ニュース
シスコが“ゼロトラスト”セキュリティ戦略を発表 適応型多要素認証「Duo Security」を3月より提供へ
2020年2月5日 06:00
シスコシステムズ合同会社(以下、シスコ)は3日、多要素認証・デバイス可視化製品「Cisco Duo Security」と、同製品の導入支援コンサルテーションサービス「Cisco Zero Trust アドバイザリーサービス(仮称)」を3月から提供すると発表した。
さらに同日、セキュリティ戦略「ゼロトラスト セキュリティ」に関する記者説明会も開催し、シスコ 代表執行役員社長 デイヴ・ウェスト氏らが登壇している。
境界を保護するネットワークセキュリティだけでは十分ではない
「セキュリティには大きく3つの課題がある」と、ウェスト氏は説明する。
ひとつ目は、企業のデジタル化を推進できるセキュリティ人材が不足していること、2つ目はITシステムの複雑性が増大していること、そして3つ目はサイバー攻撃の脅威によるリスクの増大だ。
少子高齢化による人材不足は、そのままセキュリティ人材の不足につながっている。そのためセキュリティに対して十分な投資ができていない、業務プロセスや標準化が欠如している、自動化や省力化が遅れているためアラート処理に時間がかかるといった問題が起きていると指摘する。
複雑性についてウェスト氏は、「ハイブリッドクラウドへの移行やリモートワークの増加によって、ITシステムの境界があいまいなものとなり、境界だけを保護していればよかった既存のネットワークセキュリティはもはや十分ではない。ネットワークの内側にいれば安全という考え方は通用しなくなった」と述べた。さらにオリンピックを契機に、日本に対するサイバー攻撃の脅威によるリスクが増大していることについても懸念を示す。
さらにウェスト氏は、「これらのセキュリティ課題に対応するシスコのゼロトラスト セキュリティは、あらゆるユーザー、デバイス、場所からのアプリケーションと環境へのアクセスをセキュアにする考え方」と説明した。
また米Cisco シニアバイスプレジデント兼最高情報責任者のスティーブ・マルティーノ氏は、「当社にとってセキュリティは戦略。すべてをセキュアに接続し、あらゆることを可能にする」と述べ、ゼロトラスト セキュリティ成功への戦略的ステップとして「統合」「コントロール」「適用」が重要だと説明する。
このうち「統合」では、ファブリックにセキュリティを織り込み、ビジネスプロセスの中に統合していくという。そして「コントロール」では、セキュリティの脅威を見える化し、自動化やアクセスコントロールなどを実現する。最後の「適用」では、収集された大量のデータから脅威を迅速に検出して解決する。
マルティーノ氏は、「かつて、脅威を検出してから(アラートがあがってから)解決までは手作業で多くの時間を必要としていたが、いまは12時間以内に対応できるようになった」と、こうしたアプローチの効果を説明した。
さらには、「複雑化したITシステム全体をセキュアに統合してコントロールし、適用していかなければならない。簡単なことではないが、不可欠だ」と述べている。
セキュリティには性悪説の視点が必要
なお、昨今のセキュリティのトレンドについて、シスコ 執行役員 セキュリティ事業担当の田井祥雅氏は、「情報漏えいの81%は詐取されたIDとパスワードが原因で、Webアプリケーションの脆弱性のうち54%はネットで攻撃方法が公開されている。当社がお客さまのシステムに対して行ったペネトレーションテスト(侵入テスト)では、92%のシステムで侵入に成功してしまう。もはや内側にあるものだけを守っていればいいというセキュリティでは対応できない。言い方は悪いが、『性悪説』のアプローチが必要」と述べた。
ゼロトラスト セキュリティにおいては、ユーザーやアプリケーションがシステムにアクセスする際には、ネットワークの形態を問わず「安全ではない(信頼できない)」ということを前提とする。
そのため、システムへのアクセス前にトラスト(信頼)を確立し、最小権限のアクセスをそれぞれの環境で付与する。シスコでは「ワークフォース」「ワークロード」「ワークプレイス」の3つの領域でトラストを確立すると説明している。
多要素認証サービス「Duo Security」
3月から販売が開始されるDuo Securityは、多要素認証(MFA:Multi-Factor Authentication)およびデバイス可視化のサービスだ。ゼロトラスト セキュリティのワークフォースでトラストを確立するためのサービスとなる。
もともとはCiscoが2018年に買収したDuo Securityのサービスであり、同社の買収が発表されてからの約1年半で、いよいよシスコのセキュリティ戦略に沿ったサービスとして、日本市場にも投入されることになった。
MFA機能としては、一般的なIDとパスワードによる認証に加え、スマートフォンなどを利用して、所有要素や生体情報などの本人固有要素を使った多要素認証を実現する。認証方法は、プッシュ、パスコード、SMS、電話、セキュリティキーなど多数の選択肢から選択可能だ。
一方、デバイス可視化サービスでは、デバイス上の脆弱なソフトウエアやセキュリティ機能をエージェントレスでチェックすることができる仕組みを提供する。