ゼロトラストとは?従来の境界型防御だけでは不十分な時代に
近年のテレワーク、クラウドの普及などにより、セキュリティについての考え方を大きく変える必要が出てきました。従来の企業ネットワークは境界型が多く、「社内は安全、社外は危険」といった考え方に基づくものでした。しかし現在は、社内・社外という分け方では、年々巧妙になり悪質化する乗っ取りや踏み台といったサイバー攻撃からの防御や、社員一人ひとりの行動の制御が困難になってきました。
そこで注目を集めているセキュリティ対策の考え方が、「ゼロトラスト」です。
本記事では、ゼロトラストの意味や必要性、導入するまでの流れなどを解説していきます。
ゼロトラストとは?
ゼロトラストとは、2010年にアメリカのリサーチ会社であるForrester Research社のジョン・キンダーバーグ(John Kindervag)氏によって提唱されたセキュリティへの考え方です。「Zero Trust」は日本語では「すべて信用しない」と訳せますが、「すべてのデバイスを監視し、認証・許可の確認をする」ということを表します。つまりアクセスごとに必ず安全性を確認するという考え方です。
近年では情報資産が価値を持つこともあり、特定の企業を標的として成功するまで何度も攻撃をする執拗さのほか、データを暗号化し、解除のための身代金を要求するような悪質さを持つ攻撃が目立ちます。
このような攻撃に対抗するため、社内、社外にかかわらず、どのような端末からのアクセスであっても信用せず、アクセスのたびに認証を行うというのがゼロトラストです。
*参照:
ゼロトラスト導入指南書 | IPA
*参照:
ゼロトラストの現状調査と事例分析に関する調査報告書 | 金融庁
ゼロトラストの必要性
従来のセキュリティ対策では、VPN接続やファイアウォールなどにより、外部からのアクセスをコントロールする境界型防御が一般的でした。これは、社内からのアクセスは安全、社外からのアクセスは要注意という考え方がベースになっています。
しかしこのような境界型防御は、サイバー攻撃を受け、いったん社内ネットワークに侵入されてしまうとすべての情報へ自由にアクセスされる脆さを抱えています。
さらに、セキュリティの薄い関連会社のネットワークの脆弱(ぜいじゃく)性を突き、それを踏み台にセキュリティの強固なターゲット企業を攻撃するといった、サプライチェーン攻撃と呼ばれる事象も起きています。
また、リモートワークが一般的になった現在では、社員一人ひとりがフィッシングやWebサイトへのアクセスなど、セキュリティに対する意識をさらに高める必要が出てきました。それを補うセキュリティシステムなども必要になるでしょう。リモートで使用したデバイスを社内ネットワークに接続する際の対策も必要です。
境界型防御だけでは、自社ネットワークに侵入されたときに限界があることが示されています。攻撃者が何をするか、攻撃者に何ができるかについて把握したうえで、その対策を立てる必要があると言えるでしょう。その対策として、ゼロトラストの考え方が有効です。
ゼロトラストの7原則
ゼロトラストの基本的な考え方として、NIST SP800-207に以下の7つの考え方が示されています。NIST(National Institute of Standards and Technology)とは、米国国立標準技術研究所のことです。
NISTの定義や7つの理念は、ゼロトラストに関する共通認識として、グローバルスタンダードになり得る影響力があります。この考えは、利用するたびに機器やアクセスの認証を行い、正当なものかどうかを判断し、不正なアクセスを即座に検出できる体制を作ろうとするものです。
NISTによるゼロトラストの考え方
1. すべてのデータソースとコンピューティングサービスをリソースと見なす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスをセッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、
その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
上記の7つの理念は、ゼロトラスト・アーキテクチャの構築を設計するうえで、重要な指針となるでしょう。NISTのスコット・ローズ(Scott Rose)氏によれば、“ゼロトラストは完全に新しい概念ではなく、長年にわたるサイバーセキュリティの考え方とアイデアが進化したもの”とのことです。
ゼロトラストとは、アイデアと概念の集合体であり、ユーザーやシステムから学んだ情報、経験をもとに、常に改善を行い、強固なものにしていくことが求められます。
*引用・参照:
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳 | PwC Japanグループ
*引用:
ゼロトラスト導入指南書 | IPA
ゼロトラストのメリット・デメリット
ゼロトラストを導入することで、どこからでも社内ネットワークへアクセスできるようになるというメリットがあります。また、セキュリティが強化され、リモートワークの安全性も増します。しかし、デメリットも存在しています。
ゼロトラストがもたらすメリットとデメリットとして、下記の項目が挙げられます。
ゼロトラストのメリット
●ゼロトラストを導入しセキュリティを確保することで、インターネット経由で社内ネットワークへのアクセスが可能となるため、
アクセス元の条件について柔軟性が増す場合がある
●インターネットを中心としたネットワーク制御とセキュリティ対策を行うことで、ファイアウォール、VPNがボトルネックにならなくなる
●インターネットさえつながれば、どこからでも社内システムへアクセスできる
ゼロトラストのデメリット
●VPNであれば社内ネットワークへ入る通信を一元で管理できたが、それができなくなるため、あらゆる通信の管理が必要になる
ゼロトラストの導入までの流れ
ゼロトラストでは、多種多様な技術が使用されますが、特にクラウド技術が採用されることが多いと言えます。
クラウドは、システム、セキュリティアップデート、監視などをベンダーが行い、脆弱性対策が取られていることがほとんどです。データやアプリケーションをクラウド上へ配置し、インターネット経由でアクセスできるようにすることは、ゼロトラストの推進において有効な施策となるでしょう。
インターネット経由でのシステムへのアクセスを始める前に、まずは利用者からのアクセスについて認証方法を整えることが先決です。
ゼロトラストではID・パスワードに加え、多要素認証や端末情報などを用いて認証をより厳重にすることが基本になります。また、システムに対するアクセス権については、不審な動作を感知した場合は認証要素を追加するなど、状況により認証条件を変更する動的な認可を実装することで、さらにセキュリティが強化されます。
ゼロトラスト導入の流れとしての一例は、下記のとおりです。
1. ID 管理の強化【IDaaS】
IAM(Identify and Access Management)と呼ばれるクラウド。データなどシステムへアクセスするIDの適切なアクセス権限を、統合的に管理システムと人事システムに連携し、自動的に新入社員、退職者のアカウント登録を行えるようにします。
2. デバイス管理の強化【EMM、EDR】、MDM、EDRからセキュリティイベント情報を収集
EMM、EDRなどから、通常とは違う不審な動作を自動的に検出し、デバイスの動作停止、通信遮断を行えるようにします。
3. ネットワークセキュリティ対策【SWG/SDP】、アイデンティティー認識型プロキシ
IAMのID管理と連携し、アクセスがあるたびに利用者の端末をチェックするシステムを、アイデンティティー認識型プロキシと呼びます。アイデンティティー認識型プロキシの導入により、VPNによる社内ネットワークへのアクセスからゼロトラストに置き換えることができます。
4. セキュリティ運用(監視・分析、インシデントレスポンス)の自動化【SIEM/SOAR】
デバイスからのアクセスログを収集し、分析し、異常を検知するSIEM/SOARを導入します。
SIEM/SOARは複数のアクセスログの相互関係を分析するため、攻撃者に乗っ取られる危険性、不正アクセスなどをいち早く検知します。
ゼロトラストに基づくセキュリティ強化には、環境整備、人的資源への投資などが必要になります。そのため、現状の環境と併用し、必要な箇所から少しずつ進めるといった方法も有効だと考えられます。
*参照:
ゼロトラスト導入指南書 | IPA
ゼロトラストの導入は専門パートナーとの連携が必要
情報資産そのものが価値を持ち、テレワークなど社外で働くことが多くなってきた現在では、従来の境界型防御だけでは不十分になってきたと言えます。信頼できる社内からのアクセスであってもすべてを疑う「ゼロトラスト」は、社内ネットワークへのアクセスを誰でもどこからでもできるよう開放することで防御するという新しいスタイルです。
ゼロトラストの導入とセキュリティ強化には、セキュリティ対策に強い外部パートナーとの連携が必要です。セキュリティ対策において課題を抱えているものの、どこから対応したらよいか迷っているという方は、ぜひ一度インテックへご相談ください。
他のお役立ちコラムもぜひ合わせてご覧ください
関連する商品・サービス
ワークスタイル変革支援サービス
現状の可視化、ソリューション提供、伴走型サポートによってトータルで柔軟な働き方への変革を支援するサービス
詳しく見る
資料ダウンロード
ワークスタイル変革支援サービス資料はこちら
本資料はワークスタイル変革に取り組むお客様に向けて、現状の把握から個々の課題解決、伴走型サポートによる更なる価値創造まで、トータルで柔軟な働き方の定着および促進を支援する「ワークスタイル変革支援サービス」を紹介しております。