テレワークやクラウドサービスの普及における、社内外のセキュリティが問われる現代。ゼロトラストの導入と同時に、従来使用されていたファイアウォールは不要ではないかと考えられるようになりました。
今回はファイアウォール不要説の真偽を含め、ゼロトラストとファイアウォールに焦点を当て、各々の基礎知識から最新対策までを徹底解説します。
この記事の目次
従来のファイアウォールとゼロトラストセキュリティの違い
ファイアウォールと、ゼロトラストの違いを最初に理解しておきましょう。
ファイアウォールは社内外に境界線を引き、内部のみを守るといった閉鎖的な「セキュリティシステム」です。一方でゼロトラストは「社内外問わず、すべてのアクセスを信用しない」ことを前提に、内部を含める複数の接続先からの攻撃に備えるという「考え方」を指します。
これからファイアウォールの特徴や機能、問題点を解説していきます。
またファイアウォールの特徴を理解したうえで、ゼロトラストセキュリティが必要な理由についても確認しましょう。
従来のファイアウォールの特徴
従来のファイアウォールは、ネットワークに透過させるIPアドレスやポート番号をポリシーに従って設定し、通信情報に一致しないものを遮断し不正アクセスを防ぎます。
従来のファイアウォールの機能や問題点、ゼロトラストセキュリティが必要だとされる理由を紹介します。
機能
ファイアウォールは、ネットワーク上で外部からの不正アクセスやサイバー攻撃を制御する機能を持ちます。
問題点
ファイアウォールの問題点としては、機能しないビジネスモデルの存在が挙げられます。例えば、専門知識がなくとも編集可能なECサイトが代表的です。
ファイアウォールはあくまでアクセスや通信の異常などを探知して悪用を防ぐものであり、公開Webサイトの「非武装地帯」と呼ばれるサーバー間からのウイルス感染までは制御できません。サイトの脆弱性を狙われた場合、ファイアウォールの機能では不十分です。
ゼロトラストセキュリティが必要な理由
ゼロトラストセキュリティが必要な理由は、以下の2つです。
- 情報漏えいやシステム停止による休業などを回避
- 社外コラボレーションの増加によるセキュリティの向上
特に最近ではクラウドサービスを利用し、取引先とのコラボレーションも増加傾向にあるため、取引先からの信頼性を高めるうえでより強固なセキュリティが求められます。
ゼロトラストネットワークへ移行する
従来のセキュリティシステムでは社内外の境界をファイアウォールで区切り、情報の流出や不正アクセスを制御していました。近年テレワークや、公的なデバイスなど社外からのアクセスが急増。さらには外部との連携により、セキュリティリスクの高まりが懸念されるようになりました。ここではさまざまな観点から、ゼロトラストへの移行について解説していきます。
ゼロトラストネットワークをどう実現するか
ゼロトラストネットワークの実現には、以下の3つのステップが必要です。
- 認証に必要なID管理の徹底
- アクセスの視覚化
- 端末ごとのセキュリティ対策
これらは、外部ネットワークからのアクセスを前提とした機能で、ファイアウォールにおける弱点の克服が期待できます。
またゼロトラストネットワークの実現にはいくつかのソリューションが欠かせません。ここでは以下のソリューションを解説していきます。
- IDaaS
- EBRやMDR
- CASB
- IAM
一つひとつ見ていきましょう。
IDaaSやID管理におけるゼロトラスト
クラウド上で行うID管理を「IDaaS(アイダース)」と呼び、一度の認証で複数のネットワークシステムが利用できるSSO(シングルサインオン)を採用しています。ID管理や高度な認証機能に加え、社内外からのアクセス制限にも優れています。社内・社外問わずすべてのアクセスを疑うゼロトラストの考え方を実現するうえで、欠かせないシステムです。
EDRやMDMにおけるゼロトラスト
「EDM」とは、ユーザーが利用するパソコンやスマホ、サーバーなどのエンドポイント内で起こる不審な動きを監視し、異常を探知すると管理者へ通知するシステムです。予期せぬ攻撃に対する防御に加え、万が一侵入されても素早く探知して被害を最小限に食い止めます。
また「MDM」とは、タブレットやスマホなどの端末を一元的に管理するためのシステムで、代表的なゼロトラストソリューションです。デバイスの盗難や紛失の際、情報漏えいや不正利用を防ぐために導入されます。どちらのシステムも、ゼロトラストにおける異常検知を実現するうえで欠かせません。
CASBにおけるゼロトラスト
「CASB(キャスビー)」は、システム管理者が認知していないITサービスの監視および情報漏えいの制御に特化したシステムです。具体的な機能として、社内ユーザーが使用しているSaaSの監視や、機密情報の持ち出しチェックが挙げられます。CASBの導入により、ゼロトラスト実現に欠かせない「厳格なアクセス権限の管理」が可能です。
IAMにおけるゼロトラスト
「IAM(アイアム)」とは「認証」と「アクセスの許可」の適切な設定を行うサービスで、クラウドサービス「AWS」の1つです。そのためパスワード等の適切な認証とアクセス許可の付与と、多要素認証等における異常検知といった、ゼロトラストの実現に必要な要素をIAMにより実現可能です。
ファイアウォールやUTMからゼロトラストに移行するにあたって
外部からの攻撃等を防ぐファイアウォールや、複数の観点から総合的なセキュリティを実現するUTMも、ゼロトラストの概念ではごく一部の役割として機能するものとなりました。
「信頼できるアクセス」が常に動的であると考え、認証・認可をクリアしたユーザーのみがアクセス権限を得ることが重要です。社内外からのアクセスすべてをリアルタイムで検証するという意味でも、ゼロトラストへの移行が奨励されています。
ゼロトラストにVPNは不要?移行や置き換えは可能なのか
ゼロトラストを実現するうえで、VPNでは不十分なケースも少なくありません。「VPN(バーチャルプライベートネットワーク)」とは、通信を暗号化させて外部からの読み取りを困難にする仕組みです。VPNの仕組みでは、端末がマルウェアに感染した状態でVPN接続した場合に、社内ネットワーク全体に感染が拡大するといったセキュリティ上の問題点が指摘されます。
そのため、近年のリモートワークにおいてはセキュリティチェックが行き届いていない端末からのアクセスも増加し、VPNはゼロトラストにそぐわないシステムとして廃れていくと予想できます。
とはいえ、ゼロトラストのセキュリティモデルは必ずしも万能というわけではなく、従来のオンプレミス型の古いシステムとは相性がよくありません。かえって社員の効率を下げてしまい、ゼロトラスト導入が失敗に終わるケースも考えられます。
そのため、VPNから急激にゼロトラストへの移行や置換が進むわけではなく、しばらくはそれぞれを併用することとなるでしょう。
セキュリティ対策の効率化の鍵「SOAR」
近年注目されている「SOAR(ソア)」は、セキュリティ対策の効率アップと自動化を図るソリューションです。SORAの導入により情報収集・調査・報告・対処を自動で運用でき、セキュリティ人材の不足を解消できます。
そのため、インシデント対策を担当していた人材は、より専門性の高い業務へ専念できるでしょう。
ファイアウォールを捨て、ゼロトラストの採用が必要な理由
従来のファイアウォールを捨て、ゼロトラストの採用が望ましいとされる理由は、以下の5つです。
- 攻撃対象の増加
- アプリケーションパフォーマンスの低下
- 運用コストが高く複雑
- ウイルスの拡散に対処するため
- 暗号化されたデータの調査を可能にし、情報漏洩を防ぐため
これらの理由を一つひとつピックアップし、詳細を解説します。
攻撃対象が増加したから
リモートワークの普及で接続先の場所やデバイスが拡大し、攻撃対象が増加しました。攻撃対象増加の背景にともない、ファイアウォールの「外部からの攻撃に対してのみ社内ネットワークを守る」性質では、対策が不十分となりました。
一方でゼロトラストは「社内・社外関係なくすべてのアクセスを信頼しない」考え方に基づくため、ファイアウォールでは対策できなかった潜在的な攻撃対象者まで対応可能です。そのためリモートワークを進めるうえで、ファイアウォールからゼロトラストへの転換が進んでいます。
アプリケーションパフォーマンスが低下したから
ユーザーが期待するのは、自分の仕事に必要なアプリケーションへは、どこにいても快適に接続できることです。
ところが、均一なネットワークをリモートワークの従業員にまで拡張し、トラフィックのセキュリティ対策のために中央のファイアウォールにまで転送処理をしていると、通信速度が落ちて業務の停滞や生産性の低下が生じます。
ゼロトラストの接続管理機能は、ユーザーとデバイスの場所に関係なく安全かつスムーズに接続可能で、セキュリティの管理も強化できます。
運用コストが高く複雑なため
ユーザーのセキュリティを確保しながら、社内やすべての業務拠点にファイアウォールを導入して管理していくには、複雑化するうえに運用コストがかかります。そのためファイアウォールのみで、すべてのデバイスとユーザーに高いセキュリティ効果を提供するのは非現実的でしょう。
ゼロトラストでは、既存のシステムと連携させて認証とアクセス管理を強化させるソリューションが存在します。導入することで、運用コストの削減とセキュリティ強化の両方が可能です。
ウイルスが広がるスピードに対応するため
ファイアウォールの場合、社外からも接続できているユーザーも無条件に「安全」とみなされるため、社員の1人がウイルス被害に遭った場合はたちまち被害が広がります。
そのためウイルスの急増を阻止するためには、「社内外関係なくいかなる接続先も無条件に許可しない」概念をもつゼロトラストの導入が必要です。
暗号化されたデータの調査を可能にし、情報漏洩を防ぐため
ファイアウォール単体は、暗号化されたデータを監視・調査できるように設定されていません。データの識別ができないため、データの流出や情報漏えいのリスクがあります。
そのため、ゼロトラストソリューションの1つである「SOAR」の導入により、データの調査や監視の自動化が必要です。
真のゼロトラストアーキテクチャーによるリスクの軽減
ゼロトラストのアーキテクチャの導入により、接続先のデバイスやアクセスの場所に関係なく、安全なネットワーク接続が可能です。
また、境界型セキュリティでは守りきれなかった領域を、シビアな認証と認可やアクセス権限の細分化によってカバーし、より強固なセキュリティシステムを構築できます。
このようにゼロトラストアーキテクチャの実現により、あらゆるセキュリティリスクを軽減できます。
ゼロトラストモデルはこんな企業におすすめ
ゼロトラストモデルは、以下の企業におすすめです。
- テレワークやフルリモートの働き方を推進している
- クラウドサービスの利用が増えた
- モバイルデバイスやアプリケーションを利用する
特にテレワークを推進するうえで、セキュリティ上の課題を先延ばしにしている企業は、ゼロトラストモデルの導入から始めるとよいでしょう。
よくある質問
最後に、ゼロトラストとファイアウォールについてよくある2つの質問に回答しています。
- ファイアウォールで接続元をすべて許可したい場合はどうすればよいですか?
- ブロックされているアプリを使用したいので、ファイアウォールを外しても問題ありませんか?
ゼロトラストへの移行を検討中であれば、疑問点の解消にお役立てください。
Q1.ファイアウォールで接続元をすべて許可したい場合はどうすればよいですか?
A.接続元種別で、以下のうちどちらかの操作を行ってください。
- 「ANY」を選択する
- CIDR(IPv4)を選んだ後に、0.0.0.0/0に設定
ただし接続先をすべて許可すると、セキュリティリスクが上がる点に注意してください。
Q2.ブロックされているアプリを使用したいので、ファイアウォールを外しても問題ありませんか?
A.外すのではなく、アプリごとにファイアウォール経由の通信を許可する方が安全です。無効にすると、デバイスやネットワークが攻撃されやすくなります。
まとめ
ファイアウォールは不要説もありますが、社内外からのデータ流出や情報漏えいを制御するセキュリティ対策の1つです。ただし完全ではないうえに、テレワークの普及やクラウド化によるセキュリティリスクの高まりから、ゼロトラストへの移行が推進されています。
今後はますますゼロトラスト機能が発展し、多くの企業に導入されていくことでしょう。