ネットワークセキュリティ|知る×学ぶ技術・機能解説、ノウハウ|ネットワークセキュリティ
CASB、SWG、ZTNAとは|ゼロトラスト・セキュリティの用語をわかりやすく解説
セキュリティの考え方は、この10年間で根本的に変化しました。
以前は社内ネットワークとインターネットとの間に「境界」を設け、そこでセキュリティを確保する「境界型セキュリティ」が主流でした。またマルウェアの侵入に対しては、アンチウィルスで防ぐといった対応が一般的でした。
しかしクラウド活用の拡大と、ユーザーが社外でITを利用するためのモバイルデバイスの普及によって「境界型セキュリティ」は通用し難くなり、「ゼロトラストモデル」が注目されるようになってきたのです。
それではゼロトラストモデルを実現するには、どのようなセキュリティソリューションが必要になるのでしょうか。
本記事ではその代表として注目が集まる CASB、SWG、ZTNAを取り上げ、わかりやすく解説します。
▼ 目次
・ゼロトラストモデルとは
・CASB(Cloud Access Security Broker)とは
・SWG(Secure WEB Gateway)とは
・ZTNA(Zero Trust Network Access)とは
1. ゼロトラストモデルとは
「ゼロトラストモデル」とは、あらゆるトラフィックは完全には信頼できないとした上で、全てのトラフィックに対して信用度をスコア評価し、それぞれの信用度に応じて適切な対策を行う考え方になります。
この考え方は、Forrester Research社でサイバーセキュリティに関するアナリストをしていたJohn Kindervag氏が、2008年頃から提案していたと言われるコンセプトであり、2010年にはForrester Research社によって提唱されました。
ゼロトラストモデルは従来のセキュリティの考え方とは、根本的に異なっています。
従来は企業ネットワークの内側と外側を分け、内側のトラフィックは全面的に信用できる、という前提に立脚していました。しかしゼロトラストモデルでは、企業ネットワークの内側か外側かに関係なく、まずは全てのトラフィックの正当性を疑い、その評価を行った上で、アクセスを許可することになります。
このコンセプトはすでに10年以上の歴史を持っていますが、最近になって再び脚光を浴びるようになっています。
その最大の理由は、コロナ禍によるテレワークの拡大です。従業員の多くはもはや企業ネットワークの内側にはいません。その外側から企業システムにアクセスし、業務を遂行しているのです。
当然ながら、このコンセプトを実現するためのソリューションも、改めて注目されるようになっています。
では、ゼロトラストモデルの代表的な下記について、それぞれの定義や機能、果たすべき役割について理解を深めていきましょう。
- CASB
- Cloud Access Security Broker
- SWG
- Secure Web Gateway
- ZTNA
- Zero Trust Network Access
2. CASBとは
CASB、SWG、ZTNAのうち、ここ数年で最も頻繁に取り上げられてきたのがCASB(Cloud Access Security Broker)だと言えます。
CASBとは、2012年にGartnerが提唱したコンセプトであり、Gartnerによる定義を簡単にまとめると以下のようになります。
- CASBとは、クラウドサービス利用者とクラウドサービスプロバイダーの間に設置された、オンプレミスまたはクラウドベースのセキュリティポリシーのコントロールポイント
- クラウドベースのリソースにアクセスする際に、このポイントで企業のセキュリティポリシーを適用します。セキュリティポリシーの例としては、認証、シングルサインオン、認可、クレデンシャルマッピング、デバイスプロファイリング、暗号化、トークン化、ロギング、アラート、マルウェア検出・防止などがあります
(原文はhttps://www.gartner.com/en/information-technology/glossary/cloud-access-security-brokers-casbsをご参照ください)
最近ではMicrosoft 365やbox、Salesforceなど、複数のクラウドサービス(SaaS)を利用する企業が増えています。しかしこれらのセキュリティ設定を個別に行うのは手間がかかり、抜け漏れなどが発生する危険性もあります。またこれらのクラウドサービスがシャドーITとして利用されるケースも少なくありません。こうなってしまうとIT部門の統制が効きにくくなり、クラウドサービスを介した情報漏えい等のリスクが増大する結果となります。
CASBはこの問題を解決するために提唱されたコンセプトです。ユーザーとクラウドサービスの間に単一のコントロールポイントを設け、ここでセキュリティポリシーを集中的に適用すれば、一貫性のあるセキュリティを維持しやすくなります。
Gartnerによるさらに詳細な定義によれば、CASBには以下の4つの機能を装備することが求められています。
- 可視化
- 社内ユーザーがどのSaaSを使っているのかを可視化し、IT管理者が監視できるようにします
- 脅威防御
- マルウェア感染の恐れがあるなど、危険性の高いクラウドサービスへのアクセスを禁止・ブロックします
- データセキュリティ
- ファイルの暗号化や、データの漏洩・改ざんの検知を行い、必要に応じて操作をブロックします
- コンプライアンス
- セキュリティに関する基準やポリシーを満たしていることをチェックし、逸脱した場合にはアラートを上げるなどの対応を行います
国内におけるCASBの市場規模は2018年から急速に拡大しており、今後も成長が続くと見込まれています。
しかし、ガートナージャパンが発表した「日本におけるセキュリティ (デジタル・ワークプレース) のハイプ・サイクル:2020年」によれば、CASBは「過度な期待」のピーク期をすでに過ぎており、2020年の段階で幻滅期の底に達していると指摘されています。(これに関するプレスリリースは、https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20200805をご参照ください)
3. SWGとは
クラウドサービスを安全に利用する上で、CASBは大きな効果をもたらすと期待できます。
しかし、インターネット利用全体を見渡した場合には、CASBだけでは不十分であることもわかります。
CASBは主にSaaSの安全な利用を目的としたものであり、対象となるサービスのカバレッジもある程度限定されています。そのため一般的なWebサイトへのアクセスに関しては、十分な機能を発揮できない可能性が高いのです。
この問題を解決できるのがSWG(Secure Web Gateway)です。
SWGもGartnerが提唱したコンセプトであり、Gartnerによる定義を簡単にまとめると以下のようになります。
- SWGとは、WebサーフィンをするPCをマルウェア感染から守り、企業のポリシーを徹底するためのもので、Webサイトへのアクセスに伴うインターネットトラフィックから、不要なソフトウェアやマルウェアをフィルタリングします
- SWGには最低限、URLフィルタリング、悪意のあるコードの検出とフィルタリング、インスタントメッセージング(IM)やSkypeなどの一般的なWebベースのアプリケーションに対するアプリケーションコントロール、が含まれている必要があります。またデータ漏洩防止機能を搭載するケースも増えています
(原文はhttps://www.gartner.com/en/information-technology/glossary/secure-web-gatewayをご参照ください)
これを見てもわかるように、SWGはWebサイトへのアクセスにおいて、CASBと同様のコントロールポイントになるソリューションです。
実はSWGはCASBよりも歴史が古く、SWGをSaaS向けに拡張し、よりきめ細かい制御を可能にしたものが、CASBだと言うこともできそうです。
4. ZTNAとは
ZTNA(Zero Trust Network Access)もGartnerが提唱しているコンセプトであり、Gartnerによる定義を簡単にまとめると以下のようになります。
- ZTNAとは、アイデンティティおよびコンテキストベースの論理的なアクセス境界を、アプリケーションの周囲に設ける製品またはサービスのことです
- アプリケーションはZTNAによって外部から隠蔽され、トラストブローカーを介したアクセスが、指定されたエンティティのみに対して行われるようになっています。トラストブローカーはアクセスを許可する前に、指定された参加者のアイデンティティやコンテキスト、ポリシー遵守状況を検証し、ネットワーク内の他の場所への横移動を禁止します。これにより、アプリケーション資産が一般に公開されなくなり、攻撃の対象となる領域が大幅に減少します。
(原文はhttps://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna-をご参照ください)。
ZTNAがSWGやCASBと異なるのは、保護対象が主に自社保有または自社管理の情報資産だということです。
具体的には、オンプレミスやプライベートクラウド上のアプリケーションやデータ、パブリッククラウドで自社管理しているアプリケーションやデータ、ということになります。
従来であれば、オンプレミスシステムへの安全なアクセスは、VPNゲートウェイを介して行うのが一般的でした。しかし最近では、従業員がアクセスする自社管理の情報資産はオンプレミスのみならず、プライベートクラウドやパブリッククラウドにも分散配置されるようになっています。その結果、社内に設置されたVPNゲートウェイ経由のアクセスでは効率が悪い、という状況が発生しているのです。
例えば、米国のパブリッククラウド上の情報資産に対して米国内からアクセスする場合、いったん日本本社に設置されたVPNゲートウェイ経由でアクセスするのでは、通信経路が必要以上に長くなるといったことが起こります。またテレワークなどで外部からアクセスするユーザーが増えた場合には、VPNゲートウェイに過大な負荷がかかってしまう、といった問題にも直面することになります。
もちろん安全性を確保するには、パブリッククラウド上の情報資産に外部から直接アクセスすることには問題があります。そこで登場したのがZTNAです。
ZTNAはCASBなどと同じように、自社管理の情報資産へのアクセスを行う際に、情報資産とユーザーとの間を仲介する存在です。ここでユーザーのアイデンティティやアクセス権限、端末のセキュリティ状態などを検証した上で、事前に定義されたポリシーにもとづいたアクセスを強制するわけです。また主要なZTNAベンダーは複数のアクセスポイントを設置しており、最寄りのアクセスポイントから効率良く情報資産にアクセスできるというメリットもあります。
VPNにとって替わる、クラウド時代のリモートアクセス手段だと言えるでしょう。
まとめ
このように見ていくと、CASB、SWG、ZTNAのいずれも、ユーザーとITサービス/資産の間に介在し、セキュリティを担保する仕組みであることがわかります。多くの場合これらは、クラウドサービスとして提供されています。ゼロトラストモデルを実現するには、これらのソリューションを適切な形で組み合わせて活用していく必要があるのです。
その一方で、これらのソリューションは近い将来に、融合していく可能性も高くなっています。実際にこれらを融合したソリューションが、セキュリティベンダー各社から発表されるようになっているからです。
最終的には、Gartnerが提唱する新たなセキュリティモデルである「SASE」へと、集約されていくことになるでしょう。これは「Secure Access Service Edge」の略であり、あらゆるITリソースやサービスに対し「セキュアエッジ」と呼ばれるクラウドサービスを介してアクセスする、という考え方です。このSASEを効果的に実現していくには、現在すでに提供されているこれらのソリューションについて、しっかり理解しておく必要があります。
ニューノーマル時代には、ゼロトラストの考え方に則ったセキュリティの確保が、これまで以上に重要な課題になります。ぜひこれらのソリューションを理解した上で、適切なセキュリティ基盤を確立していくことをお勧めします。
尚、ゼロトラストセキュリティを実現する上で、何から手をつければよいかについては、以下が参考になります。是非、ご覧ください。