無料会員登録
ゼロトラスト・セキュリティは、現代のIT環境に対応するセキュリティ対策と言われています。クラウドサービスとテレワークの普及、モバイルデバイスの多様化により、従来の境界型防御では企業の情報を守ることが難しくなりました。脅威から自社の情報を守りたいのであれば、ゼロトラスト・セキュリティへの移行が求められます。この記事では対策別にゼロトラスト・セキュリティ製品を紹介しますので、参考にしてみてください。
この記事の目次
従来のセキュリティ対策とはここが違う「ゼロトラスト・セキュリティ」
ゼロトラスト・セキュリティとは、従来の「ネットワークの境界による防御」に頼らない新たなセキュリティモデルです。これまでの境界型防御と異なり、「社内ネットワークの内側は安全」といった判断基準を持ちません。組織のデータやシステムへの接続を全て監視し、接続の可否を判断します。
ゼロトラスト・セキュリティ誕生の理由
かつて、企業が守るべきデータやシステムは、ファイアウォールなどの防御システムで構築した「境界の内側」に存在しました。しかし、現代はクラウドサービスやテレワークの導入により、守るべき対象が境界の外側にも存在する状況が一般化しています。
また、従来の境界型防御は、境界の内側から仕掛けられる内部不正は防げません。そこで、全ての通信を疑い、あらゆるデータやシステムへの接続を監視・検証するゼロトラスト・セキュリティが生まれました。ゼロトラスト・セキュリティであれば、守るべき対象の位置に左右されない脅威対策が可能です。
具体的なゼロトラスト・セキュリティ対策の種類は何がある?
現状では、1つのパッケージのみでゼロトラスト・セキュリティを構築できる製品はありません。そのため、ゼロトラスト・セキュリティを実現するためには、以下の機能を持つ各製品の導入が必要とされています。
- アカウント管理
- ネットワークセキュリティ
- エンドポイントセキュリティ
- アプリケーション・データ保護
- 分析・可視化・自動化
注意点として、上記に対応する製品を全て導入しなくてはいけないわけではありません。会社の規模や扱うデータなどの条件に応じて、必要な対策は異なります。それぞれの具体的な特徴やおすすめの製品は、次の章から順番に紹介します。
アカウント管理の種類とおすすめ製品
まずは、「アカウント管理」機能を持つソリューションの種類とおすすめ製品を紹介します。
アカウント管理の種類
| 種類 | 定義 | 関連製品 |
| IAM(アイデンティティ・アクセス管理) | 組織が利用する複数のIDの認証・認可を一元管理する | 「UserLock」株式会社オーシャンブリッジ
「SmartCloud」NTTコムウェア株式会社 「OneLogin」OneLogin Japan合同会社 |
IAMとは、ユーザーIDの権限設定を一括管理する製品です。社内アプリケーションや外部クラウドサービスごとのID管理を統合し、アクセスの可否を認証します。
おすすめのアカウント管理関連製品3選
「UserLock」株式会社オーシャンブリッジ
「UserLock」は、Windows ServerのActive Directoryと連携するアクセス管理・保護ソリューションです。二要素認証や、端末・接続方式・時間によるアクセス制御などの機能により、社内ネットワークの安全性を高めます。シングルサインオンの実装も可能で、「UserLock」で一度認証されると各種アプリケーションへスムーズにログインできます。
公式サイト:https://www.isdecisions.jp/userlock
「SmartCloud」NTTコムウェア株式会社
セキュリティクラウドサービス「SmartCloud」は、IAMソリューションを提供しています。ID管理、ログイン履歴の管理、統合認証、マルチ認証、シングルサイオンなどの多彩な機能が特徴です。環境が異なるオンプレミス・パブリッククラウドでも、シングルサインオンによる認証が可能です。
公式サイト:https://sc.nttcom.co.jp/smartcloud-si/security/id/
「OneLogin」
「OneLogin」は、クラウド型のアクセス・アイデンティティ管理サービスです。クラウドサービスのユーザーID管理を統合し、ログイン認証の手間を省きます。オンプレミスとクラウドのIDの連携も可能です。また、顧客のID管理を行う「CIAM」ソリューションも利用できます。
公式サイト:https://www.onelogin.com/jp-ja
ネットワークセキュリティの種類とおすすめ製品
続いて、ネットワークセキュリティ機能の種類とおすすめ製品を見ていきましょう。
ネットワークセキュリティの種類
| 種類 | 定義 | 関連製品 |
| SWG(セキュアWebゲートウェイ) | クライアントのWebアクセスを中継するクラウドプロキシサービス | 「IIJセキュアWebゲートウェイサービス」株式会社インターネットイニシアティブ |
| SDP / ZTNA(ソフトウェアによる境界定義) | 仮想の境界を構築しソフトウェアで制御する | 「Appgate SDP」Appgate 社
「FortiGate」フォーティネットジャパン株式会社 |
SWGは、クラウドで提供されるプロキシサービスです。クライアントと接続先の通信を中継し、不要または不審な接続先への通信を遮断します。また、アプリケーション統御により、許可していないアプリの利用を制限します。
SDPは、ネットワークによる仮想的な境界をソフトウェアによって作る技術です。SDPのネットワークは動的であり、通信ごとに接続元と接続先を繋ぐ専用の通信経路を構築します。ZTNAは名称が違うものの、定義や仕組みはSDPと同じソリューションです。
おすすめのネットワークセキュリティ製品3選
「IIJセキュアWebゲートウェイサービス」株式会社インターネットイニシアティブ
「IIJセキュアWebゲートウェイサービス」は、国産SWGサービスです。Webフィルタリングやサンドボックスなど、SWGの基本機能を網羅しています。また、全ての機能の稼働拠点は日本国内です。時差や言語の壁がなく、スムーズなサポートを受けられます。
公式サイト:https://www.iij.ad.jp/biz/swg/
「Appgate SDP」Appgate社
「Appgate SDP」は、SDPに準拠したセキュアアクセスプラットフォームです。通信ごとに接続元と接続先を認証し、安全な通信経路でデータを転送します。ユーザーごとにアクセス権限を設定できるため、内部不正やミスによる情報漏えいの予防が可能です。
公式サイト:https://www.appgate.com/software-defined-perimeter-jp
「FortiGate」フォーティネットジャパン株式会社
「FortiGate」は、次世代ファイアウォールなどの機能を搭載したアプライアンス製品です。「FortiGate」を導入することで、SWGやZTNAなどの各種ネットワークソリューションを構築できます。「FortiGate」シリーズのラインナップはエントリーモデルからハイエンドモデルまで幅広く、あらゆる企業規模に対応可能な製品です。
公式サイト:https://www.fortinet.com/jp/products/next-generation-firewall
エンドポイントセキュリティの種類とおすすめ製品
エンドポイントセキュリティは、ゼロトラストセキュリティを実現する上で重要な要素です。主な種類とおすすめ製品に分けて解説します。
エンドポイントセキュリティの種類
| 種類 | 定義 | 関連製品 |
| EPP(エンドポイント保護プラットフォーム) | マルウェア感染予防に特化した事前対策ソリューション | 「ZEROウイルスセキュリティ」ソースネクスト株式会社 |
| EDR(エンドポイント検出対応) | マルウェア感染後の事後対策の支援を重視する製品 | 「Cybereason EDR」サイバーリーズン合同会社 |
| MDR(検知と対応のマネージドサービス) | EDRの運用を任せるマネージドサービス | 「EDR+SOCサービス」株式会社キャスティングロード |
| UEM(総合エンドポイント管理) | 組織のエンドポイントを統合管理する製品 | 「Hexnode UEM」Hexnode社 |
EPPとは、アンチウイルスなどの事前対策を重視した製品の総称です。エンドポイントのマルウェア感染予防として機能し、脅威の侵入を防ぎます。事後対策はできないため、EDRとの併用が望ましいです。
EDRは、マルウェア感染後の対策を重視する製品です。「不正侵入を完全に防ぐのは不可能」と考え、サイバー攻撃を受けた後の迅速な侵入検知・遮断・復旧を支援します。
MDRは、EDRの提供と運用を行うサービスです。自社のITリソースが不足しており、EDRの運用が難しい企業に向いています。EDRの運用を代行し、検出レポートの提供から不正侵入後の対処まで全面的な支援が可能です。
UEMは、あらゆるエンドポイントを統合管理します。PCやスマホ、タブレット、IoTなど、端末やOSの違いを問わず、全てのエンドポイントの一元管理が可能です。社員の私用端末を利用する「BYOD」の管理も容易になります。
おすすめのエンドポイントセキュリティ製品3選
「Cybereason EDR」サイバーリーズン合同会社
「Cybereason EDR」は、AIエンジンによりリアルタイムに脅威を検知するEDR製品です。数万台のエンドポイント監視に対応し、サイバー攻撃の進行状況を可視化します。脅威の検知後は侵入箇所と経路を即座に特定して、被害の最小化と迅速な復旧支援を実現します。
公式サイト:https://www.cybereason.co.jp/products/edr/
「EDR+SOCサービス」株式会社キャスティングロード
株式会社キャスティングロードは、マルウェアの検知とインシデント対応の「EDR+SOCサービス」を提供しています。SOCとは、サイバー攻撃の分析・対処の専門組織です。インシデント発生時は、同社のSOCアナリストが遠隔で事後対応を担います。自社にIT人材がいない企業でも、強固なセキュリティ体制を構築できるサービスです。
公式サイト:https://aismiley.co.jp/product/cr2_edrsoc-service/
「Hexnode UEM」Hexnode社
「Hexnode UEM」は、組織のエンドポイント管理を統一するUEMプラットフォームです。端末やOSの違いを問わず、利用状況を一元管理します。一括ファイル配布、リアルタイムな位置追跡、画面監視、リモートデバイス制御といった機能が利用可能です。
公式サイト:https://www.hexnode.com/ja/
アプリケーション・データ保護の種類とおすすめ製品
アプリケーション・データ保護の役割を持つソリューションの種類と、該当するおすすめ製品を紹介します。
アプリケーション・データ保護の種類
| 種類 | 定義 | 関連製品 |
| CWPP | 複数のクラウドサービスを横断管理し、クラウドワークロードを監視・保護するソリューション | 「Prisma Cloud」パロアルトネットワークス株式会社 |
| DLP | データに対する操作を監視し情報漏えいを防ぐ仕組み | 「FileAudit」株式会社オーシャンブリッジ |
| DRM / IRM | ファイルを暗号化し、不正な複製を阻止する技術 | 「DataClasys」株式会社データクレシス |
CWPPは、複数のクラウドサービスを一元管理するプラットフォームです。業務システムのため複数のPaaS・IaaSを使う場合、クラウド環境の運用・管理が煩雑化します。CWPPを導入すると、クラウド管理が容易になる上にセキュリティリスクの低減も可能です。
DLPは、データの保護に特化した仕組みです。特定データそのものへのアクセスや操作を監視し、不審な操作を拒否します。ログイン認証に比べ、内部不正を阻止しやすい情報漏えい対策技術です。
DRM / IRMは、ファイルを暗号化し、利用者の動作を制限します。ファイルの複製・印刷・スクリーンショット・閲覧の制限が可能で、情報漏えいの予防に効果的です。音楽・書籍などの著作権を保護する製品を「DRM」、企業の文書や情報を保護する製品を「IRM」と言いますが、同じ技術です。
おすすめのアプリケーション・データ保護製品3選
「Prisma Cloud」パロアルトネットワークス株式会社
「Prisma Cloud」は、クラウドワークロード保護プラットフォームです。仮想マシン、コンテナ、サーバーレス機能といったクラウドワークロードを単一のエージェントで一元管理します。不審な挙動の警告やコンプライアンス状況の監視などの多彩な機能により、クラウドワークロードの安全性を維持します。
公式サイト:https://www.paloaltonetworks.jp/prisma/cloud/cloud-workload-protection-platform
「FileAudit」株式会社オーシャンブリッジ
「FileAudit」は、クラウドストレージやファイルサーバー内のファイル・フォルダを監視するDLP製品です。重要ファイルへのアクセスを追跡し、コピー・削除・書き換え・移動といったイベントに対してアラートを発します。ファイルへのアクセスログや使用状況も記録し、情報の流出・破損を未然に防ぎます。
公式サイト:https://www.isdecisions.jp/fileaudit
「DataClasys」株式会社データクレシス
「DataClasys」は、情報漏えい対策に役立つDRM / IRMシステムです。Word・Excel・PDFなどの一般的なドキュメントに加え、Windowsで開けるほとんどのファイルの暗号化に対応しています。暗号化したファイルは細かく操作制限を設けられ、ユーザーごとの権限設定も反映できます。
公式サイト:https://www.dataclasys.com/
分析・可視化・自動化の種類とおすすめ製品
最後に、分析・可視化・自動化などの機能を持つシステムの種類と、おすすめ製品をまとめます。
分析・可視化・自動化の種類
| 種類 | 定義 | 関連製品 |
| CASB | クラウドサービスへのアクセスを中継し、利用を制御・監視するシステム | 「Netskope CASB」Netskope Japan株式会社 |
| CSPM | クラウドサービスのセキュリティ設定や構成のミスを防ぐソリューション | 「Prisma Cloud」パロアルトネットワークス株式会社 |
| SEIM | 組織内のIT機器のログを一元管理するセキュリティシステム | 「Datadog Cloud SIEM」 Datadog社 |
| SOAR | セキュリティインシデントの情報収集・分析・監視・対処を集約するプラットフォーム | 「CORTEX XSOAR」パロアルトネットワークス株式会社 |
CASBとは、クラウドサービスへのアクセスを中継するサービスです。ユーザーはCASBを経由してクラウドサービスを利用するため、ユーザーやクラウドサービスごとの利用状況が可視化されます。従業員が無断で端末やクラウドサービスを使う「シャドーIT」の抑止が可能です。
CSPMとは、クラウドサービスの管理状況を可視化し、継続評価するソリューションです。API連携により、クラウド側のセキュリティ設定にミスがないかを定期的に評価します。設定ミスによる情報漏えいの防止に適しています。
SIEMとは、ネットワークやセキュリティ機器のログを統合管理し、脅威を検出するシステムです。組織内に設置されたIT機器のログを一元的に収集するため、攻撃に使われた通信経路を素早く特定できます。
SOARとは、情報セキュリティ業務を自動化し、業務効率を改善する技術です。社内外で稼働中の情報セキュリティからのデータを集約・分析し、脆弱性を可視化します。さらに、脅威への対処・管理もSOARで一元的に行うため、担当者の負担軽減も可能です。
おすすめの分析・可視化・自動化関連製品3選
「Netskope CASB」Netskope Japan株式会社
「Netskope CASB」は、クラウドサービスの詳細な利用状況を把握できます。誰がいつどのサービスを利用したかが判明するため、シャドーITの早期発見・予防が可能です。また、クラウドサービスおよびユーザーごとの操作制御により、情報流出やマルウェア感染のリスクを低減できます。
公式サイト:https://www.netskope.com/jp/products/casb
「Datadog Cloud SIEM」 Datadog社
「Datadog Cloud SIEM」は、クラウド型の運用監視サービス「Datadog」のSEIMソリューションです。ネットワークやエンドポイント、クラウドサービスなどの運用ログを横断収集し、分析します。リアルタイムな脅威検知により、不正侵入後もスピーディに対応可能です。
公式サイト:https://www.datadoghq.com/ja/product/cloud-security-management/cloud-siem/
「CORTEX XSOAR」パロアルトネットワークス株式会社
「CORTEX XSOAR」は、多様な機能を持つSOARプラットフォームです。組織内のIT機器から情報を収集し、セキュリティ運用業務のワークフロー自動化を支援します。たとえば、インシデント発生時の定型業務をワークフローに登録することで、業務効率化が可能です。
公式サイト:https://www.paloaltonetworks.jp/cortex/cortex-xsoar
ゼロトラスト・セキュリティ製品の選定ポイント
ゼロトラスト・セキュリティ製品を選ぶ際は、不足している機能を補完し合うように複数の製品を導入しましょう。すでにお伝えした通り、「この製品さえ導入すればゼロトラスト・セキュリティを構築できる」といった製品はまだ登場していないからです。自社のIT環境を分析し、優先度が高い分野または導入可能な範囲から段階的にゼロトラスト・セキュリティ製品を導入すると良いでしょう。
〈さいごに〉目的に合う製品を徹底比較して、ゼロトラストセキュリティ対策を実現!
現代のIT技術の発展スピードはめざましく、企業は流動的なIT環境に対応しなくてはいけません。IT技術の進歩は利便性の向上のみならず、サイバー攻撃の高度化にも繋がります。情報資産の価値も高まり、内部不正の脅威も増しています。こうした現状に企業が対応するには、ゼロトラスト・セキュリティ体制の構築が重要です。自社の課題や目的を解決できる製品を導入し、段階的にゼロトラスト・セキュリティを実現しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
