コミュニティ
HPE Blog, Japan
1819684 メンバー
3345 オンライン
109605 解決策
新規ポスト
 
RSS フィードを購読する
|
NaomiN

境界防御はもう限界?ゼロトラストムーブにおける境界型セキュリティとの付き合い方

‎06-21-2022 10:59 AM

ゼロトラストを実現する方法の1つとして注目されているSASESecure Access Service Edge)。

検討しつつも新しいアーキテクチャである為に既存環境との兼ね合いから導入が難しいと考えられている企業も多いようです。

 

image025.png

 

 

 

 

 

 

 

 

 

今回は、Pointnext事業統括 コンサルティングビジネス推進本部 ネットワーク&セキュリティソリューション推進部 尾﨑 恵美奈が、境界型セキュリティからSASE/ゼロトラストセキュリティへの移行における現実的なポイントを解説します。

 

profile25.jpg

 

境界型セキュリティ、多層防御はもう古い、時代遅れ?

「脱VPN」に代表されるように、従来の境界型セキュリティを廃止しゼロトラストアーキテクチャへの移行が叫ばれています。

しかし、以下のように感じている方もいらっしゃるのではないでしょうか。

・いままでチューニングしてきた境界型セキュリティの廃止に抵抗がある

・ベンダーやメーカーからSASE / ZTNA(ゼロトラスト・ネットワーク・アーキテクチャ)の提案をされたものの移行プランが非現実的でゼロトラスト移行に踏み切れない

・一部、ゼロトラストアーキテクチャを採用してみたものの、運用に課題があり未だ大部分を境界型セキュリティに頼っている

本当に境界型セキュリティ、多層防御は不要であり廃止すべきなのでしょうか。

今回は悪者にされがちな境界型セキュリティに焦点を当てみました。

 

なぜ廃れていったのか?従来の境界型多層防御の“限界”     

従来、ほとんどの企業がインフラにおけるセキュリティ対策で境界型セキュリティを採用していました。

「社内ネットワークは安全、社外ネットワークは危険」という考えの元、VPNやファイアウォールで境界となるネットワークの出入口をセキュリティ強化するのが境界型セキュリティです。

しかしながら、守るべきリソースが明確で、特定の場所に集中していたうちはよかったものの、昨今はクラウドの活用やモバイル端末の利用が活発になり守るべき境界が外部に分散され、様々な場所を防御せねばならず、管理・対策の負荷が増加してしまいました。

また、一度境界を越えたものに対しては盲目的に信頼をしてしまう境界型セキュリティは、境界防御をすりぬける高度なマルウェアや、悪意のある境界の内側にいる従業員の攻撃に対して脆弱で、被害を拡大させてしまう傾向にあります。

管理の負荷とセキュリティの脆弱性双方の観点により、境界型セキュリティによる防御は限界を迎えているといわれています。

 

次世代のセキュリティアーキテクチャ

従来の境界型セキュリティの課題を解決すべく誕生したのがSASEやゼロトラストといった次世代のセキュリティアーキテクチャです。

SASESecure Access Service Edge)とはこれまで個々に存在していたセキュリティ機能とネットワーク機能をクラウドなどをベースにしたひとつのサービスに統合させるネットワークセキュリティの考え方です。この考えの中にはゼロトラストセキュリティも内包されています。

 

SASE.jpg

 

ゼロトラストに関しての詳細は、以前掲載したこちらの記事をご覧ください。

ゼロトラストのゴールとは?~ゼロトラストを検討する際に知っておきたいポイント~

 

SASEやゼロトラストの考え方では、境界という概念を廃止しており、いかなる環境でも信用しないという画一的なポリシーを持ちます。つまり、システムの追加やロケーションの分散などにより管理対象が増減しても、セキュリティ装置の分散やポリシーの管理コストを最小限にすることが可能です。

また、社内からの攻撃も社外からの攻撃と同様に検証と対処が行われますし、従来の境界型防御に不足していたアプリケーションレベルの柔軟なアクセス制御や強固な認証が可能になります。

今後は間違いなく、SASEやゼロトラストセキュリティが企業インフラのデファクトスタンダードとなっていくでしょう。

 

ゼロトラストの落とし穴

しかしながら、ゼロトラストへの移行は一筋縄ではいきません。

まず、企業内で利用されている数百、数千のアプリケーションを正規・野良アプリ含めて全て棚卸する必要があります。

そこからアプリケーション毎に適切なポリシーを設計し、セキュリティを実装、移行していく必要があります。SASE/ゼロトラスト製品に対応できないレガシーなアプリケーションは個別に対応する必要がでますし、移行後のアプリケーションの仕様変更に対して定期的なポリシーや実装のメンテナンスが必要です。

全てのアプリケーションがクラウドベースな企業であれば、比較的移行は容易ですが、多くの企業はそうではないはずです。

企業の持つすべてのリソースをゼロトラストアーキテクチャに移行させるにはかなり根気のいる長期的な取り組みが必要になります。つまり、この過渡期においては、従来の境界型セキュリティは非常に重要になってきます。

 

ゼロトラストセキュリティと境界型セキュリティの共存

「ゼロトラスト=境界型セキュリティの撤廃」というようにゼロトラストと境界型セキュリティは相反するものだと認識されがちです。

しかしながら、この2つは共存することができます。むしろ共存していかなければなりません。

前述の通り、社内の全てのネットワークを一括で入れ替えるのは非常に困難です。

従来の境界型セキュリティを強化しつつ、徐々にSASE型のアーキテクチャに寄せていく、段階的なプロセスを踏む必要があります。

境界型セキュリティは確かに時代にそぐわなくなりつつあります。

しかし、メリットが消えたわけではありません。比較的安価で構築もしやすく、何より社内に運用ノウハウが蓄積されています。

境界型セキュリティの課題は多いですが、その用途を限定したり、足りないセキュリティ機能を別の製品で強化するなど、工夫して利用していけばよいと私達は考えます。

例えば、下記の図では、VPNEDRと組み合わせてセキュリティを担保しつつ、クラウド対応していない一部の社内アプリケーションへの接続に限定して境界型セキュリティを残しています。

このように、ゼロトラストセキュリティの移行のプロセスの一つとして、境界型セキュリティは切り離せず、従来の境界型セキュリティをどう取り入れるかは重要な検討事項の一つになります。

 

境界型_ゼロトラストの共存.jpg

 

最後に

繰り返しになりますが、境界型セキュリティは最終的にはSASE/ゼロトラストセキュリティに置き換わっていくものだと考えられています。しかしながら、完全に移行されるまでには時間もかかりますので、その間のプロセス(計画)をしっかり描き、その計画さえも継続的にアップデートしてゆくことが重要になります。

HPE Pointnextでは、セキュリティに関する、プラン策定、設計、導入運用、本ブログのようなSASE/ゼロトラストセキュリティの過渡期の移行支援を実施しております。

まずはご相談ください。

 

【関連過去HPE Blog

ハイブリッドワークを経験してみて分かったこととHPEの取り組み

SD-WANって必要なの?

HPE Pointnextが考えるOTセキュリティ

ハイブリッドワークとチームワーク ~両立に向けたコツ~

ニューノーマルに求められるクライアント端末環境 ~クライアント端末の利用/管理/運用に求められる新たなニーズとは~

IDaaSによる認証統合とBCPについて考える

ゼロトラストのゴールとは?~ゼロトラストを検討する際に知っておきたいポイント~

あなたのネットワーク、実は遅くないですか?

HPEの考えるWX ~新しい働き方を実現するビジョンと意識改革~

DXを実現するために、これからのネットワークに求められるもの

DXを支えるWorkstyle Transformation(WX)とInfrastructure Transformation(IX)

 

 

HPE DXプラットフォーム デジタルワークプレイス
https://www.hpe.com/jp/ja/solutions/dx-platform.html#digitalworkplace

 

HPE Pointnext Serviceで一歩先の未来へ

https://www.hpe.com/jp/ja/services/pointnext.html

 

 

作者について

NaomiN

Pointnext事業統括 コンサルティングビジネス開発部

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります