ゼロトラストに基づくThe Claroty Platform
リモートワークが定着した今、より一層堅牢なセキュリティが求められています。
このブログでは、現在モバイルセキュリティの最前線にあるゼロトラストの流れと概念をご説明するととともに、ゼロトラストに基づいたClatoryのThe Claroty Platformをご紹介します。
リモートワークの流れ
2020年初頭から始まった新型コロナウイルスによるパンデミックは、ようやく収束の兆しが見えてきました。このパンデミックで私たちのライフスタイルは一変しました。感染拡大防止のため多くの方がステイホーム、外出時にはマスクの使用、ソーシャルディスタンスを取って会話を控え、可能な方はリモートワークをするようになりました。
実はリモートワークは、新型コロナウイルスのパンデミックの前から東京では呼びかけられていました。その理由は、2020年はもともと東京オリンピックの開催予定年で、少しでも人流を抑制してオリンピック開催時の混雑を避けるためです。小池東京都知事は2020年以前からもテレワーク・時差出勤を呼びかけていましたが、この時はほとんどの企業が実施できていませんでした。
東京)五輪に向け、都が在宅勤務や時差出勤を呼びかけ (朝日新聞デジタル 2019年5月30日より)
当時リモートワークが進まなかった理由は数多くありましたが、ここではいくつか代表的な理由を挙げます。
1. データ化された書類などがない(社印、紙のみの資料、郵便物など)
2. プリンターやスキャナが職場でしか使えない
3. 周囲の仕事の進捗状況が把握しづらい
4. 職場以外では仕事をする環境が整っていない
5. データなどの情報管理のセキュリティが心配
など。
しかし、2020年初頭から猛威を振るってきた新型コロナウイルスのパンデミックは、私たちに否応なしにリモートワークを行う状況に追い込みました。
そんな中、企業を一番悩ませたのが「 5. データなどの情報管理のセキュリティが心配」 です。
全てのデバイス(パソコン、プリンタ、スキャナ、サーバなど)がひとつにまとまっていると管理はしやすいのですが、リモートワークとなるとそうもいきません。また新たに専用線や広域イーサネット、VPNなどの閉域網(クローズドネットワーク)を構築しようにも、当時は時間も人手も足りない状況でした。
そのようなリモートワークの推進に伴い、クラウドサービスの利用も爆発的に増加したこともあり、社内外からのネットワークリソースへのアクセスが課題となりました。
リモートワークとゼロトラスト
そんな中、俄然注目を浴びたのが「ゼロトラスト・セキュリティモデル(ゼロトラスト)」の概念です。
ゼロトラストモデルにおいては、あらゆるデバイス、ユーザー、ソフトウェアは組織の内外に関わりなく、各々のアイデンティティと認証が確認されるまで信頼されず、リソースにアクセスできません。
ゼロトラストを基に構築されるモデルは、会社のパソコンを使って自宅でリモートワークをしたり、VPNでスマホなどのモバイル機器を使って自宅以外のところで会議に参加したりする人に加え、プライベートネットワークの外にいるユーザー、デバイス全てに適用されます。
つまり、「全て信頼しない」- 「トラスト(信頼)ゼロ」ということを前提にセキュリティ対策を立てるという概念です。
ゼロトラストの概念を基に構築したネットワークでは、一般的には
の3つを重点的に対策しています。
それぞれの項目をもう少し詳しく見ていきましょう。
ネットワークセキュリティ
従来のネットワークにおけるセキュリティ対策とは、ネットワークを内側と外側に分け、主に対策するのはネットワークの外側からの脅威でした。しかし、リモートワークの普及により社内ネットワークという概念が曖昧になり、社外からの脅威に備えるという概念はもう時代に合わなくなってきています。このリモートワーク時代では単にネットワークの内外を分けるのではなく、ネットワークにアクセスしてくる通信全てのセキュリティを担保する必要があるのです。
デバイスセキュリティ
社内ネットワークに接続するデバイスはその全ての情報が明らかにされ、それ以外の機器はネットワークにアクセスを許してはいけません。社内でアクセスする機器はそれぞれのOS、バージョン、型番といった情報を常に最新の状態で管理する必要があります。
かつてはこの社内にあるデバイス管理作業を資産管理として個別に行っていた企業が多数でした。しかし、リモートワークがメインとなると、全て会社から貸与した機器のみならず、場合によってはBYOD(Bring Your Own Device – 社員が私物の機器を使うこと)も必要となる場合もあり、そうなると管理の手間が膨大となります。
従って「最初からトラストゼロの状態でどの機器の接続を許すのか」という大前提を刷新する必要があります。
アイデンティティセキュリティ
アイデンティティセキュリティというと、社内ネットワークであればSSO(シングルサインオン)、MFA(多要素認証)などのアクセス制御を連想します。しかし、社内ネットワークとは違い、ありとあらゆるユーザーやデバイスがネットワークにアクセスしてくる可能性がある場合、単なるアクセス制御ではセキュリティ対策が脆弱と言わざるを得ません。
ゼロトラストの概念におけるアイデンティティセキュリティは、アクセス制御のみならず、不正アクセスが行われないように識別情報や権限情報の管理を「信頼ゼロ」を前提として厳重に対処する必要があります。
Clarotyのゼロトラスト・セキュリティ対策
Clatoryではこのゼロトラストの概念を基に、The Claroty Platformという完全な産業用サイバーセキュリティソリューションをご提供しています。
The Claroty Platformは
連続脅威検出 (CTD: Continuous Threat Detection)
安全なリモートアクセス (SRA: Secure Remote Access)
エッジテクノロジー
から構成されています。
The Claroty Platformはお客様のネットワークの規模、アーキテクチャ、あるいは既存のサイバーセキュリティプログラムの成熟度を問わず、どのような環境でもシームレスに連携します。
さらに、非常に柔軟で速いデプロイメントオプションもご用意しており、The Claroty Platformがネットワーク内の全てのOT、IoTおよびIIoT資産を公開、保護します。同時にそれらの資産への脅威の予兆を、専用の検出技術により自動検出できるようになっています。
The Claroty Platformは、上記3つのテクノロジーに支えられ、公開(Reveal)、Protect(保護)、Detect(検出)、Connect(接続)の4本柱によりゼロトラストの概念の基づいたセキュリティをご提供します。
ここではこの4本柱をもう少し詳しくご説明します。
公開(Reveal)
効果的な産業用サイバーセキュリティは、「何を保護する必要があるのか」を知ることから始まります。The Claroty Platformは、産業環境で最も使用されている一連のプロトコルをサポートしており、ネットワークとプロセスを可視化します。
その結果、ネットワーク内のすべてのOT、IoT、IIoT資産、プロセス、接続経路を一元化して管理し、常に最新の状態に保ち、正常な状態とはどのようなものかということを把握することができます。
Protect(保護)
The Claroty Platformは、ネットワーク内に存在する固有のリスクに関する内容を提供します。これには、重大な脆弱性や設定ミスといったことから、スタッフとベンダー間の曖昧なセキュリティ慣行、および信頼性が低く監視されていない非効率的なリモートアクセス構成などが含まれます。これにより、ユーザーはリスクの領域を識別し、優先付けを行うだけでなく、ネットワークエクスポージャーを管理するための積極的な制御と緩和策をデプロイできるようになります。
Detect(検出)
産業用サイバーセキュリティやあらゆる種類のセキュリティにおいて、今ある厳しい現実があります。それはリスクを管理するためにどのような保護対策を導入しても、リスクを排除することはできないということです。
どのようなネットワークも脅威と無縁ではいられないため、脅威が表面化したときに迅速かつ効果的に検知し、対応できることが不可欠です。The Claroty Platformの柔軟性のある脅威検知モデルは、まさにこれを可能にするものです。
Connect(接続)
企業間の相互接続は、複雑になりかつ数も多くなってきていることでより一層攻撃対象となり、集中型IT/OT産業用ネットワークのリスクを高めます。The Claroty Platformは、長期にわたり産業用ネットワーク間で行われる安全な接続を妨げる障壁を取り除き、許容できるリスクレベルでビジネスとイノベーションを可能にしてきました。統合することでの相乗効果を通じて、より効率的な運用と総所有コストを削減することが可能となります。
最後に
ゼロトラストの概要のご説明とそれを基にしたThe Claroty Platformのご紹介をしてきました。リモートワーク、クラウドの利用、今後はメタバースの利用などの流れは今後も一層加速していくでしょう。
今やゼロトラストの必要性は不可欠であり、その概念に基づいた仕組みを導入することは避けられそうもありません。今後は自社の課題とソリューションを見つけ出し、事業の発展の起爆剤ともなるセキュリティ対策としてThe Claroty Platformをぜひご検討ください。