「ゼロから学ぶ」ゼロトラスト#06：実装編1「Cisco」3つのWを徹底的に守る

境界型セキュリティと真逆の考え方で守るゼロトラスト。
この概念を具体化する製品が続々と登場しているものの、各社のフィロソフィーの違いにより、実現方法に違いがあります。
そして、どの企業も「うちのが一番！」と張り合っている状況です。 

今回はゼロトラストソリューションを提供する企業のひとつ「Cisco」のゼロトラスト戦略について紹介します。

Ciscoが考えるゼロトラストセキュリティ 

世界最大のネットワーク機器開発企業「Cisco（シスコシステムズ）」。
“決して信用せず、常に検証する”という「ゼロトラスト」とは、「哲学（philosophy）」であり、それを具現化することはCiscoの使命だとしています。
ゼロトラストの製品化にあたりCiscoが採用しているのは、企業や組織全体を同時に守るという包括的なアプローチです。
ゼロトラストモデルを提唱した、アメリカの調査会社「Forrester Research」は、ゼロトラストモデルを実現するための7つの要件を次のように定義しています。

ゼロトラストモデルを実現するための7つの要件

自社の強みを活かし、これらの7要件のいずれかに集中して開発リソースを投下する方針でゼロトラストを実現する製品を開発している企業もあります。
Ciscoは大企業だからこそすべてを保護するアプローチが採用できるわけですが、それ以外にも、Ciscoが“あらゆるもの”を総合的に守っていくことが重要だと主張する理由があります。
働き方改革の推進やクラウドサービスの利用が拡大する今日。
Ciscoは、セキュリティ対策をすり抜けるダイレクトインターネットアクセスが急増していると指摘。あらゆるユーザとデバイス・あらゆるアプリ・あらゆる場所を保護する前提で対策することが重要だと主張しています。

従来型のセキュリティ対策から漏れてしまう脅威

Ciscoが提案するゼロトラスト実装ステップ

Ciscoは守るべきIT資産を次の3領域（3つのW）に分割し、それぞれに対してゼロトラストを実装する製品を展開しています。 

1. Workforce（ワークフォース）＝あらゆるユーザとデバイス 
2. Workload（ワークロード）＝あらゆるアプリ 
3. Workplace（ワークプレイス）＝あらゆる場所

実装ステップも、1・2・3の順です。 

引用：シスコ ゼロトラストセキュリティ製品ポートフォリオ 

STEP1：あらゆるユーザとデバイスを保護

Workforce（ワークフォース）すなわち、自社の社員・取引先の社員・ゲストユーザなどの“ユーザ”、会社支給のデバイス・BYODの個人所有デバイス・IoT（つながるモノ）などの“デバイス”をまず保護します。
「あらゆるユーザとデバイスの保護」を行うのが「Cisco Duoセキュリティ」です。
Cisco Duoセキュリティとは、あらゆるユーザとデバイスが、アプリケーション（クラウド・オンプレミス・VPN）にアクセスするときに動作するゼロトラストセキュリティです。 

Cisco Duoセキュリティの機能 

• 多要素認証によるユーザ検証
• デバイスの可視化
• アプリケーションへのアクセス制御

STEP2：あらゆるアプリを保護

次に、Workload（ワークロード）すなわち、オンプレミス・クラウドを問わずあらゆる”アプリ”を保護します。
「あらゆるアプリの保護」を行うのが「Cisco Tetration」です。
Cisco Tetrationは、どのようなアプリやサービスでも、社外含め他のサービスと通信するときに動作するゼロトラストセキュリティです。 

Cisco Tetrationの機能

• ワークロードとその通信を可視化して信頼性を確立
• 信頼性ベースでアクセス許可
• セキュリティ侵害の兆候を継続的に監視

STEP3：あらゆる場所を保護

ステップ３では、Workplace（ワークプレイス）すなわち、オフィス・自宅などあらゆる”場所”を保護します。
「あらゆる場所の保護」を行うのが「ネットワークセンサーとSD-Access」です。
CiscoネットワークセンサーとSD-Accessは、社内ネットワーク内のどのような場所であっても、ユーザやデバイスがアクセスするときに動作するゼロトラストセキュリティです。  

CiscoネットワークセンサーとSD-Accessの機能 

• 脅威を検知するセンサー「NetFlow対応ネットワークデバイス」
• VLANやACLを使わないネットワークセグメンテーションを実現
• 感染デバイスを自動的に隔離

Ciscoの製品でゼロトラストを実装した企業

実際には、3Wのすべてを同時に実装できる企業はほぼありませんが、実際にCisco製品を実装してゼロトラストモデルを取り入れた企業について、導入理由を紹介します。 

サンフランシスコを拠点とする運輸ネットワーク企業「Lyft（リフト）」は、ゼロトラストを導入するにあたり「Cisco Duoセキュリティ」を採用した企業のひとつです。
それまでのLyftのネットワーク環境や課題は次のようなものでした。 

• MacBook・Chromebook・Windows・Linuxマシンなど、さまざまなユーザデバイスが混在 （IT管理されているものもあれば、全く管理されていない個人用デバイスもあり）
• 機密性の高い自社独自のアプリケーションはAmazon Web Services（AWS）でホストされており、VPNを介してアクセスしていた 
• オフィス内にいるときでも、アプリにアクセスするためにVPNを使用していたため、生産性に影響が生じていた 

Lyftでは、これらの課題を解決するために、Cisco Duoセキュリティを採用しています。
彼らがDuoを選択した主な理由は、次の3つだったといいます。 

1）デバイスとアプリケーションの対象範囲が広いこと

Cisco製品の多要素認証は、認証方法をカスタマイズ可能で、次のようなデバイスを自由に登録して認証に利用することができます。 

• アプリのプッシュ通知に応答 
• アプリでパスコードを確認 
• SMSでパスコードを確認 
• 電話着信でパスコードを確認 
• ハードウェアトークンで確認 
• デバイスで生体認証 

様々なデバイスが混在する環境であるLyftにおいて、デバイスやアプリの対象範囲が広いことは大きな利点だったと言えます。 

2）自社独自アプリにアクセスする際の使いやすさ 

さまざまなアプリケーションに素早くアクセスできる「シングルサインオン（SSO）」などの機能が評価されたようです。 

3）シンプルな実装と展開 

Ciscoのゼロトラスト製品は、SaaS型のサービスで、ユーザ数に応じたライセンスを購入するシンプルな料金体系を採用していることも評価理由のでした。
Lyftの前CISO「Mike Johnson」氏は、Lyftでゼロトラストを取り入れたことによる一番の効果は、VPNを介さずに自社独自の内部アプリへアクセスできる環境を整えたことだと総括しています。 

Lyftは、今回、Ciscoが提唱する3領域（3つのW）のうち、「1. Workforce＝あらゆるユーザとデバイス」の防御をゼロトラストの考え方を取り入れて実装しました。
Lyftが導入したのは、1ユーザの1ヶ月あたりの使用料が9ドルの「Duo Beyond」です。そして、執筆時現在、Lyftの社員は5,680名ほどですので、仮に全社員に1ライセンスずつ付与していたとすれば、企業全体で1ヶ月あたり540万円ほどかかっていることになります。
しかしながら、Lyftはこれまで、複数のメーカのセキュリティ対策製品を個別に契約していたため、ライセンス購入費用がかさんでいました。今回、Cisco製品でセキュリティ対策が統合されたことにより、ライセンス費用がトータルで50％以上削減されたとしています。 

各社の戦略、導入事例などを知ることで、自社での採用の目安になれば幸いです。

【執筆：編集Gp　近藤真理】