ゼロトラストの大きなハードル「エンドポイントセキュリティ」をいかに実現するか?

ゼロトラストの大きなハードル「エンドポイントセキュリティ」をいかに実現するか?

1. ゼロトラストにおけるエンドポイントセキュリティの重要性

前回、ゼロトラストセキュリティを実現するためには、クライアント端末のセキュリティ対策をより一層強化する必要があるというお話をしました。

従来のいわゆる「境界型防御」のセキュリティモデルでは、内部ネットワークと外部ネットワーク(インターネット)との間にファイアウォールやIDS/IPSなどのセキュリティ製品を設置して、外部からの脅威をシャットアウトしてきました。クライアント端末は、内部ネットワークの中に留まっている限りは外部からの脅威が及ぶ心配はほとんどなく、必要最低限のウイルスチェックさえしていれば安全に使い続けることができました。

しかしゼロトラストネットワークにおいては内部ネットワークと外部ネットワークとを区別することなく、クライアント端末やサーバはすべてオープンでフラットなネットワークに接続されているととらえます。こうした考え方に立つことで、クライアント端末は場所を問わずどんな環境からでもネットワークにつないで利用できるようになり、業務システムもオンプレミス環境だけでなくクラウド環境などさまざまなロケーションに配置できるようになります。

こうした環境の下では、社員はいつどこにいても働けるようになるため、柔軟なワークスタイルが可能になるほか、近年のコロナ禍におけるテレワークのトレンドとも相性がいいと言えます。また業務システムをクラウド環境上に配置したり、SaaS型のクラウドアプリケーションを積極的に利用することで、システムを迅速かつ柔軟に導入・運用することができるようになり、ビジネス環境の変化スピードに素早く追随できるアジリティの高いITが実現できます。

2. Windows PC端末をセキュアに保つには多くの手間とコストが必要

しかしその一方で、境界型セキュリティからゼロトラストセキュリティへと移行することで、それまでクライアント端末を守ってくれていたセキュリティ境界が一気に取り払われることになります。そのため、これまでは境界でシャットアウトされていた攻撃や不正アクセスが、直接クライアント端末まで届くようになる恐れがあります。

従って、ゼロトラストを実現するためには、クライアント端末のセキュリティ対策強化が必須だと言われています。近年の高度なサイバー攻撃は、これまでクライアントセキュリティの主力を担ってきたアンチウイルス製品の検疫をやすやすと潜り抜けてしまいます。そのため、新たに振る舞い検知やEDR(Endpoint Detection and Response)、SIEM(Security Information and Event Management)といったさまざまなセキュリティ製品を導入する必要が出てきます。

また、これらの製品が正しく設定・運用されているか、あるいはウイルス定義ファイルがきちんと最新に保たれているかといったことも、日ごろから厳格にチェックしなければなりません。もちろん、Windows OSやアプリケーションのセキュリティパッチがきちんと適用されており、脆弱性対策が行われているかも重要なチェック項目になります。

さらには、外部からの脅威だけでなく、内部犯行や端末の紛失・盗難による情報流出のリスクにも対処しなければなりません。不正な情報の持ち出しを防ぐには、USBメモリなどの外部記憶媒体の利用を制限するためのソリューションを導入する必要があり、また紛失・盗難対策のためにはディスク暗号化やMDM(モバイルデバイス管理)などのソリューションも必要になってきます。

このように、ゼロトラストセキュリティを実現するためにはクライアントPC端末に対して実にさまざまなソリューションを導入する必要があり、しかもそれらを機能させるためには日ごろから多くの手間とコストを掛けて運用・保守していく必要があります。

3. 「Resalio Lynx」でセキュアなシンクライアント端末を簡単に実現

こうした手間やコストがハードルとなり、なかなかゼロトラストの導入に踏み切れなかったり、あるいはゼロトラストの実現に踏み出してみたもののなかなか効果が発揮できないという企業・組織が少なくありません。そこで弊社ではこうした課題を解決するために、「Resalio Lynx」という製品を提供しています。

Resalio Lynxは一言で言うと、専用のUSBデバイスをPCに挿して起動させるか、もしくは専用OSをあらかじめPCにインストールしておくことで、クライアントPCをセキュアなシンクライアント端末として利用できるようにするものです。OSはWindowsではなく専用OSを採用しているため、Windowsの脆弱性を狙ったり、Windowsの正規ツールを悪用するような手口を使ったサイバー攻撃をシャットアウトできます。

またクライアント端末上ではアプリケーションのプログラムは一切動作しないので、アプリケーションの脆弱性を狙う攻撃による被害も発生しません。Resalio Lynx上でSaaSアプリケーションを利用する場合、ローカルに搭載されたブラウザを通じてSaaSアプリケーションにアクセスして業務を遂行しますが、このブラウザはファイルのアップロード/ダウンロードが制限されているなどさまざまな面でセキュリティ対策が強化されており、安全にSaaSアプリケーションを利用できるようになっています。

さらには、端末のディスク装置にデータは記録せず、メモリ上でデータを操作するため、端末上にデータが残ることは一切ありません。そのため不正持ち出しや端末紛失・盗難に伴う情報流出のリスクもありません。つまり、Windows PCでは必須となる数々のセキュリティ対策を一切行うことなく、セキュアなクライアント環境を実現できるわけです。

しかも、既存のPC端末をそのまま使ってシンクライアント環境を実現できるため、コストパフォーマンスにも極めて優れています。シンクライアント専用端末は比較的高価なものが多いのですが、Resalio Lynxなら安価なPCをそのままシンクライアント端末に転用できます。
Resalio Lynx

4. インターネットを介した情報流通やマルウェア感染も効果的にブロック

なお、ここまで紹介してきた機能だけであれば、従来のシンクライアント端末でも大抵のものは備わっています。また近年の情報漏えい事故の多くは、外部記憶媒体を使ったデータの抜き取りや端末の紛失・盗難だけでなく、クラウドサービスを通じたデータの不正持ち出しや意図せぬ流出が占めています。例えばクラウドストレージに社外秘のファイルをアップロードして不正に持ち出したり、逆に不正なファイルをダウンロードした結果マルウェアに感染してしまうようなケースが多々見られます。

この点Resalio Lynxのシンクライアント環境では、ユーザーのアップロード/ダウンロード操作にはあらかじめ制限が掛かっていますから、ネットワークを介した情報漏えいやマルウェア感染を効果的に防げるようになっています。またもし万が一マルウェアが強制的にダウンロードされてしまったとしても、そのファイルはメモリ上に一時的に存在するのみで、ディスク上には決して保管されませんから、端末の再起動とともにマルウェアも消失します。

このように、Resalio Lynxを導入すればゼロトラストの重要な要件である「エンドポイントセキュリティの強化」を容易に実現できます。一方、前回も紹介したように、ゼロトラストのもう1つの重要な要件に「システムに対するユーザーのアクセスを無条件に信頼することなく、都度きちんと認証・検証する」というものがあります。これを実現するには、サーバ上で稼働する業務アプリケーションやクラウドアプリケーションのアクセス権限を細かく設定する必要がありますが、さまざまなロケーションで稼働する多種多様なアプリケーションのアクセス権限を1つ1つ正確に設定するのは至難の業であり、どうしても抜け・漏れが生じやすくなります。

そこで近年では、これらをクラウド上で一元的に管理できる「ゼロトラストネットワークアクセス(ZTNA)」というソリューションが注目を集めています。実は今回紹介したResalio Lynxも、このZTNAと組み合わせることでより強固なセキュリティを実現できるようになっています。次回はこのあたりのソリューションの内容について紹介してみたいと思います。

関連リンク

製品&ソリューション