超高速・多数同時接続の時代 クラウドセキュリティーはゼロトラストで考える

新型コロナウイルス感染症の拡大防止のため、産業界ではテレワークの推進が掲げられています。企業情報システムへのリモートアクセスに加えて、Web会議システムやクラウドストレージなど、多様なクラウド事業者が提供するサービスの利用が積極的に行われる一方、超高速・大容量、低遅延、多数同時接続を可能とする5G対応スマートフォンが相次いで登場しており、リアルタイムの映像データや大容量のファイル共有が今後見込まれます。デジタルトランスフォーメーション（DX）を進める企業において、情報セキュリティー面にはどのような配慮や対応が求められるのでしょうか。ユニアデックス DXビジネス創生本部の狼秀明と越渡俊幸に聞きました。

狼　新型コロナの拡大を背景に、組織におけるDXと働き方改革が加速しています。DXの観点では、事業の企画・開発側とエンジニアが連携し、短期間にアプリやWebサービスなどをリリースするフィンテック系のサービスが市場でのプレゼンスを高めています。サービスの開発環境と提供プラットフォームにクラウドサービスを利用することで、他社に先んじるスピーディーなサービスインを可能にしています。

働き方改革の面では、在宅勤務などのリモートワーク環境やWeb会議などでクラウドサービスの利用が欠かせなくなってきました。Webセミナーや商談は地理的な制約を超えた顧客接点としてビジネス機会の創出に寄与しています。

越渡　一方でテレワークの拡大は、コロナ禍以前とは異なる通信ネットワーク上の新たな課題をもたらしています。従来は、インターネットに接続する際にVPN（Virtual Private Network）を介して一度、社内システムにログイン、またはデータセンターを経由してアクセスするというのが一般的でした。

しかし、設計時の想定を超えた数百台、数千台の端末が一度に接続すると、社内LAN／WANの境界にあるゲートウェイがボトルネックになり通信全体に遅延が発生。業務が遅滞・中断する、生産性が低下するといった問題を引き起こしてしまいます。

狼　情報漏洩のリスクも高まっています。さまざまなSaaSアプリケーションやクラウド上の業務アプリケーションの増加に伴い、ログインする際のID／パスワードをいくつも覚えるのが面倒になり、簡単なパスワードを登録したりそれらを使いまわしがちです。悪意ある第三者にアカウントを乗っ取られたり、データの盗難・改ざんにつながったりするリスクが高まります。

また、機密性の高いWeb会議システムの録画データや資料が、誰でも閲覧できるようクラウド上に公開されたままになっていたなど、続々と登場する新しいクラウドサービスの機能を十分に使いこなせていないケースも散見されます。

越渡　まずシステム管理者は、これまでのセキュリティー境界の考え方、アプローチを転換する好機だと思います。かつては「情報資産をファイアウォールなどで守られた社内LANに置いておけば安全である」という境界の考え方でした。それでは一度、LAN内への侵入を許すと情報資産への連鎖的な不正アクセスが可能になり、甚大な被害を招く恐れがあります。

一方、これからのセキュリティー境界で重視されるのが、ゼロトラストという考え方です。ゼロトラストは、「すべてのトラフィックを信頼しない」ことを前提とする、厳格なID検証プロセスに基づく次世代型のセキュリティーモデルです。例えば業務アプリケーションへのアクセスを許可するかどうかを判断するため、境界ですべてのトラフィックを検査します。そして、ユーザーの認証・利用するサービスへのアクセス制御を行い、監査や分析のためのログ取得を徹底していきます。

狼　次世代のセキュリティー境界の考え方は、社内LANにおけるトラフィックの混雑といったボトルネックの解消にもつながります。つまり、インターネットへの接続については、社内LANなどを介さず、直接インターネットに接続する技術（インターネットブレイクアウト）を使います。既存の社内LAN／WANゲートウェイにおけるボトルネックを緩和できます。

越渡　そのリスクを大幅に低減するのが、SSO（シングルサインオン）と多要素認証を組み合わせたアプリケーションの利用許可（識別、認証、認可）の仕組みです。ID管理システムと連動した統合認証基盤により、1つのID／パスワードで、役割や権限に応じて使えるサービスのみにログインできるようにします。ユーザーの配属や異動などの人事情報と連動しているので役職の変更などに合わせて、利用できるサービスもその都度変更できます。

さらに、ユーザー本人の認証段階では、スマートフォンなどのデバイスを用いたワンタイムパスワード、指紋・虹彩の生体情報など複数の要素を組み合わせれば、ID／パスワード認証単体よりも強固なセキュリティー対策が可能です。

越渡　企業内のあらゆる情報資産をすべて守りなさい、というやり方では、セキュリティー投資に際限がなくなります。それは現実的ではないでしょう。そこで「重要度の高い情報資産に対してセキュリティー投資を行う」というメリハリが大切です。その見極めができるのは、組織全体の情報資産を俯瞰できる立場にいる経営層です。トップが戦略的に関与し、リーダーシップを発揮して実行することが重要です。

狼　新しいセキュリティー境界の考え方を取り入れるとしても、昨日まで使っていた社内LANを明日から突然撤廃するというわけにはいきまません。「当社のセキュリティーはこうあるべきだ」というビジョンをトップが掲げ、２～３年の移行期間を設けて計画的に進める必要があります。また、多数の企業がデータをやりとりするグループ企業やサプライチェーン全体で取り組まなければなりません。1社から漏洩してしまえば全体に影響が及んでしまう可能性があるからです。組織間を超えた協力でもトップの力が必要です。

狼　仕事を離れて一個人としてSNSなどを楽しむこともあるでしょう。昨今は4K・8K動画撮影対応カメラを搭載した5G端末なども身近になっており、高精細な画像でシェアすることも可能です。ただ、気軽に撮影した映像などに生体認証で使う指紋などの情報が写り込んでしまうと、それを見た第三者に悪用されるリスクもあり、注意が必要です。

越渡　いかに多要素の認証システムをつくってもこうした機微な情報を盗まれた場合、抜け道が生じます。プライベートではつい気が緩みやすい。私たちは常に脅威にさらされていることを自覚し、脅威につけ込まれるセキュリティーホールをつくらないような注意が日頃の行動に求められると考えています。

越渡　セキュリティーに対する考え方の基本には大きく、認証、検知、防御、可視化、分析という5つの軸があります。特にユニアデックスが考えるゼロトラストでは、認証強化、アクセスコントロール、可視化を重視しています。それらを満たすソリューションとしてまとめたのが「Uniadex CloudPas®（ユニアデックス　クラウドパス）」です。

狼　Uniadex CloudPasの核となるのが、クラウド型ゲートウェイセキュリティーの「Zscaler（ゼットスケーラー）」です。きめ細かなアクセス制御やポリシー制御を行うSDP（Software Defined Perimeter）として機能します。また、URLフィルタリング機能を備え、社員の利用する端末がどのWebサイトに接続するかを、Zscalerのクラウド上のアクセスポイントを介して一元管理できます。単に検索キーワードによる閲覧を一律に規制するのではなく、業界業種に応じて「このキーワードは除外する／しない」などを細かく設定することもできます。

さらに、SSLインスペクション機能によって、暗号化されたデータを復号化して不正な通信が含まれていないかチェックすることができます。同時に、管理者が無制限に解読できないように、機能に利用制限をかけられます。

越渡　このZscalerにクラウド型認証基盤サービスの「Okta（オクタ）」を連携させると、「認証強化」が実現します。複数のクラウドサービスにおけるSSO環境を構築することで、ID／パスワードの使い回しを防ぐとともにそのユーザーの役職などに応じて許可されたサービスだけが画面上に表示されるようになり、セキュリティーレベルを大幅に高められます。

さらに、「McAfee MVISION」を連動させるとログからクラウドにおける利用状況の「可視化」を強化することができます。利用サイトの危険度を表示し、ZscalerにフィードバックすることでURLフィルタリングのブラックリストに追記することが可能です。

狼　当社では、さまざまなネットワーク機器やクラウドサービスの評価・検証を行っています。お客さまにとって最適なソリューションをご提案し、すぐに使える状態でご提供します。費用対効果や運用面を踏まえた、社内制度の見直しを含めて、コンサルティングサービスを提供させていただいています。

越渡　セキュリティーについては、一度導入すれば終わりではありません。脅威はなくなりませんし、手口は巧妙化しています。お客さまの迅速なサービス提供に合わせて当社もスピーディーかつ安全に対応製品を提供すること、それはSI企業の責任と考え最後までしっかり支援させていただいています。ぜひ、ご相談ください。