近年、テレワークの普及に伴い、「企業の社内ネットワーク」や「VPN」に依存しないモデルである「ゼロトラスト」が話題となっています。
そして、ゼロトラストを強化する重要ポイントの1つである「ID管理」「クラウドへのアクセス」を安全に行うための手法として、「IDaaS (Identity as a Service: クラウド型ID管理サービス)」ならび、「SASE(Secure Access Service Edge: ネットワーク制御型セキュリティサービス)」に注目が集まっています。以下で解説します。
ゼロトラストとは?
ゼロトラストは、これまでのセキュリティモデルを一変させるものです。
従来のセキュリティモデルは「境界防御モデル」と呼ばれるものです。これは、「重要な情報・システム資産は社内ネットワーク上に置く」「社内と社外の境界のセキュリティを強化する」「社内ネットワーク上のユーザーは『信頼できる』と見なす」というもので、インターネットが普及してから20年以上も用いられてきました。
これに対しゼロトラストとは、端末や場所に問わず「信頼できない」ことを前提とします。
PC、サーバー、スマホといった端末が、どのネットワークに接続していたとしても、社内の重要な情報やシステムにアクセスする際には『信頼できないもの(信頼できないアクセス)』とみなす
その上で、正当なアクセス権があるか、安全なアクセスかを判断した上で、アクセスを許可する
つまり、「境界の内側か外側か」に関わらず、「全て信頼できない」という前提に立つため、「ゼロトラスト」という用語が用いられています。
ゼロトラストが用いられる様になった最大の理由は「クラウド化」です。
社内ネットワーク上にのみ重要なデータやシステム資産が置かれていた「クラウド前」とは異なり、「クラウド後」では、インターネット上で他社が提供するサーバーやクラウド基盤上に重要データが置かれ、システム構築が行われることが当たり前となりました。このため、「守るべき対象が境界の内側にある」という前提が無意味となりました。
このため、ゼロトラストを実現する手法の一つとして、「場所や端末を問わずにセキュリティレベルを高める」SASEやIDaaSといったクラウドサービスに注目が集まっています。
SASE(Secure Access Service Edge、サシー)とは?
クラウド型セキュアアクセスサービス = SASE(Secure Access Service Edge)
SASE(Secure Access Service Edge、サシー)とは、クラウド経由でセキュアなネットワークを提供するサービスで、IT調査会社のガートナーにより2019年に提唱されました。具体的には、以下のような機能を内包しています。
- SD-WAN
- SWG (Secure Web Gateway)
- CASB (Cloud Access Security Broker)
- FWaaS (FireWall as a Service)
- VPN
- ウイルス対策・マルウェア対策
SASEは従業員がPCやスマホなどから行うあらゆるアクセスを「SASE経由」とすることで、上記のセキュリティ対策をクラウド経由で提供し、安全なネットワーク環境を実現します。
従来、ネットワーク上で安全性を確保しようとすると「インターネットから社内ネットワークにVPNを経由して接続」するのが一般的でした。しかし、クラウド化において「社内ネットワークのみ安全性を確保すればよい」という時代ではなくなりました。
また、従来型VPNは「企業ごとに確保された帯域幅」の問題があります。
確保された帯域幅に対して想定を上回るアクセスがあると、VPNが遅延します。最も多いのは始業の時間帯で、全従業員が一斉にアクセスするので、端末が長時間固まってしまうということも少なくありません。別な言い方をすると、従来型VPNはパブリッククラウドのように複数企業で共有できないため、効率的な利用ができていないとも言えます。
さらに、2020年の新型コロナウイルス感染拡大により、テレワークを余儀なくされた従業員が急増し、VPN帯域幅がさらに逼迫したという企業も少なくありません。
こうした課題をSASEは解決しています。
SASEはクラウド経由で提供されるサービス(Network as a Service, Security as a Service)であり、多数の企業が使うことを前提に設計されています。よって、「企業Aの従業員が始業時に多数アクセスを行った」としても、それはSASE全体のアクセス数からするとごくわずかでしかなく、アクセス遅延を引き起こす原因とはなりません。
また、「社内ネットワークからインターネット」「インターネットから社内ネットワーク」「インターネットからインターネット」といったアクセス全てがSASEを経由することで、包括的なセキュリティが提供されます。
SASEと認証・認可・IDP
なお、SASEでは解決できない問題は認証・認可です。SASEは「SASEへの認証」はコントロールできますが、SASEより先にあるクラウドサービスやディレクトリへの認証を管理することはできません。
このため、認証情報を集中管理してクラウドサービスやディレクトリへの安全な認証を支援する「IDP (IDentity Provider」が必要となります。IDPを検討するうえで必要な観点は、「認証できるサービスの多さ」「対応する認証方法の多さ」「既存システムやオンプレミスとの連携」「コスト」「サービス利用・運用工数」などの観点があります。
ディレクトリとIDPを一緒に提供する方法として、オンプレミス版Active Directoryのクラウド版である「Azure AD」があります。しかし、Azure ADは「ディレクトリとIDPが必ずセット」で提供されます。このため、「IDPのみ必要な企業」であっても、ディレクトリ構築まで実施しなければIDPを利用できないという問題があります。結果、多くの企業にとっては高コストで工数が非常にかかるサービスとなります。
そこで注目されているのが、「既存のディレクトリと連携可能ではあるが、ディレクトリ構築を必要条件とせずにIDPを実現する」方法である、IDaaSです。
IDaaSとは?
IDaaSは、認証を行うシステムやアプリが「社内ネットワーク上」であっても、「社外(クラウド上)」であっても、統合的なID管理・認証サービス(SSO [シングルサインオン] など)を提供するクラウドサービスで、SaaSの一種です。
かつて、IDパスワード管理やSSOなどの認証サービスは、オンプレミス版Active Directory (AD) のような「社内ネットワークを前提としたサービス」として機能していました。よって、SSO対象は「ADで管理している社内リソース」に限定されていました。
しかし、クラウド化の進展により、社内で利用するシステム(「経理システム」「人事システム」「営業システム」「人事システム」など)を自社で構築せずに、SaaSとして利用することが当たり前となりました。これらSaaSはインターネット上にあるため、従業員が毎日利用するサービスであっても、ADなどの管理対象外となっていました。
IDaaSは、「社内ネットワークの内側か外側か」「ディレクトリに導入されているか否か」を問わず、統合的なID管理と認証を提供します。これにより、ユーザーが「各種SaaSのIDとパスワードを記憶していなくても、IDaaSからワンクリックでSaaSにログインできる」ことで、ユーザーの負荷を軽減すると同時に、ID・パスワードの漏えい防止、パスワードの使いまわし防止に貢献します。
なお、IDaaSは、ゼロトラスト導入においても重要です。IDaaSを利用して実現される「IDとアクセス管理」について、ゼロトラストを提唱した「米国標準技術研究所(NIST)」が刊行したドキュメント「SP800-207 Zero Trust Architecture」にも、その役割の重要性が明記されています。
既存のサイバーセキュリティポリシーとガイダンス、アイデンティとアクセス管理、継続的なモニタリング、ベストプラクティスのバランスが取れていれば、ZTA (ゼロトラストアーキテクチャ)はリクス管理のアプローチを用いることで、一般的な脅威から(組織を)守ることができ、組織のセキュリティにかける姿勢を強めることができる。 *上記は、以下出典の一部を当社で翻訳したものです。 NIST Special Publication 800-207 Zero Trust Architecture https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf |
つまり、クラウド化による脅威を前提とするゼロトラストにおいて、「アイデンティティとアクセス管理」は実現するため必要な条件であり、その管理方法としては「クラウド化を前提としたアイデンティティとアクセス管理手法」であるIDaaSが必要であると理解できます。
ゼロトラストの実現には、様々な観点が必要となります。そして、ID管理はゼロトラストの実現において欠かせない要素となっているのです。
IDaaS「トラスト・ログイン」とSASE「Prisma Access」の連携でゼロトラスト実現の第一歩を
トラスト・ログインとPrisma Accessはどのように動作するか
当社が提供するIDaaSである「トラスト・ログイン」は、パロアルトネットワークスが提供するSASE製品「Prisma Access」との連携が可能です。これにより、企業はIDaaSとSASEを一体運用することが容易となり、企業や組織のゼロトラスト環境構築を大きく後押しします。
以下では、IDaaSとSASEがどのように連携をとって、組織のセキュリティを保つかについて、「トラスト・ログイン」と「Prisma Access(SASE)」を例に解説します。
1. 端末を起動させ、ネットワークに接続する
PC、タブレット、スマートフォンなどの端末を起動させ、ネットワークに接続します。端末は、「会社貸与端末」でも「個人端末」でも問題ありませんし、ネットワークは「会社の社内ネットワーク」「自宅の光回線」「スマートフォンの4G/5G回線」など、どれでも構いません。
2. 「Prisma Access」に接続
インターネット、または社内ネットワーク上の資産にアクセスを行う際に、「どの端末でも、どのネットワークでも」いったんPrisma Access(SASE)接続用のVPNクライアント「GlobalProtect」に接続します。この際の認証にはトラスト・ログインを利用します。この際トラスト・ログインのログイン、およびPrisma Accessのログイン時にはIPアドレス制限はかかっていません。そのためどこからでも利用が可能です。
Prisma Accessは「不審な端末」「不審なネットワーク」からのアクセスを許可しないだけでなく、「不審な接続先」「不審なファイル」へのアクセスも認めないことで、安全なネットワーク機能を提供します。
3. トラスト・ログインから各クラウドサービスへの認証を実施
各クラウドサービスに認証を行う際は、はじめにトラスト・ログインで認証を行い、そこから各クラウドサービスに対してワンクリックで認証(シングルサインオン)を行います。この際、各サービスのシングルサインオン時、Prisma Accessのネットワークからのログインであるか、IPアドレスの確認を行います。
Prisma Access(SASE)を導入される企業のセキュリティポリシーとして、業務利用時はSASE経由を必須(ガバナンス)とされるわけですから、SaaSアクセス時、SASE経由で無いと認証できないようにSASEのインターネット出口のIPアドレス制限が可能というわけです。
4. さらにセキュリティを高める機能を併用
上記1, 2, 3のステップでSASEとIDaaSが利用可能となりますが、多要素認証を用いることで、安全性をさらに高めることが可能です。
さまざまな多要素認証
トラスト・ログインでは、「ID・パスワード」のみに依存しない、複数の認証方法を提供しています。これらを併用することで、万が一トラスト・ログインのID・パスワードが漏えいしても、不正アクセスを許さない仕組みが構築できます。
- OTP (ワンタイムパスワード)
- スマホの「認証システム」アプリと連携し、ID・パスワード入力後に「認証システム」の文字列入力を求める方法です。
- クライアント証明書
- ID・パスワードに加えて、デバイスにあらかじめインストールされている証明書とその有効期限の確認を義務付ける方法です。
- プッシュ通知認証
- IDの入力後、登録されたスマホ画面に表示された認証要求をタッチして「認証を許可」する方法です。この場合は「パスワードレス」となります。
ゼロトラストを実現する鍵となる「IDaaS + SASE」
IDaaSもSASEもそれぞれ、ゼロトラストを実現する上では重要な役割を果たします。しかし、この2つを併用することでセキュリティの価値を飛躍的に高めます。
IDaaSは、ID統合管理や認証といった機能を提供しますが、「端末AからクラウドサービスBまでの接続の安全性」を確保する機能は搭載されていません。また、SASEは「端末アクセス時のセキュリティ」を提供しますが、端末が実際にアクセスする先の認証強化機能はありません。
IDaaSとSASEを併用することで、端末AからサービスBにアクセスしたときの経路のセキュリティ確保に加えて、認証時のセキュリティ向上の両方を実現できます。そして、ユーザー・端末のセキュリティが向上するだけでなく、情報システム部門のセキュリティ担当者の工数削減にもつながります。
ゼロトラストに向けて、認証に加えてネットワークセキュリティの見直しを進めている企業様は、ぜひトラスト・ログインとPrisma Accessをご評価ください。