特集記事

ivanti特集記事ゼロトラストセキュリティの運用部門にも優しい本当の意味での「自動化」とは

ゼロトラストセキュリティの運用部門にも優しい本当の意味での「自動化」とは

この記事のポイント


①セキュリティ対策の現状と課題
②ゼロトラストセキュリティの運用を円滑にする“新たな発想”「ダイナミックリスティング」
③高度な仕組み「CMDB+IT資産管理製品+CASB/SWG」の連携

理想的なセキュリティ対策と運用現場の疲弊

リモートワークの浸透やクラウド利用の普及によって、従来の境界型セキュリティ対策からより実効性の高いセキュリティ対策へのシフトが進んでいます。 ゼロトラストセキュリティでは、都度認証され安全性が担保されるだけでなく、ユーザ、デバイス、アプリケーション、データなどの要素に対して細かいアクセス制御ができるようになります。
一方で、ポリシーを決めなければならないことも多く、導入を検討するユーザからは運用負荷が大きな懸念となっています。 ポリシーを決めて、設定をするためには、ユーザや各部門からのリクエスト(申請)を吸い上げて、パラメータに落とし込み、そのパラメータを間違いなくシステムに設定していかなければなりません。 ユーザからの申請は、入社・退社・異動・PCリプレイスなど様々なイベントで変更され、タイムリーに設定されなければなりません。
このコミュニケーションを通常メールやワークフローを使って行いますが、運用管理者は、メールを漏れなく見張り、ワークフローで申請された内容を精査して、 管理簿(Excel)に間違いないように転記して、また間違いないように設定をしなければなりません。


せっかく最新のセキュリティシステムを導入しても、運用そのものがアナログなままでは、業務は効率化されず、肝心な検討や業務に十分な時間が割けません。 もっとも、このアナログなやり方では、人的なミスオペレーションも発生しやすく、セキュリティホールにもなりかねません。
またデバイスの利用用途で、本来制御されるべき設定が反映されるようにしなければなりません。例えば、検証用端末であれば、必要最小限のアクセスだけが許可されるべきですし、 重要情報が取り扱われる端末は、社外では一切のアクセスが認められるべきではありません。
あるべき設定がタイムリー且つ正確に反映されていることをどう担保するかが、このセキュリティ対策の肝となるのです。
今回は上記課題を解決するための仕組みをご紹介します。

理想的なセキュリティ対策と運用現場の疲弊

キーワードは「ダイナミックリスティング」

「ダイナミックリスティング」とは、制御条件などが考慮され、制御対象となる端末が自動的にリスト化され、そのリストをもとに設定がなされるという考え方です。
この時に、リスト化からそのリストの設定適用が自動化されるということが望ましいと言えます。ユーザであればADのような認証システムの情報を活用して、グルーピングされ、 ポリシーと紐づいて自動設定されるような仕組みがあります。CASBやSWGを検討する際にはそういった機能の有無は運用に大きく関わってきます。 デバイスは、IT資産管理ツールがうまく使えると効率的です。
最も重要なIT資産管理側の機能としては、①データのインポート機能と②特定条件によるCASB/SWG側での識別機能です。具体的に説明をします。

キーワードは「ダイナミックリスティング

■データのインポート機能について
通常IT資産管理製品ではこのデバイスが持ち出し許可されたものなのか、重要情報が扱われるかなどの情報はありません。そこで外部的に情報を作成して、インポートしなければなりません。
通常は資産台帳側でそのリストを出力し、エンドポイントを管理するIT資産管理製品にインポートすることで実現します。 これによってデバイスごとの属性情報が拡張され、制御したい任意の条件で管理ができるようになります。


■データのインポート機能について

■特定条件によるCASB/SWG側での識別できるようにする機能
データをインポートした後は特定の条件でファイルの作成やレジストリの値を変更するなど、対象か対象外かを識別できるようにしなければなりません。 ここまではIT資産管理製品で行わなければ、CASB/SWG側で識別できません。
つまりCASB/SWGと連携して、デバイスのダイナミックリスティングと自動設定を実現するためには、上記2つの機能が求められる訳です。

■■特定条件によるCASB/SWG側での識別できるようにする機能

利用者や管理者が円滑に利用/運用できる仕組み

今回はさらにもう一歩高度な仕組みをご紹介させていただきます。
昨今、ITサービス管理製品の導入が進んでいると思います。これらの製品には、CMDB(資産台帳)とワークフローが一体となっています。
例えば端末の持ち出し申請をして、その情報がCMDB(資産台帳)に書き込まれ、CMDBとIT資産管理製品が連携することでCASB/SWGと連携するという仕組みです。
ITサービス管理製品には通常ユーザポータルがあります。スマートフォンからこのポータルにアクセスし、申請が承認されると自動的に端末に設定が反映され、 Excelへの転記や設定チェックなどの必要が不要となる訳です。本やピザをネットで注文する際のユーザ経験と、企業内で依頼する事務手続きの煩雑さのギャップは、 業務効率化の点で重要課題と言えます。深刻化する企業へのサイバー攻撃に対応するため、セキュリティを強化しようとすればするほど、このギャップが従業員の負担につながります。
ただ単にセキュリティを堅牢にすれば良いのではなく、利用者や管理者が円滑に利用/運用できる仕組みを検討することが必要です。 ダイナミックリスティングや申請のユーザ経験などの考え方が、セキュリティ運用を無理なく継続させ、人的ミスや申請漏れなどのヒューマンエラーを防ぐ一手になると考えています。

利用者や管理者が円滑に利用/運用できる仕組み

過去記事一覧はこちら
/services/ivanti/column/index.html