
好きな所から読む
今回は新型コロナウィルスの影響もあり、急速に注目を集めるゼロトラストを、AWS上にどのように実現するべきなのかを簡潔にまとめました。AWS環境におけるゼロトラストネットワークの実装方法が気になる方は、是非ご覧ください。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ゼロトラストとは?
ゼロトラストとは、アメリカの調査会社であるForrester Research社が提唱したセキュリティモデルです。「全てのアクセスにリスクがある」との考えの下、ユーザーやデバイス機器、アクセス地点を問わずに毎回認証を求めます。1分前にデータファイルをログアウトした場合でも、1分後に再びログインした場合は毎回認証を求められるほどです。
テレワークの導入に伴い社外からのアクセス機会は、今後一層増加します。現在、企業のテレワークを実現しているVPN(Virtual Private Network)では、不正アクセスやサイバー攻撃への弱さと通信の安定性に課題を抱えているため、ゼロトラストの概念が注目されています。
ゼロトラストの3つの特徴とは?
アクセス権の最小化、最短での通信経路、複数のセキュリティツールの導入が挙げられます。
アクセス権の最小化
社員が閲覧できるデータファイルやアプリケーションの利用範囲を制限・禁止します。閲覧できる範囲が広すぎると、外部のセキュリティ保護がされていないWebサイトの閲覧でマルウェア感染にかかるリスクや社員の機密情報の持ち出しによる情報漏洩のリスクが上がるからです。
特に内部流出は、毎年企業を悩ませるセキュリティ上の脅威となっています。
社員の隅々まで行動を把握できない他、テレワークの導入加速でオフィスでは機能していた監視の目も無くなっています。
給料や社内でのポジションに不満を持つ社員が、金銭的見返りや企業への個人的復讐のために情報流出を仕掛けても、不思議ではありません。
実際、家電量販店の大手エディオンでは、2014年に元社員による機密情報の持ち出し及び転職先への情報譲渡による内部流出が起きています。
最短距離の通信経路
ゼロトラストネットワークを提供しているベンダーは、世界各地に多数のアクセスポイントを設置しています。そのため、ユーザーがどの場所にいても最寄りのアクセスポイントに自動で誘導してくれるため、常に最短経路を辿って通信のやりとりが可能です。
従来のVPNネットワークの場合、社内ネットワークへアクセスする際は、必ずVPNゲートウェイを経由する必要があります。VPNゲートウェイは1か所しか設置されないため、ユーザーのアクセス地点、社内ネットワークの位置、VPNゲートウェイの場所によっては、複数のネットワークを利用した遠回りの通信経路になります。
遠回りの通信経路の場合、通信速度の低下や通信が途中で途切れるといった通信障害の発生、通信コストの増大といったデメリットがありました。ゼロトラストの場合は、VPNで課題だった通信の不安定性は解消されています。
複数のセキュリティツールを組み合わせたソリューション
ゼロトラストは概念であり、単一のセキュリティツールを指すわけではありません。複数のセキュリティツールを組み合わせて、セキュリティレベルを向上させていきます。
また、導入すべきツールは自社のIT環境の課題や経営規模、セキュリティ分野の知識に精通した人材の有無によって変わってきます。例えば、セキュリティ分野での業務経験に長けた人材を確保できていない企業の場合は、セキュリティレベルの向上だけでなく、効率的なセキュリティ運用も考える必要があります。
人員を割かずに効率的に管理しつつも、サイバー攻撃やマルウェア感染などのセキュリティインシデントが起きた場合に、素早く対応できる仕組みが求められるからです。セキュリティインシデントの被害を最小化するためには、初動対応が非常に重要です。
効率的なセキュリティ運用を行っていくためにも、SOC(Security Operation Center)やSOAR(Security Orchestration, Automation and Response)の導入がおすすめです。
SOCは、セキュリティ業務における経験豊富なプロフェッショナル集団で構成されています。
また、デバイス機器、クラウドサービス、ネットワーク機器を一元的に管理するシステムを保有し、365日24時間リアルタイムで監視しているので、セキュリティインシデントの被害を最小化することが可能です。
一方、SOARはセキュリティインシデントに関しての自動検知・自動運用の点で、優れた特徴を持ちます。セキュリティインシデントの情報を自動で集め、対処すべき順番と対処方法をユーザーに示します。複雑な処理は自動で行うため、管理者の業務負担を大幅に軽減することが可能です。
AWSとは?
AWS(Amazon Web Services)は、Amazonが展開しているクラウドサービスの集合体です。AWSにはサーバーやストレージ、データベース、ソフトウェアなど、ネットインフラにおける様々なクラウドサービスが提供されています。
自社でネットインフラを構築・運営するオンプレミスとは異なり、必要なときだけ必要な量を使用できるクラウドサービスへのメリットは大きく、クラウドサービスへ移行を始める企業も増加してきました。
自社でネットインフラを保有する必要が無いため、初期費用やランニングコストを抑えられます。また、クラウド上で利用ができるため、ユーザーの増加に左右されることもなく、柔軟かつスピーディーに利用することが可能です。
AWSの強み
豊富なサービスを持ち、様々な業界の企業に利用がされています。提供サービスの内容や期待される効果をまとめました。
種類 | 内容 | 効果 |
豊富な機能 |
|
|
大規模なコミュニティ |
|
|
最高レベルの安全性 |
|
|
最高レベルの実績 |
|
|
AWSの導入事例
ソニーとミニストップの導入事例を紹介します。
ソニー
ソニーはエンターテイメントロボットである「aibo」の開発に、AWSを採用しました。サーバーレスでのアーキテクチャを採用し、AIを活用したデータ分析などを構築することで、開発から約1年という短期間で製品化を実現しました。
ロボット開発はユーザーからの膨大な行動パターンを正確に読み取り、状況に応じた反応をする必要があります。そのためには、継続的な情報分析やフィードバックは欠かせず、AIの活用が大きな役割を果たしました。
当初、aiboを開発するソニーのチーム体制は非常に少人数の構成で、ハイスペックな機器を使って開発スピードを上げる必要がありました。ですが、スペックを上げた場合は使用機器のリソースが多くなります。そのため、最先端のテクノロジー対応と運用負荷を下げるための管理サービスを備えているAWSを採用しました。
2018年に発売された新生aiboは、IoT センサーを搭載してAWSのサービスと連携することで、日々新しい一面を見せてくれています。
ミニストップ
無人店舗の導入ステップと業務の効率性改善のために、AWSを採用しました。慢性的な人不足の解消と店長の業務負担軽減、店舗間のデータ連携といった点に、長年課題を抱えていたためです。オンプレミスの既存システムでは、新しい企画を行う際に増えていく情報量への耐久性や効率的な運用に不安がありました。
そのため、ミニストップでは給与管理システムやPOS管理システムをAWSに移行するだけでなく、受発注や在庫状況、売上データなど業務の中心を支える機能が集約された基幹システムもAWSに移行しています。
結果、システムのスケーラビリティが向上し、新規店舗の開発環境整備に半年近くかかっていた期間が、ほとんどかからなくなりました。また、新しい企画やアプリの開発にもスピード感が増し、意見の活性化が生まれるといった相乗効果も生み出しています。
ゼロトラストを活用したAWSの設計とは?
Microsoft社が提唱した脅威分析モデルSTRIDEの要素を取り入れています。
以下の6種類に脅威を分類し、それぞれに対応する機能を搭載して社内ネットワークへの影響を最小化しています。
Spoofing(なりすまし)
ユーザーIDやパスワードをハッキングして社員になりすまし、社内ネットワークへ侵入しようとすることです。
デバイス機器や本人認証を阻害する要素であり、多要素認証やデータ通信の暗号化で第3者によるデータの悪用や盗取を防ぎます。
Tempering(データの改ざん)
企業の機密情報に関しての文書やデータの改ざんだけでなく、自社システムのネットワーク機器のログ解析のデータを改ざんすることも指します。
セキュリティを構成する完全性を阻害する脅威です。
データファイルの暗号化や社員のアクセス権の最小化、EDR(Endpoint Detection and Response )の導入によるデバイス機器のセキュリティ監視を行い、情報資産を守りましょう。
Repudiation(ソースの否認)
情報漏洩や不正が発生した場合、自身の無罪を立証することです。例えば、ある社員のユーザーIDやパスワードがハッキングされて他の社員へ詐欺メールやマルウェア感染の付いたメールが送られた場合、「自分はそんなことをしていない」と主張し、発信源の否認と自らの無実を証明する必要があります。
セキュリティ要素のうち否認防止(non-repudiation)に該当するもので、電子署名を利用することでメールの送信者と受信者の正当性が確認できます。
Information Disclosure(情報漏洩)
外部からの不正アクセスや脆弱性を突いたサイバー攻撃による情報漏洩、金銭的見返りや企業への復讐のために行う社員からの内部流出といった、企業の情報資産が何らかの原因によって流出することです。
企業が様々なセキュリティツールを導入している目的は、顧客情報や技術データなど機密情報を守るためです。企業にとって最大の資産といっても過言ではないため、情報漏洩への取り組みは常に強化や見直しが求められています。
情報漏洩はセキュリティ要素のうち、否認防止(non-repudiation)に該当します。情報漏洩を防ぐ手段は様々な種類がありますが、サイバー攻撃やシステムの脆弱性発見といったセキュリティインシデントに対して、予防と被害の最小化どちらの効果も望めるアプローチが必要です。
Denial of Service(サービスの拒否)
サービスの拒否は、サーバーや情報システムに大量の負荷をかけシステムダウンに追い込み、業務の停止や復旧作業に時間をかけさせることです。ターゲット対象となるWebサイトやサーバーになりすまして大量のリクエストを送るDDoS攻撃、サーバーやアプリの脆弱性を突く脆弱性攻撃などが挙げられます。
セキュリティ要素のうち、ユーザーが正当にアクセスする権利を奪う可用性(availability )を侵害する攻撃です。対策としては、SOC(Security Operation Center)を導入することで、24時間リアルタイムでのセキュリティ監視を一任できます。仮に攻撃にあったとしても、セキュリティ知識が豊富なスタッフが迅速に対応し、被害を最小限に抑えます。
Elevation of Privilege(特権の昇格)
OSやソフトウェア、アプリの脆弱性を突いてアクセス許可が認められていないユーザーが、不正にアクセス権限を取得し、操作を行うことです。本来禁止されているアプリのインストール、マルウェア感染や機密情報のデータ改ざんや破壊、情報漏洩のリスクが高まります。
厳しいアクセス権限の設定やアプリ版ファイアウォールであるWAF(Web Application Firewall)の導入、IDS/IPS(不正侵入検知・防御)システムの導入により、脆弱性を突くサイバー攻撃へのセキュリティ対策を強化できます。
AWSのゼロトラストの活用例
AWSにゼロトラストネットワークアクセス(ZTNA)、SDP(Software Defined Perimeter)を取り入れた場合の導入効果をまとめました。
種類 | 機能 | 導入効果 |
ゼロトラストネットワークアクセス |
|
|
SDP |
|
|
まとめ
AWSにゼロトラストを上手く取り入れることで、低コストで自社に必要なクラウドサービスを利用しながら、セキュリティレベルを向上させることが可能です。AWSは業種別・規模別にソリューションを用意しているので、クラウドサービスへの移行が増加する今後は。さらにAWSの利用が増えるでしょう。