次世代のセキュリティ戦略 ゼロトラスト・アーキテクチャ 情報漏えい防止こそゼロトラスト実現の要―Netskope

なぜフルコンテキストの把握が重要なのか

辻：近年、クラウドサービスを利用する企業が増加しています。同時に、これに伴うセキュリティリスクも騒がれるようになりました。ゼロトラストの話に入る前に、クラウドの普及は企業にどのようなリスクをもたらしているかをお聞かせください。

大黒：最もよくあるリスクは、Shadow ITの乱立です。特に、新型コロナウイルス感染症（COVID-19）の感染拡大によりリモートワークが急増し、企業（管理者）が認可していないクラウドサービスやアプリケーションを従業員（ユーザー）が勝手に利用するケースが増加しています。

管理者は通常、「堅牢性」と「利便性」のバランスを考えながらセキュリティ対策を立案します。しかし、ユーザーはセキュリティより利便性を優先します。クラウドサービスで言えば、多くのストレージサービスが、簡単な登録をするだけで利用できます。ユーザーからすれば、利便性が高いので利用しようとなるわけです。管理者はこうした状況を理解した上で、リモートワーク環境におけるセキュリティ対策を講じなければなりません。さもないと、管理者の預かり知らないところから情報が漏えいし、企業活動に大きなダメージを与えてしまいます。

辻：クラウドは利便性が高いと同時に、リスクと常に隣り合わせと言えますね。そこで注目されるのが、ゼロトラストのアプローチです。クラウド利用環境でゼロトラストを実現するにあたって、Netskopeが最も重要だと考えていることは何でしょうか。

白石：端的に申し上げると、情報漏えい防止対策です。情報漏えい防止対策にはデータ保護や可視化、通信制御、マルウェアの検知、ガバナンス、リスクの評価・分析といった機能が不可欠です。中でも必須の要素となるのが「フルコンテキストをベースにしたアクセス制御」「全アクセスの検証」「ユーザーに対する必要最低限の権限許可」です。

辻：フルコンテキストを把握し、それをベースにアクセスを制御することがゼロトラストに必須である理由は何でしょうか。

白石：企業がクラウドを利用する際には、ユーザーが「いつ」「どこで」「どのような情報を扱っているのか」を把握し、データの機密性・重要性に沿ってポリシーを策定し、運用することが重要だからです。例えば「従業員のAさんが、会社で利用が許可されているクラウドストレージサービスにファイルをアップロードした」というコンテキストでは、その良し悪しを把握できません。では「従業員のAさんが『営業時間外の午後7時に』、会社で利用が許可されていない個人利用のクラウドストレージサービスに『個人情報が含まれる』ファイルをアップロードした」ではどうでしょうか。これは明らかに問題ですよね。フルコンテキストが必要な理由はここにあります。

ちなみに、こうしたフルコンテキストを把握するためには、API（Application Programming Interface）通信や、データ交換フォーマットであるJSON（JavaScript Object Notation）の中身までを検証する必要があります。

ベスト・オブ・ブリードでゼロトラストを実現する

辻：ではここからは、さらに進化するテクノロジー環境下でのセキュリティの在り方と、Netskopeのゼロトラスト実現に向けた支援の方法をお聞きします。5G（第5世代移動通信システム）が普及し、企業で活用されるようになると「オフィスネットワーク」の在り方が根底から変わると言われています。通信のさらなる進化は、企業のゼロトラストをはじめとするセキュリティ戦略にもインパクトを与えるのではないでしょうか。

白石：5Gが普及してクラウド化が一層進めば、「仕事の拠点であるオフィスに行く」という考え方は変わるでしょう。ユーザーは、自分の端末を開けば必要なデータに今以上の速度でアクセスできるようになります。つまり「会社が仕事の拠点」だった時代から、「個人の端末が仕事の拠点」になるのです。もちろん、全てのシステムがクラウドに移行して、オンプレミス環境がゼロになるとは思いません。しかし「オフィスネットワークを利用しなければできない業務」の範囲は最小限になります。「ユーザーが意識することなく安全にデータにアクセスできる」環境の構築が、今後はさらに不可欠になると思います。

大黒：COVID-19の影響でリモートワークを導入する企業が増加し、多くの方々がこの機会に「どこからでもデータにアクセスできる」利便性が必要だと認識されました。企業も図らずして、安全なセキュリティ環境構築のための準備をさらに進めています。ですから、近い将来やってくるだろう5Gへの乗り換えは、思いのほかスムーズにできるのではないでしょうか。

田村：そのようなセキュアな環境の実現に向けて、Netskopeではクラウド環境における顧客のゼロトラスト構築をどのように支援しているのですか。

白石：私たちがお客様にお伝えしているのは、「ゼロトラスト環境の構築は、特定のベンダーに固執して製品を選択しない」ということです。CASBやIDaaSを導入しても、お客様が求めるゼロトラスト環境の実現には足りない場合があります。そうした部分を埋めるのに、そこに特化したベンダーと組んでお客様に最適なものを提供していくのがNetskopeのスタンスです。ゼロトラストがバズワードになっている今、「この製品群（スイート）を導入すればゼロトラストを実現できます」と謳うベンダーも存在します。しかし、「これ1つで完璧なゼロトラストが完成する」という夢のような製品は残念ながらないと考えたほうがよいでしょう。

大黒：まずは、お客様がどのようなゼロトラスト環境を目指しているのかを伺い、その内容で情報漏えい防止が実現できるかを一緒に考えます。その上で、顧客環境に合ったソリューションをベスト･オブ･ブリード（適材適所）で選択し、導入を支援します。もちろん、製品を選択するのはお客様ですが、その組み合わせが最適かどうかの検討を、私たちもサポートします。

田村：ベスト･オブ･ブリードで製品を選択するためには、ユーザー自身も、要件に対してどのような製品の組み合わせが最適なのかを理解する必要がありますよね。どのような観点で検討を進めていくのが望ましいでしょうか。

白石：「自社の環境に何が必要なのか、それを提供する製品（サービス）は何か」を自分で判断するためには、クラウドセキュリティの動向や製品を見る目を養う必要があります。特にゼロトラストを実現する製品は、ネットワーク、アプリケーション、デバイス（エッジ）など多岐にわたる領域でリリースされています。ですから、特定ベンダーの担当者の話を鵜呑みにして製品を選択するのではなく、情報収集のアンテナを立てて、あらゆる立場の人に話を聞くことが大切です。

大黒：クラウドセキュリティにはさまざまな製品／サービスがあり、機能強化のサイクルも速い。ですから、複数のベンダーから情報を仕入れて、自社で機能するかを実際に検証する必要があります。その際には、すでに導入している製品／サービスとの連携を確認するなど、PoC（概念実証）をすることが大切ですね。

辻：ゼロトラスト環境の構築は、既存のシステムを見直して一朝一夕に実現するものではないことをあらためて実感しました。IT管理者は自社のゼロトラスト実現の方向性を定め、必要な製品やサービスを判断し、最高情報セキュリティ責任者（CISO）をはじめステークホルダーへの説明責任を果たしながら歩を進めていく。ゼロトラスト実現に向けた道筋の1つとして、新たな知見をいただくことができました。本日はありがとうございました。