「内と外」に隔てたセキュリティ対策は危険!ゼロトラスト環境を実現する方法

テレワークやクラウドサービスの導入が増えていることにより、場所を問わず社内ネットワークにアクセスする機会が多くなりました。そのため、社内と外部の境界が曖昧になり、「社内環境は安全」という前提が崩れつつあります。

そこで注目されているのが「ゼロトラスト」という考え方です。この記事では、ゼロトラストの定義やゼロトラストが必要とされる理由などについて解説します。

ゼロトラストの定義

ゼロトラストとは、「すべてのトラフィックを信頼しない」という前提のセキュリティアプローチのことです。「ゼロトラストモデル」ともいわれるこの考え方は、2010年に米国の調査会社であるForrester Researchのアナリスト、John Kindervag氏によって提唱されました。

ゼロトラストでは、社内ネットワークの内外でセキュリティ対策を変えることなく、すべてのトラフィックに対して監視や認証を行います。「社内ネットワーク内は安全」という考え方ではなく、「すべてのトラフィックに脅威がある」というのがゼロトラストの考え方です。

ゼロトラストが必要な理由

従来のオンプレミス型の業務システムは、社内ネットワークとインターネットの境界にファイアウォールやIPS/IDSを設置することで不正アクセスや情報流出を検知・防御する「境界防御モデル」が採用されていました。
しかし、テレワーク導入などによって業務システムやファイルサーバーをクラウドに移行するケースが増え、接続にインターネットを経由するシーンも増えています。
そのため、社内外の境界が曖昧になり、従来の境界防御モデルでは対応が困難となりました

業務でクラウドを利用する、業務用端末をパブリックなネットワークに接続するなど、従来とは状況が大きく変化しています。そこで、すべてのトラフィックを信用せず、攻撃されることを前提としたセキュリティ対策が求められるようになりました。

また、従来の境界防御モデルでは、一度内部に侵入されると重要な情報に比較的容易にたどり着けてしまうという問題があります。元々内部にいるユーザーによる内部不正にも対応ができません。「社内ネットワークは安全」という考えでは、これらの脅威を防ぐのが困難です。

そのため、全てのアクセスを平等に監視して不正を防ぐゼロトラストという考え方が採用されるようになりました。

VPNを経由した社内ファイルサーバー接続の問題点

境界防御モデルで代表的なものが、社内ネットワークにファイルサーバーを設置して社外からのアクセスに制限をかけるパターンです。VPNを経由した社内ファイルサーバー接続にはさまざまな問題があります。

VPNトラフィックの逼迫

まずは何よりトラフィックが急増してVPN装置の処理能力を超えると通信の途絶や大きな遅延が発生してしまうことが問題点でしょう。

VPN機器には処理性能があるため、ユーザーからのアクセスが集中してしまうと通信が行えなくなる恐れがあります。

容量不足

データ量の増加と保存期間の長期化による容量不足も問題として挙げられます。古くからのファイルサーバーを使い続け、容量が増え続けているというケースも少なくありません。また、業務のデジタル化やDX推進によって、取り扱うデータ自体が増えたという側面もあります。

データの大容量化によりバックアップにも時間がかかります。バックアップに時間がかかると、バックアップ中に災害などが起きてデータが損失するリスクが高まり、BCPの観点からも問題であると言えます。

コストや手間

ファイルサーバーは導入コストや運用コストが必要です。導入時にはActive Directry連携・ファイアウォールなどの設定に費用がかかり、運用コストとしてはファイルサーバー保守費用の他、サーバー管理者の賃金・賃料・電気代等も発生します。

またファイルサーバーの容量が足りなくなった場合、多くの企業ではサーバー増設を行っているのではないでしょうか。しかし、コストや手間が増加するため、安易なサーバー増設は最適解とはいえません。

運用ルールがまばら

部門や拠点ごとに分散しているファイルサーバーの運用ルールが統合されていないという問題もあります。ファイルサーバーの管理工数が増えるだけでなく、部署や拠点ごとに独自の運用が行われ、社内のセキュリティガバナンスが機能せず、情報漏洩などにつながる可能性もあります。

VPNはゼロトラストセキュリティを前提としていない

ファイルサーバー利用に限らず、外部から社内ネットワークにアクセスするために、VPNを利用するケースは少なくありません。しかし、VPNはゼロトラストセキュリティを前提としていません。

VPNとゼロトラストの根本的な違いは、従来のVPNが「社内外の境界線を明確にする」のに対して、ゼロトラストセキュリティは「何も信用しない」という考え方であるという点です。そのため、ゼロトラストセキュリティは脱VPNの考え方であると言えます。

解決方法としてのクラウドストレージの導入

上記のような社内ファイルサーバーの問題解決として、クラウドストレージの導入という方法があります。クラウドストレージを活用すれば、部門や拠点ごとに分散しているファイルサーバーを集約して、運用やセキュリティレベルを全社的に統一できます。

企業でクラウドサービスの利用が増えていますが、そもそもインターネット経由で利用することを前提にセキュリティ対策を行っているクラウドサービスは、ゼロトラストにも適応しているといえます。クラウドサービスを使えば、全てのアクセスに対して認証を行う、詳細な操作ログを取得するなどの対応が可能です。

また、ゼロトラストセキュリティに基づいてストレージをクラウド化することで、セキュリティレベルが向上するだけでなく固定資産の減少による導入コスト・運用コスト削減も期待できます

必要に応じて容量を増減できるため、自社でサーバー増設などを行う必要もありません。また、どこからでもアクセスできるため、テレワークによる働き方改革にもつながります。

ゼロトラスト環境で求められるセキュリティ対策

ゼロトラストでは、ネットワークの内外でセキュリティの強度を変えることはしません。社内ネットワークの中は安全という考え方は捨て、情報資産へのアクセスは全てセキュリティチェックを行います。

セキュリティチェックは「許可された端末か」「端末にマルウェア感染はないか」「許可されたユーザーアカウントか」など、細かいチェックを都度行って、問題のない通信のみ許可するという方法です。これらの認証を行うことで、外部からの不正なアクセスを遮断します。

「権限を最小限にする」という対策も、ゼロトラストでは重要とされています。アカウントごとに必要な権限だけを設定し、必要以上の権限は付与しません。
これにより、例えばID・PWの漏洩による不正アクセスにも、二要素認証やデバイス認証を活用することで対応することができます。
また、必要以上の権限を与えないことは、内部不正対策にも有効です。

ゼロトラスト環境を実現できるDirectCloud-BOX

法人向けクラウドストレージであるDirectCloud-BOXは、高いセキュリティレベルときめ細やかな権限設定でゼロトラスト環境を実現できます。DirectCloud-BOXでは、ゼロトラストの実現に役立つ次のような機能を提供しています。

  • ・ 二要素認証、デバイス認証、IPアドレス制限によりID・PWに頼らないセキュアなアクセス制御が可能
  • ・ 7種類のアクセスレベル設定により、管理者権限でユーザーの操作を制限することが可能
  • ・ IDSによりホスト内での不正なアクセスを検知し、常時監視する
  • ・ データのアップロード・ダウンロード時にすべてのデータを暗号化
  • ・ CYREN社のInternet Securityにより、ファイルのアップロード前にウイルススキャンを実施

既存のファイルサーバーをクラウドに移行した事例

このように、DirectCloud-BOXはゼロトラストの環境を構築していくにあたり、おすすめのクラウドストレージです。ここでは既存のファイルサーバーからDirectCloud-BOXに移行した事例をご紹介します。

管理・マネジメント業務を主事業としているU社では、オンプレミスのファイルサーバーを共有し、事業所間をVPNで接続していました。しかし、外回りの営業社員がVPNの不便さを感じていたこともあり、ファイルサーバーのクラウド化を選択しました。

DirectCloud-BOXを導入したことで、VPNが不要になっただけでなく、国内の事業所間だけでなく海外のグループ会社ともファイル共有が可能となりました

DirectCloud-BOXはシンプルな操作性で使いやすく、DirectCloudドライブをマウントすることでエクスプローラーと変わらない操作感で使用することができます。料金体系もユーザー数無制限の定額制のため、追加コストの確認・社内での承認・ベンダーへの手配などの手間を削減することができます。

さらに、ストレージの容量が大きいため、業務で使用しているOffice系ファイル、Adobe系ファイル、動画ファイルなどもストレージ容量を気にすることなく利用できるようになりました。

まとめ

クラウドサービスの利用やテレワークの導入が増えている中で、ゼロトラストという考え方が注目されています。社内ネットワークに侵入されると大きな被害に発展してしまう従来の「境界防御モデル」では、セキュリティ対策が不十分といわれる時代となっています。

全てのトラフィックを監視し、最小限の権限しか与えないゼロトラストを実現するには、DirectCloud-BOXの活用が有効です。その一環としてファイルサーバーの移行先にDirectCloud-BOXを採用すると、コスト削減にも役立ちます。

料金体系や機能は製品によって異なるため、自社の要件に合ったクラウドストレージを採用しましょう。法人向けクラウドストレージの選び方のポイントについては、下記のページも参考にしてみてください。



資料ダウンロード