ロゴ エンタープライズITの変革者と伴走するメディア

エンタープライズITの変革者と
伴走するメディア

コレ1枚でわかる動的ポリシー

2022.07.18 DX ITソリューション塾 セキュリティ

※本記事は、斎藤昌義氏のブログ「ITソリューション塾」の一部を編集し、転載しています。

 セキュリティにおいて「常に信頼できる状態を維持する」ための対策とは、次のようなことです。

  • 全てのエンドポイント、使用者、通信、ネットワーク、ファイル、アプリケーションなどのリソースを監視する。
  • 通信を行うごとに、あやしいかどうかを確認して信用度レベルを評価し、レベルの低い(怪しい)通信に対しては、リソースの使用を認可しない。
  • アクセスごとに、評価して信用度レベルをダイナミック(動的に)変える。

 
 このような仕組みを「動的ポリシー」と呼びます。「ポリシー」とは、「どこまでアクセスでき、何ができるか」の規則や基準のことです。利用者が、通信を行うごとに信用度レベルを評価して、ポリシーを動的に変えることで、アクセスを制御し、安全を守ろうというやり方です。

 例えば、IDとパスワードが合致しても、そのユーザーが、「なりすまし」されていれば、本人だとは限りません。また、いつもとは違うデバイスや地域からアクセスしている場合でも、東京からアクセスしていた1時間後に海外からアクセスしていたら、おかしいと考えるべきでしょう。

 そこで、アクセスごとに大丈夫かどうかを確認し、「おかしなこと」が疑われるようなら、信用度レベルを下げて追加の認証要素(多要素認証)を強制したり、パスワードの変更要求をしたりしてセキュリティの強度を引き上げます。

 このように、アクセス要求のたびに、信用度レベルに応じて、アクセスを動的に許可/拒否することで、次のようなことができるようになります。


  • 新しい攻撃手法が登場しても、そのリスクを低減できる。
  • 何らかの事故が発生しても、リソース単位で動的にアクセスを許可/拒否できるので、全社に影響が及ばず、事業継続が担保される(ファイアウォールを使う場合は、その配下の社内ネットワークにつながる全てのリソースの信頼が疑われるので、全社的な影響を受ける)。
  • ファイアウォールを使わないので、社内外を問わず、どこからでも好きな端末で社内システムやクラウド・サービスなどを利用でき、多様なワークスタイルに対応できる。


 これらを全て自動で行うことで、利用者に意識させることなく、負担もかけないセキュリティ対策が実現します。


■関連記事

コレ1枚でわかるサイバー・ハイジーン
「脅威から守る」では響かない——経営陣を納得させるセキュリテイ投資の説明、5つのポイント
セキュリティを「経営視点」で語る方法とは——本質的なIT投資に欠かせない考え方
「予算がない」「人がいない」「理解されない」——「セキュリティの課題」を乗り越える方法とは
約1年半で「脱・境界型セキュリティ」を実現——ZOZOグループに導入プロセスと運用について聞いてみた