お客様の企業文化と規模に合った最適なゼロトラストソリューションを提案していきたい
2021年6月 | Expert interview
ゼロトラストでは、これまでの境界防御とは異なるコンセプトで情報資産を守ります。その導入にはID管理、デバイス管理、セキュリティポリシーの策定など多くの取り組みが必要になります。企業がゼロトラストに移行する際には、どのようなステップで取り組み、何に注意すべきかなどを三菱電機インフォメーションネットワーク株式会社(MIND) セキュリティ事業部計画部サービス開発課長の黛 潤一氏に伺いました。
三菱電機インフォメーションネットワーク株式会社 セキュリティ事業部 計画部 サービス開発課長 黛 潤一 氏
1997年三菱電機情報ネットワーク株式会社(MIND)入社。配属後、基幹ネットワーク設計、運用を担当。2016年より米国駐在(ITリサーチオフィス)を経て、2019年よりセキュリティ全般の事業企画を行っている。
ゼロトラストはDXのようにITの考え方を変えるキーワード
黛氏はMINDのセキュリティ事業部でセキュリティサービスの企画や評価、開発のマネージャーを務めています。ゼロトラストについて黛氏は次のように語ります。
「ゼロトラストは、セキュリティのキーワードであると同時に、次世代ITのキーワードであると考えています。デジタルトランスフォーメーション(DX)と並んで、ITの考え方を大きく変えるコンセプトといえるでしょう。今までのセキュリティは、区切られた境界の中は安全で、そこへ外からやってくる脅威の侵入を防ぐというコンセプトに基づいていました。ゼロトラストでは、対策をすればネットワークやシステムに侵入されないという考えは捨てなければなりません。むしろ侵入されることを前提として、重要なアプリケーションやデータを守る、何かあった時には、すぐにアラートを出し、影響範囲も特定できるようにするという考え方に変わります」
ゼロトラスト導入の重要ポイントは端末管理、構成管理、セキュリティ運用管理の3点
ゼロトラストは様々な対策を複合的に組み合わせてセキュリティを高めます。黛氏はこれからゼロトラストへ取り組む際のポイントとして、端末管理、構成管理、セキュリティ運用管理の3点を挙げます。
「ゼロトラストを推進するうえでは、まず端末の管理が必須となります。EDR(Endpoint Detection and Response)のようなツールを使って、情報資産にアクセスする端末が信頼できるものかをきちんと確認できるようにしなければなりません」。EDRとは、ネットワークに接続されているあらゆる端末(エンドポイント)の操作や動作の監視を行い、脅威への素早い対応を可能にするソリューションです。
「2つ目はネットワークの中で、守るべき情報資産がどこにあるかという構成管理をしっかり行うことです。以前はすべての資産が境界内の見えるところにありました。しかし、クラウドの普及で情報資産が外に出て行くと、重要なものをどこに置き、どういう構成で管理するかがとても重要になります」(黛氏)
ゼロトラストへの取り組みではIDの管理を最初に行いたくなりますが、まず守るべき資産をきちんと把握してからID管理に取り組むべきだと黛氏は話します。
「3つ目がセキュリティ運用管理です。ゼロトラストではネットワーク上のあらゆる通信のログを収集することが基本です。また、データやアプリケーションに対するアクセス制御もきめ細かく行い、状況に応じて常に変更する運用が求められます。こうしたログの分析やアクセス制御のすべてを人手で行うのは難しいのでAIなどを使った自動化が必要になるでしょう。単なる運用ではなく『セキュリティ運用』の確立が重要です」
ユーザビリティの確保やレガシー資産の保全が定着のポイント
ゼロトラストの導入にあたり、セキュリティを向上させると同時にユーザビリティを確保することが重要だと黛氏は語ります。
「ゼロトラストではID管理がとても重要です。ただし、企業内ではシステム毎にID管理されていることが多いため、既存のID管理をゼロトラストに合わせて強化、もしくは統合していく方が適しています。ユーザーが長年使ってきたID体系がある日突然が変わってしまうことは、ユーザーエクスペリエンスとしては望ましくありません。セキュリティを高めながらも、ユーザーの仕事に対するモチベーションを下げないための工夫が必要になるでしょう」
また、ゼロトラストのような新しいコンセプトを導入する際には、古いサーバーなどレガシーシステムの扱いが問題となります。
「ゼロトラストは、決して既存のものをすべて捨てるわけではありません。クラウド全盛になっても多くの企業には外に出せない情報資産があります。レガシーなシステムを区別し、取り扱う情報の機密レベルを管理する等、適切なアクセス制限をかけるのがよいと思います。社員の大多数が利用するシステム等は、クラウドを用いたシステムへの移行やデータ移行を進め、ゼロトラストでセキュリティを確保していくことになるでしょう」(黛氏)
複数の組織と連携してゼロトラスト関連のソリューションを開発
MINDではすでにゼロトラスト関連ソリューション提供に向けた取り組みを進めています。今後の展望について、黛氏は次のように語ります。
「現在、インフラ関係やDXといった他の部署とも連携しながらゼロトラスト関連の開発を行っています。セキュリティ事業部としては、2020年度に端末セキュリティ対策として、マネージドEDRサービスをリリースしました。2021年度は、アクセス制御サービスを中心としたサービス開発を行い、ラインナップに加えていきたいと考えています。MINDは運用サービスを提供しており、セキュリティ運用管理として、SOC(セキュリティオペレーションセンター)による複数個所からの大量のログを集約し、高度なログ分析サービスを考えています。2021年度からはゼロトラストを社内で実際に導入し、その効果を確認するという取り組みも動きだしています」
さらに、黛氏は開発したソリューションと蓄えたノウハウを顧客への提案力強化につなげていきたいと語ります。
「ゼロトラストには決まった形というのはなく、企業の文化や規模に合わせたソリューションを考え、ステップを踏んで移行していく必要があります。そのためにお客様毎に最適な提案をしていくのがMINDの役割だと考えています」
ゼロトラストネットワーク概念とMINDのサービス