ゼロトラストセキュリティ
ゼロトラストとは?
従来のセキュリティ対策は、信頼性が高い「内部(社内LANやVPNで接続されたデータセンターなど)」と危険な「外部(インターネット)」という形で境界線を引き、対策を講じていました。しかし、クラウドが普及した現在、企業が保護すべきデータがインターネット上にあるケースが増え、「内部」と「外部」という境界線を引く考え方では、セキュリティ対策が不十分になっています。
そこで生まれたのが「ゼロトラスト」という考えた方です。ゼロトラストとは、「何もない(zero)」と「信頼する(trust)」を組み合わせた用語で、「何も信頼しない」といった姿勢で行うセキュリティ対策の考え方です。
ゼロトラストの7つの要件
ゼロトラストには、次の7つの要件があり、これらと満たすことで、ゼロトラストネットワークが実現できるとされています。
01
すべてのデータソースとコンピューティングサービスはリソースと見なす
02
ネットワークの場所に関係なく、全ての通信を保護する
03
企業リソースへのアクセスは、セッション単位で付与する
04
リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた静的ポリシーによって決定する
05
企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
06
全てのリソースの認証と許可は動的に行われ、アクセスが許可される前に厳格に実施する
07
企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する
Fortinetのゼロトラストネットワークアクセス
FortiGateとFortiClient EMSまたは、FortiSASEを連携していただくことで、ZTNA機能をご利用いただけます。
ZTNA
検証
- 認証と検証-継続的に
最小限の
アクセスを与える
- ネットワークを細分化して、コントロールする小さなゾーンを作る
- アプリケーション、データ、リソースへのアクセス制御
- 必要性や役割に応じて最小限の権限でアクセスを許可する
情報漏えいを想定
- 攻撃者がネットワークの内外にいる場合の計画
- 「信頼できるゾーン」の概念を忘れてしまう、例えば「オフィス内」など
ZTNA(Zero-Trust Network Access)
VPNからZTNA(ゼロトラスト)への進化
Fortinetゼロトラストソリューションのユースケース
| ユースケース | 概要 | 関連製品/サービス |
|---|---|---|
| アイデンティティ / アクセス管理 | ネットワークや業務システムに接続するユーザーを高い信頼性で識別し、検証します。SSO、証明書管理、ゲスト管理などの認証処理を一元管理します。多要素認証(MFA)により、第二の要素でIDを確認します。 |
|
| エンドポイントとデバイスの保護 | ネットワークに接続する未知のエンドポイントとデバイスを識別し、保護します。エンドポイントの可視化、制御、振る舞い検知、高度な保護機能を統合して、企業のセキュリティを確保します。ZTNA機能により、きめ細かい動的なポリシー制御ができます。 |
|
| リモートアクセスと アプリケーションアクセス |
ZTNA機能により、デバイスとユーザーが確認された場合にのみ、個々のアプリケーションに対してセッション単位でアクセスを許可します。このポリシーはネットワーク上のユーザーにも適用されるため、ユーザーがどこにいても同じゼロトラストセキュリティポリシーが使用されます。 |
|
SCSKでのゼロトラスト対策の実装例
社内重要リソース対象のゼロトラスト
FortiPAM、FortiClient
管理者アクセスのAccess Proxyとして動作
- 認証と検証-端末posture確認
FortiClientで端末情報収集 - RDP接続内容の録画
- 発行コマンドの保管と制限
- 複数ユーザによる同時アクセス制御
社内LANアクセスを対象としたゼロトラスト
FortiGate, FortiSwitch, FortiAP, FortiClient
ZTNAタグによる動的なポリシー制御ができるため、LAN内のクライアント端末の状態(OSバージョン、ADドメイン、EMS管理、特定プロセス、Windows Security等)に応じて、アクセス制御を行うことも可能です。
FortiSwitchやFortiAPでLANを構成することで、L2機器間の通信もZTNAタグによる動的なポリシー制御が可能になります。
セキュリティ機能を無効化された感染端末によるラテラルムーブメントを防ぐ
リモートユーザに対するゼロトラスト
FortiGate, FortiSASE
- FortiSASEによる継続的な端末状態チェック
- ZTNAタグによる社内特定サーバへのアクセス許可
- リモート勤務者のインターネットをセキュアに
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security
-
FortiClient/FortiClientCloudエンドポイント保護、コンプライアンス管理、セキュアアクセス機能を単一のモジュールで提供します。- Cloud / SaaS
- Endpoint Security
-
FortiSwitchセキュアかつシンプルで拡張性も備えたイーサネットスイッチです。- Network Security
- OT Security
-
FortiAPFortiGateとの統合により、業界で最高水準の安全な無線サービスを提供します。- Network Security
- OT Security
-
FortiAuthenticator/FortiTokenFortinetが提供するIDおよびアクセス管理ソリューションです。- Network Security
- OT Security
- Endpoint Security
-
FortiSASEFortinetが提供する様々なセキュリティ機能をクラウドで提供しあらゆる場所からのアクセスを保護します。- Cloud / SaaS
-
FortiEDR攻撃の侵入前から侵入後まで対応できるエンドポイントセキュリティ製品です。- OT Security
- Endpoint Security
-
FortiNACネットワークに接続されるすべてのデバイスを可視化し、アクセス制御を実現するソリューションです。- Network Security
- OT Security