではなく、発生頻度(確率)が高く、かつ影響度(損失)が大きいリスクから優先的に対応するという方針です。 また2つ目のゼロトラストでは、性悪説をもとに、社内外のどこからのアクセスであっても信頼することをやめ、アプリケーションやデータにアクセスしてきたすべてに対して認証と監視を行います。 つまり、社内からのアクセスに対しても社外からと同様に不正に利用されることを防御するための認証・監視を実施することで信頼のマネジメントを築くのです。 最後に、3つ目のカスタマーゼロとは、私たち自身が最初のカスタマー(お客さま)となり、知識と経験を蓄えた上でお客さまにサービスや付加価値を提供していくという考え方です。 これまでの社内ネットワークインフラが抱える課題 当社には社内ネットワークの中に多くのソフトウェア開発用のシステムや、開発情報資産があります。 これらはこれまで、強固なセキュリティの境界を設けて社内と社外を完全に分離することで、安全に守ってきました。 しかし昨今、パートナー企業や社外のコンサルタントを交えたイノベーション活動や、お客さまとの協業が増えています。 必要な情報へのアクセスは、社員に限られなくなってきたのが実情です。 また、社員がこれらの情報にアクセスする場所はオフィスにとどまらず、テレワークの活用によって、自宅やサテライトオフィス、移動中、外出先など、オフィス以外のさまざまな場所からアクセスするようになりました。 パソコン以外のデバイスによるアクセスや、クラウドサービスを活用したいというニーズも高まっています。 さらに今後は、会社から支給されたデバイスではなく、個人が保有するデバイスを仕事に使用するというBYOD *の活用も主流になっていくでしょう。 今までのように、セキュリティの境界を固定できない状態になっていきます。 これからは、「お客さまや社員の事情や状況など、個々の要求に応じて最適なセキュリティの境界を適用させる」というポリシーの実現が重要な課題になっていきます。 働き方改革とセキュリティ対策のバランスをとり、先の課題をどのようにして解決するのか。 , 30 Aug 2019)と、SASEの考え方を提唱しています。 これを参考に、現在、当社が取り組んでいるのが、新たなネットワークセキュリティ「ゼロトラストネットワーク」の構築です。 これは、社内からのアクセスをはじめ、社員やお客さま/パートナーからのパブリックネットワーク経由もしくはモバイル環境からのアクセスすべてに対して、インターネット上のゲートウェイと認証サービスによるセキュリティ対策や暗号処理対策を施し、システム開発業務や協業ビジネスに必要なクラウドサービスを受けられるようにする仕組みです(図2)。 これにより社内外からのすべての情報のやりとりや利用者の状況を監視します。 ユーザーIDや利用デバイス、ロケーションの監視と管理、アプリケーション制御 ゼロトラストネットワークの肝である監視は、セキュリティオペレーションセンター(SOC)にて常時行います。 当社のSOCでは、監視の漏れを防ぐために、第一段階の振り分けにAIのモデルを導入するなど、オペレーションの精度向上と効率化を図っています。 この仕組みは、今後ますます監視対象とそのログの数が増えるゼロトラストネットワークにおいて、大いに威力を発揮するだろうと考えています。 このような環境を構築することで、自由度の高いクラウド環境でもセキュリティを担保した社内インフラが実現でき、社員ばかりでなく、協業や共創を行うお客さまやパートナーも、たとえどんな場所から、どんなデバイスでアクセスしても、プライバシーや情報漏洩(ろうえい)・改ざんなどのセキュリティリスクから守ることができます。 現在は関係部門でPoC *を行っていますが、2020年度は、開発部門を皮切りに展開を始め、徐々に会社全体に広げていく予定です。 社員が業務に活用するパソコン(デバイス)のセキュリティ対策も、新たに見直しています。 当社では2014年から、会社全体にシンクライアント環境を導入し、データを個々のパソコンに残さないことによるセキュリティ対策を実施してきました。 現在は、約7割の社員が常時シンクライアント環境を活用し、在宅勤務のときには8割以上が利用しています。 しかし、公共交通機関での移動中や、ネットワーク接続が確保できない場所での業務には不向きであるという欠点が、以前からありました。 そこで、ゼロトラストネットワークと並行して、オフライン環境でも使うことができる次世代ワークスペースの検討を進めています。 社員の働き方や対応するお客さまの特性に合わせて、シンクライアント型やオンライン&オフラインのハイブリッド型など、どちらの環境で作業するのが最適かつ安全なのかを部門や社員自らがリスクベースで選択できるように整備していく予定です。 働き方改革とセキュリティを両立するゼロトラストネットワーク。 これは、東芝グループの中でもソフトウェア技術者が多くを占める当社が先行的に進めている取り組みです。 私たちが培ったセキュリティ対策の知恵やノウハウは、東芝グループ内にとどめず、お客さまにも積極的に展開していきます。 なぜなら、私たちにとってセキュリティは、競争分野ではなく協調分野だからです。 これからも私たちは社内外の知恵を集め、さまざまなサイバーリスクへの対抗にまい進していきます。

次の

【図解】コレ1枚でわかるゼロ・トラスト・ネットワーク・セキュリティ:ITソリューション塾:オルタナティブ・ブログ

ゼロ トラスト ネットワーク

multilang-release シンガポ, June 26, 2020 GLOBE NEWSWIRE -- ソフトウェアデファインドのセキュアアクセスソリューションのトッププロバイダー、 Pulse Secure は本日、ギガモン Gigamon とパルスセキュアが統合および共同互換性テストに成功したことを発表した。 パルスセキュアのネットワークアクセスコントロール NAC ソリューションであるPulse Policy Secureを通じて、リモートワーカーのオフィス復帰に備えて、ギガモンから受信したエンドポイントのコンテキスト情報をすべて活用できるようになった。 ギガモンとパルスセキュアを組み合わせることにより、組織はネットワークに接続されたデバイスのリアルタイムの可視性、適応型認証を活用したゼロトラストコントロール、ならびにユーザーおよびエンティティの行動分析 UEBA を利用して、異常を検出し、ネットワークアプリケーションとリソースへの不正アクセスや悪意のあるアクセスを軽減できるようになる。 Pulse Policy Secureは、簡単に配備、管理、統合、拡張できる、ベストセラーのフル機能ネットワークアクセスコントロールソリューションである。 ギガモンは、ダイナミックフィルタリングにより統合トラフィック情報をPulse Policy Secureに送信し、分散ネットワーク全体でエンドポイントの可視性を高め、自動エンドポイントセキュリティコンプライアンスを強化する。 Pulse Policy Secureでは、Pulse Secure UEBA機能を活用し、疑わしいIoTアクティビティ、DGA攻撃、MACスプーフィングなどの異常なアクティビティを識別して、ゼロトラストコントロールに沿ってソリューションの適応型認証機能の一部として対応する。 「ゼロトラストの採用が拡大しているため、セキュリティベンダーコミュニティが協力して、重要なセキュリティ分析データをソリューション間でシームレスに交換して、企業に求められる可視性と制御を確保し、セキュアアクセスに関して、情報に基づいてリアルタイムでより良い意思決定をできるようにすることが極めて重要です。 」と、パルスセキュアのチーフ・レベニュー・オフィサー、アレックス・サーバー Alex Thurber は述べている。 「当社は、ギガモンと技術レベルで緊密に連携し、スムーズな統合プロセスを構築してきました。 これを通じて、2社共通のお客様は両社のテクノロジーを合わせて配備して、目に見える利益を獲得し、ゼロトラストによるネットワーク管理とセキュアアクセスのいずれもが実現します。 」 共同ソリューションのメリットには以下がある。 ゼロトラスト戦略のサポート。 セキュリティ状況に応じて、アクセスを許可する前に、ユーザーとデバイスを検出、プロファイルの確認、認証を実施する。 ユーザーのロールおよびエンドポイントにセキュリティポスチャポリシーを定義。 次に、ネットワークで許可される前に、すべてのエンドポイントに ID、ロール、デバイスクラス、セキュリティポスチャに基づいて アクセスルールを自動的に適用する。 全体的なセキュリティを向上。 ネットワークエッジでデバイスの動的ネットワークセグメンテーションを実行して、脅威の水平拡散を防ぎ、セキュリティインフラストラクチャ SIEMやNGFWなど との双方向統合を有効化にして、脅威への対応を迅速化する。 360 度のエンドポイントインサイト。 Pulse Policy Secureは、詳細なエンドポイントインテリジェンスをキャプチャして、不審な状態変化を継続的にモニタリングし、アクセスの問題と傾向に関するレポートを提供する。 行動分析。 新しい分析エンジンのユーザーアクセス、デバイスコンテキスト情報、システムログの相関より、異常を検出し、脅威のリスクを軽減する。 Pulse Policy Secureを、ギガモンのVisibility and Analytics Fabric East-West型のデータセンタートラフィック、プライベートおよびパブリッククラウドのワークロードなど、すべてのネットワークトラフィックのモニタリングに使用される と統合すると、すべてのトラフィックをまとめて分析して、死角を低減し、疑わしい行動を検出する可能性が向上する。 「エコシステムパートナーシップは、ゼロトラストイニシアチブの採用に欠かせません。 さらに、パルスセキュアなどの主要なセキュアアクセスベンダーと緊密に連携することで、シームレスな統合を確実に実現して、お客様の投資利益率を最大限まで高めることができます。 」と、ギガモン社長兼最高執行責任者のシェーン・バックリー Shane Buckley は述べている。 「各組織とも、少ないリソースでより多くの作業を遂行すべく努力しています。 そのため、各社員の貢献部分を合わせたものを上回るメリットを実現すべく、オートメーションを検討することがよくあります。 」 以上のほか、ギガモンとパルスセキュアを併せて利用するメリットには、トラフィック集約によりポートの利用を最小限に抑えられることがある。 ネットワークリンクのトラフィック量が少ない場合、ギガモンのVisibility and Analytics Fabricにより、トラフィックをまとめてからPulse Policy Secure NACソリューションに送信して、使用するポート数を最小限に抑えている。 トラフィックにタグを付けると、Fabricでトラフィックソースを簡単に識別できる。 さらに、ギガモンVisibility and Analytics Fabricでは、非対称ルーティング制御が改善されているため、セッション情報をまとめて保管できる。 Pulse Policy Secureでは、エンドポイントの接続と強化されたセキュリティ分析の全コンテキストが取得される。 「ギガモンとパルスセキュアなど、ベンダー間の連携は、ゼロトラストイニシアチブを推進しているお客様をサポートする、相互運用性の価値を実証するものです。 」 強化された統合機能は、Pulse Policy SecureおよびギガモンVisibility and Analytics Fabricのプラットフォームの両プラットフォームで、標準ライセンスモデルの一部として無料で利用できる。 また、パルスセキュアのパートナーも各顧客にギガモンソリューションを提供しており、セキュリティチャネルコミュニティに特定の関連があるパートナーシップを構築している。 2社共通の顧客およびパートナーは、 にアクセスすると、ギガモンとパルスセキュアの統合の詳細を確認できる。 ツイートのお願い サンプル文例 : パルスセキュアとギガモンが統合を認証。 従業員のオフィス復帰が始まったことを受けて、オンプレミスのエンドポイントの可視性、セキュアアクセス、ユーザーおよびエンティティの行動分析機能を強化するため。 PulseSecure Gigamon NetworkAccessControl SecureAccess ZeroTrust パルスセキュアについて パルスセキュア Pulse Secure は、お客様の可視性、保護能力、生産性を向上するユーザー、デバイス、製品およびサービス向けの簡単かつ総合的なソフトウェア主導のセキュアアクセスソリューションを提供している。 当社のスイートは、クラウド、モバイル、アプリケーション、およびネットワークアクセスを独自に統合することで、ゼロトラスト社会にハイブリッドITの可能性を作り出す。 あらゆる業種にまたがる24,000社以上の企業およびサービスプロバイダーが、パルスセキュアを採用することで、モバイルを利用する従業員がデータセンターのアプリケーションや情報に安全にアクセスできるようにし、ビジネス上のコンプライアンス維持に取り組んでいる。 詳細については、 を閲覧されたい。 でアカウント「 PulseSecure」をフォローするか、 および ページも訪問されたい。

次の