ゼロトラストとは?従来の境界型防御だけでは不十分な時代に
近年のリモートワーク、クラウドの普及などにより、セキュリティについての考え方を大きく変える必要が出てきました。従来の企業ネットワークは境界型が多く、「社内は安全、社外は危険」といった考え方に基づくものでした。しかし現在は、社内・社外という分け方では、年々巧妙化かつ悪質化するサイバー攻撃からの防御や、社員一人ひとりの行動の制御が困難になってきました。
そこで注目を浴びているセキュリティ対策の考え方が、「ゼロトラスト」です。
本記事では、ゼロトラストの意味や必要性、導入するまでの流れなどを解説します。
ゼロトラストとは?
ゼロトラストとは、2010年にアメリカのリサーチ会社であるForrester Research社のジョン・キンダーバーグ(John Kindervag)氏によって提唱されたセキュリティへの考え方です。
「Zero Trust」は日本語では「すべて信用しない」と訳せますが、「すべてのデバイスを監視し、認証・許可の確認をする」ことを表します。つまり、アクセスごとに必ず安全性を確認するという考え方です。
従来の境界型防御との違い
従来のセキュリティシステムは、企業や組織のネットワークの境界を守ることに重点を置いていました。アクセス状況は確認しつつも、基本的にアクセス相手を信頼する「Trust, but verify (信ぜよ、されど確認せよ)」が土台としてありました。
しかし、ゼロトラストでは内部からの脅威も考慮に入れ、アクセスごとにセキュリティを確認することに焦点を当てています。内部に侵入されても防御を維持することを目的としています。
近年では情報資産が価値を持つこともあり、特定の企業を標的として、成功するまで何度も攻撃をする執拗な手口が見られます。ほかにも、データを暗号化したうえで、解除のための身代金を要求する悪質な攻撃も目立ちます。
このような攻撃に対抗するため、社内、社外にかかわらず、どのような端末からのアクセスであっても信用せず、アクセスのたびに認証を行うのがゼロトラストです。
関連記事 リモートワークの課題とは?課題を可視化して現状と理想のギャップを埋める
ゼロトラストの必要性
従来のセキュリティ対策では、ファイアウォールなどにより、外部からのアクセスを遮断したうえで、外側と内側を区別し、かつコントロールする境界型防御が一般的でした。これは、社内からのアクセスは安全、社外からのアクセスは要注意という考え方が根底にあります。
しかし、境界型防御は、サイバー攻撃やVPN接続装置/ソフトウェアの脆弱性を突いていったん社内ネットワークに侵入されてしまうと、すべての情報へ自由にアクセスされる脆さを抱えています。
クラウドサービスの利用増
近年、主にインターネットから利用するSaaSなどのクラウドサービスの利用が急増しています。業務で外部のクラウドサービスにアクセスする必要性が高まり、境界の外側に社内データが保管されるため、従来の境界型防御だけでは不十分になりつつあります。
社外アクセスの増加
リモートワークの普及に伴い、社有デバイスを社外で利用することが増加しました。このため、社外からでも安全なインターネット利用が可能なセキュリティシステムの必要性が高まっています。社員一人ひとりがフィッシング詐欺や不正アクセスの脅威を認識し、セキュリティに対する意識をさらに高めなければいけません。リモートで使用するデバイスを社内ネットワークに接続する際の対策も必要です。
情報漏えいの増加
内部からの情報漏えいが増加しており、従来のセキュリティシステムでは、このリスクに十分対応できないことが指摘されています。サイバー攻撃に起因する情報漏えいに加えて、従業員や関係者の意図せぬ漏えいにも注意を払わなければなりません。
また、セキュリティの弱い関連会社のネットワークの脆弱(ぜいじゃく)性を突き、それを踏み台にセキュリティの強固なターゲット企業を攻撃する、サプライチェーン攻撃と呼ばれる事象も起きています。
境界型防御だけでは、自社ネットワークに侵入されたときに限界があることが示されています。攻撃者が何をするか、攻撃者に何ができるかについて把握したうえで対策を立てる必要があるでしょう。その対策として、ゼロトラストの考え方が有効です。
ゼロトラストの7原則
ゼロトラストの基本的な考え方として、NIST SP800-207に以下の7つの考え方が示されています。NIST(National Institute of Standards and Technology)とは、米国国立標準技術研究所のことです。
NISTの定義や7つの理念は、ゼロトラストに関する共通認識として、グローバルスタンダードになりえる影響力があります。この考えは、利用するたびに機器やアクセスの認証を行い、正当なものかどうかを判断し、不正なアクセスを即座に検出できる体制をつくろうとするものです。
NISTによるゼロトラストの考え方
1.すべてのデータソースとコンピューティングサービスをリソースとみなす
2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスをセッション単位で付与する
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、
そのほかの行動属性や環境属性を含めた動的ポリシーにより決定する
5.すべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
7.資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
上記の7つの理念は、ゼロトラストアーキテクチャの構築を設計するうえで、重要な指針となるでしょう。NISTのスコット・ローズ(Scott Rose)氏によれば、"ゼロトラストは完全に新しい概念ではなく、長年にわたるサイバーセキュリティの考え方とアイデアが進化したもの"とのことです。
ゼロトラストとはアイデアと概念の集合体であり、ユーザーやシステムから学んだ情報、経験をもとに常に改善を行い、強固なものにしていくことが求められます。
ゼロトラストのメリット・デメリット
ゼロトラストを導入することで、どこからでも社内ネットワークへアクセスできるようになるメリットがあります。また、セキュリティが強化され、リモートワークの安全性も増します。しかし、デメリットも存在しています。
ゼロトラストがもたらすメリットとデメリットとして、下記の項目が挙げられます。
ゼロトラストのメリット
・柔軟なアクセスと利便性の向上
インターネットを介して、どこからでも社内システムへのアクセスが可能となり、アクセス元に関する柔軟性が増します。シンプルな考え方で不正アクセスを防ぎつつ、たとえばSaaSへのログインにシングルサインオン(SSO)を導入することで、ログイン方法が統一・簡素化されます。
・時間や場所を問わず働ける環境の提供
セキュリティチェックを通じて、どこからでも安全に社内システムに接続できるため、リモートワークやハイブリッドワークを安心して行うことが可能です。
・情報漏えいリスクの軽減
ゼロトラストは、すべてのアクセスや通信を監視し、SaaSのみならずオンプレミス環境へのセキュリティ対策も強化します。これによって情報漏えいのリスクが減少します。
・セキュリティ管理の効率化
ゼロトラストでは、各セキュリティをクラウド上で一元管理することが可能です。運用や管理の手間が軽減され、システム担当者がほかの業務に集中できるようになるでしょう。
ゼロトラストのデメリット
・導入・運用コストの増加
すべてのアクセスに対して認証を行うため、セキュリティ対策が増えます。対応範囲が広がることで、運用体制を維持するためのコストと時間が増大する可能性があります。
・ID統合やログインの手間
セキュリティを強化するために、すべてのアクセスで厳格な認証が必要となります。このベースとなるのがIDライフサイクルマネジメント、つまり社員の採用や異動・退職に合わせて、ID情報が適切に更新されることです。社員数が多い企業では、人事システムとの自動連携を検討するなど、大掛かりな仕組みの構築が必要です。
また、2段階認証や多要素認証を導入した場合、端末の電源オフやトラブルで認証が切れると頻繁にログインし直す必要があります。これにより、ログインとその状態を維持する手間が増大する可能性があります。
・利便性の低下
認証作業が増加し、簡素なシステム利用においてもストレスが増加する可能性があります。
また、各種セキュリティ制限を厳しくした場合に、操作や承認などの手順追加によって、同様の課題となる可能性があります。
ゼロトラスト導入までの流れ
ゼロトラストでは、多種多様な技術が使用されますが、特にクラウド技術が採用されることが多いといえます。
クラウドは、システム、セキュリティアップデート、監視などをサービス提供企業が行い、脆弱性対策がとられていることがほとんどです。データやアプリケーションをクラウド上へ配置し、インターネット経由でアクセスできるようにすることは、ゼロトラストの推進において有効な施策となるでしょう。
インターネット経由でのシステムへのアクセスを始める前に、まずは利用者からのアクセスについて認証方法を整えることが先決です。
ゼロトラストではID・パスワードに加え、多要素認証や端末情報などを用いて認証をより厳重にすることが基本になります。また、システムに対するアクセス権については、不審な動作を感知した場合は認証要素を追加するなど、状況により認証条件を変更する動的な認可を実装することで、さらにセキュリティが強化されます。
ゼロトラスト導入の流れとしての一例は、下記のとおりです。
1.ID管理の強化【IDaaS】
IDentity as a Serviceと呼ばれるクラウドサービスです。システムへアクセスするIDの適切なアクセス権限を、統合的に管理システムと人事システムに連携し、自動的に新入社員、退職者のアカウント登録を行えるようにします。
2.デバイス管理の強化【MDM、EDR】、MDM、EDRからセキュリティイベント情報を収集
MDMやEDRなどから、通常とは違う不審な動作を検出し、デバイスの動作停止、通信遮断を行えるようにします。
3.ネットワークセキュリティ対策【SWG】
IDaaSと連携し、デバイスからインターネットアクセスに対して、WebコンテンツフィルターやSSLインスペクション、マルウェアチェックを行い、インターネット利用の統制とセキュリティを確保します。
4.ゼロトラストネットワークアクセス【ZTNA】
インターネット上のデバイスから、オンプレミス環境やパブリッククラウドサービスのIaaSにある社内システムへのアクセスを安全に確保する手段を総称してゼロトラストネットワークアクセスと呼びます。
アクセスがあるたびに利用者の端末をチェックするところまでは、どの手段も同一ですが、社内システムへの接続手法により、アイデンティティー認識型プロキシ(IAP)、従来のVPNを応用発展させたもの、認証だけを行い接続許可の指示だけをアプリケーションシステムのゲートウェイに行うものとしてSoftware Defined Perimeter(SDP)があります。
いずれも、既存のアプリケーションシステムに直接手を入れることなく、外側にいずれかの仕組みを追加し対応します。
5.統合セキュリティ運用(監視・分析、インシデントレスポンス)【SIEM/SOC】
デバイスからのアクセスログを収集し、分析して異常を検知するSIEM/SOCを導入します。
SIEMは複数のアクセスログの相互関係を分析するため、攻撃者に乗っ取られる危険性、不正アクセスなどをいち早く検知します。
SOCは、SIEMで収集されたEDRやMD、SWG等のログ情報から、攻撃を検知し必要な対応を行うほか、実際に検知された攻撃に対して具体的な被害が無いかを各種の痕跡から調査する対応を行います。
ゼロトラストに基づくセキュリティ強化には、環境整備、人的資源への投資などが必要になります。そのため、現状の環境と併用し、必要な箇所から少しずつ進めるといった方法も有効だと考えられます。
ゼロトラストセキュリティ運用のポイント
ゼロトラストセキュリティの運用にあたっては、以下の点が重要になります。
セキュリティ意識の向上
組織内でのセキュリティに対する認識を強化し、社員一人ひとりが責任を持って対策に取り組む環境づくりが重要です。具体的には、セキュリティ研修の実施、定期的な意識啓発活動、セキュリティに関する最新情報の共有などが挙げられます。社員自身がゼロトラストセキュリティの重要性を理解し、日常業務でのセキュリティ対策の実践に積極的に取り組むようになることが目標です。
組織的な対応
ゼロトラストセキュリティを組織全体で推進することが大切です。ゼロトラストセキュリティの適切な運用は、経営層からの支援、部門間の協力、社員のセキュリティ意識向上などによって実現します。組織全体でセキュリティポリシーを理解し、それに基づいて行動することで、一貫したセキュリティの体制を築くことができるでしょう。
セキュリティ投資の重要性
セキュリティ投資を単なるコストととらえず、長期的なリスク管理とビジネスの継続性確保のために重要な投資と理解することが大切です。セキュリティ投資により、将来起こりうるセキュリティ侵害による損害を未然に防ぎ、企業の信頼性や業績を守ることが可能です。適切なセキュリティ対策には初期投資が伴いますが、その効果は企業の長期的な安定と発展に大きく貢献します。
継続的な見直しと調整
セキュリティ対策を定期的に評価し、必要に応じて更新することが求められます。セキュリティのリスク環境は常に変化しており、新たな脅威や技術の進化に対応するためには、セキュリティ対策の定期的な見直しと改善が不可欠です。最新のセキュリティ脅威に対する監視、セキュリティシステムのアップデート、ポリシーの調整などが挙げられるでしょう。
ゼロトラストの導入は専門パートナーとの連携が必要
情報資産そのものが価値を持ち、テレワークなど社外で働くことが多くなった現在では、従来の境界型防御だけでは不十分になってきたといえます。信頼できる社内からのアクセスであってもすべてを疑う「ゼロトラスト」は、社内ネットワークへのアクセスを誰でもどこからでもできるよう開放することで防御するという新しいスタイルです。
ゼロトラストの導入とセキュリティ強化には、セキュリティ対策に強い外部パートナーとの連携が必要です。セキュリティ対策に課題を抱えているものの、どこから対応したらよいか迷っているという場合は、ぜひ一度インテックへご相談ください。
公開日 2023年05月15日
資料ダウンロード
-
いま求められるITインフラとセキュリティの あり方とは?
本書は、デバイスを利用する場所を問わずに一貫したセキュリティ対策を実施し、同時に、業務に必要な IT サービスへのアクセスを容易にする方法を紹介します。
セキュリティ対策について悩みを抱えている社内 IT システム担当者の皆さまは、ぜひご覧ください。
-
ワークスタイル変革支援サービス資料はこちら
本資料はワークスタイル変革に取り組むお客様に向けて、現状の把握から個々の課題解決、伴走型サポートによる更なる価値創造まで、トータルで柔軟な働き方の定着および促進を支援する「ワークスタイル変革支援サービス」を紹介しております。
お問い合わせ
Webから問い合わせるあわせて読まれているコラム
関連する商品・サービス
- 統合型セキュアネットワークサービス
- お客様拠点間やパブリッククラウドを快適に・セキュアに接続するマネージドネットワークサービス。閉域網やオープンなネットワークを統合管理します。
- ワークスタイル変革支援サービス
- 現状の可視化、ソリューション提供、伴走型サポートによってトータルで柔軟な働き方への変革を支援するサービス
- EINS WAVE
- 共に課題解決するパートナーとして、お客様のビジネスを支える最適なプラットフォームをスピーディーに提供したい。
その理想をカタチにしました。
同じカテゴリのコラム
-
AI×ホログラフィック通信で“対面の限界”を越える〜次世代コミュニケーションの到来〜
2025年04月24日
-
生成AIとマルチモーダルAIを組み合わせたデータ利活用の実証実験を通じて、「一歩先の自治体DX」を検証!
ペーパーレスや電子化による「書類DX」の先は、業務の在り方から見直す「業務DX」の時代へ2024年06月28日
-
AIによる働き方改革とは?成功事例の紹介とAI導入のポイントを解説
2024年06月28日
-
DXとAIの関係性とは?AI活用の現状と課題、活用のポイントなどを解説
2023年12月21日
-
データ利活用コラムVol3:画像データを用いて作業を標準化する方法とは【製造業×データ活用】
2022年08月30日
-
データ利活用コラムVol2:データを用いて、不良品検出を自動化する方法とは【製造業×データ活用】
2022年07月05日
-
データ利活用コラムVol1:データを用いて故障発生を予測し、設備稼働率向上する方法とは【製造業×データ活用】
2022年07月01日
-
【業種別】生成AIの活用事例10選!導入時のポイントや注意点も解説
2025年04月04日
-
【産休・育休に関する調査報告書】300人の産休・育休取得者に聞いた、これからの復職支援に必要なこと
2022年03月28日
-
自治体によるオープンデータの活用事例6選!意義や公開手法など解説
2024年03月15日
-
APIとは?仕組みやメリットをわかりやすく解説!利用事例も紹介
2024年11月27日
-
Azure OpenAI Serviceは何ができる?メリットや注意点、具体的な活用事例も解説
2025年04月04日
-
API連携とは?仕組みやメリット、具体的な実装手順を解説
2025年01月22日
-
自治体DXとは?成功につなげるためのポイント・先進事例を紹介
2024年06月28日
-
HL7 FHIRによって広がる医療情報活用
2023年09月19日
-
教育現場が変わる校務DXとは?
メリットと推進のコツを成功事例付きで解説2024年11月12日
-
働く女性のキャリア形成に必要な支援とは?産休・育休からの復職支援の重要性
2021年12月13日
-
効果的なネットワークセキュリティとは?実際の被害事例や導入のポイントを解説
2023年12月22日
-
安全なテレワーク環境を構築するためのセキュリティ対策とは?セキュリティ対策の重要性と効果的な対策について解説
2023年12月22日
-
リモートワーク時代のセキュリティフレーム「SASE」とは?SASEの概要や求められる背景についても解説
2023年12月22日
-
EDRとは?企業を守る次世代セキュリティ技術の解説
2023年12月22日
-
SWGとは?CASBとの違いや機能・メリットを紹介
2024年07月04日
-
安全なSaaS利用のために注意したいセキュリティリスクと5つの対策方法
2024年07月04日
-
SD-WANとは?概要と導入のポイントをわかりやすく解説
2024年07月04日
-
スマートシティ官民連携プラットフォームとは?目的や内容を解説
2024年03月15日
-
スマートシティにおけるデータ活用|都市機能の向上と新しい価値の創出
2024年03月15日
-
スマートシティ実現のために必要なデータ連携基盤とは?都市運営の鍵となるデータの活用
2024年03月15日
-
企業のネットワーク構築方法とは?クラウド時代のセキュリティと効率性向上の実現
2024年03月07日
-
ゼロトラストアーキテクチャとは何か?概要とメリット、導入のポイントを解説
2024年03月07日
-
クラウド環境でのセキュリティの必要性と8つのセキュリティ対策
2024年03月07日
-
いち早くIT-BCPの重要性を見通し、
ネットワークとシステムのワンストップ体制を提案
「EINS WAVE」でインテックが世に問うたもの2024年07月04日
-
製造業DXでビジネスモデルを転換するステップを徹底解説!
2024年02月19日
-
DX人材とは?必要な技術や知識について解説
2023年01月25日
-
DX推進にコンサルティングは必要?メリットや選定ポイントを事例付きで解説
2024年09月10日
-
マルチクラウド徹底解説 ― メリットや注意点・最適な活用方法を紹介
2024年09月10日
-
Web分離(インターネット分離)とは?基本概念や仕組み・導入時のポイントを解説
2024年09月10日
-
オンプレミスとクラウドの違い ― 使い分けや移行のポイントを解説
2024年09月10日
-
クラウドセキュリティを強化するCASBの基礎と導入メリットを紹介
2024年09月10日
-
都市の未来像!スマートシティを進める自治体一覧
2023年10月13日
-
国内外のスマートシティの事例17選!推進のポイントや失敗例を紹介
2023年10月13日
-
スマートシティに潜む課題とは?解決するための技術と事例を紹介
2023年10月13日
-
未来のまちづくりを支えるスマートシティの構想とは?
2023年10月13日
-
校務のクラウド化による学校運営の効率化とセキュリティの重要性とは?
2024年05月17日
-
教育情報セキュリティポリシーに関するガイドラインの改訂ポイントとは?
2024年05月17日
-
教育DXとは?学校の現場に与えるメリットと課題についても解説
2024年05月17日
-
DXとは?DXの定義や、なぜ今DXが注目されるのか分かりやすく解説
2023年08月28日
-
DX化とは何?IT化との違いやメリット、実現すると変わることを解説
2023年01月06日
-
DX推進を阻む3つの課題とは?解決方法を分かりやすく解説
2023年02月17日
-
「2025年の崖」を回避するには?課題とその対策について解説
2023年03月24日
-
ID認証をもっと便利に、もっと安全に!利便性とセキュリティを両立する最新のID認証技術について解説
2021年07月14日
-
増え続けるID・パスワード問題を解消!認証基盤の必要性を解説
2021年07月14日
-
クラウド全盛時代!ID管理の重要性とは?
2021年07月14日
-
クラウドセキュリティ対策の基本からID認証の選定のポイントまでを解説
2021年07月14日
-
サイバー攻撃とは?サイバー攻撃の目的と種類や被害事例について解説
2023年12月21日
-
【製造業×AI画像解析】2024年問題など、製造業の課題を乗り越えるために「人の動きの可視化」が重要ポイント
2023年10月25日
-
ワークスタイル変革はここから!『業務のデジタル化』のポイントとは?
2023年04月12日
-
テレワークにおけるコミュニケーションの課題とは?課題解決のポイントを解説
2023年05月15日
-
新たな価値を創造し"ワークスタイル変革"への挑戦を成功に導く『デザイン思考』とは?
2022年12月07日
-
インテックが挑んだワークスタイル変革
2022年10月31日
-
テレワークにおける勤怠管理は難しい?課題解決方法と勤怠管理ツールの選び方を紹介
2023年03月24日
-
ワークスタイル変革による成長戦略の立案とは?生産性を高めるためのポイントを解説
2023年01月06日
-
リモートワークの課題とは?課題を可視化して現状と理想のギャップを埋める
2023年01月06日
-
ハイブリッドワークとは?メリットや注目すべきポイントを解説
2023年02月17日
-
VXとは?DXとの違いやVXの事例などをわかりやすく解説
2023年12月21日
-
テレワークにおけるセキュリティ対策とは?セキュリティリスクと対策を解説
2023年01月25日
