ゼロトラストとは？従来の境界型防御だけでは不十分な時代に

近年のリモートワーク、クラウドの普及などにより、セキュリティについての考え方を大きく変える必要が出てきました。従来の企業ネットワークは境界型が多く、「社内は安全、社外は危険」といった考え方に基づくものでした。しかし現在は、社内・社外という分け方では、年々巧妙化かつ悪質化するサイバー攻撃からの防御や、社員一人ひとりの行動の制御が困難になってきました。

そこで注目を浴びているセキュリティ対策の考え方が、「ゼロトラスト」です。
本記事では、ゼロトラストの意味や必要性、導入するまでの流れなどを解説します。

ゼロトラストとは？

ゼロトラストとは、2010年にアメリカのリサーチ会社であるForrester Research社のジョン・キンダーバーグ（John Kindervag）氏によって提唱されたセキュリティへの考え方です。

「Zero Trust」は日本語では「すべて信用しない」と訳せますが、「すべてのデバイスを監視し、認証・許可の確認をする」ことを表します。つまり、アクセスごとに必ず安全性を確認するという考え方です。

従来の境界型防御との違い

従来のセキュリティシステムは、企業や組織のネットワークの境界を守ることに重点を置いていました。アクセス状況は確認しつつも、基本的にアクセス相手を信頼する「Trust, but verify （信ぜよ、されど確認せよ）」が土台としてありました。

しかし、ゼロトラストでは内部からの脅威も考慮に入れ、アクセスごとにセキュリティを確認することに焦点を当てています。内部に侵入されても防御を維持することを目的としています。

近年では情報資産が価値を持つこともあり、特定の企業を標的として、成功するまで何度も攻撃をする執拗な手口が見られます。ほかにも、データを暗号化したうえで、解除のための身代金を要求する悪質な攻撃も目立ちます。

このような攻撃に対抗するため、社内、社外にかかわらず、どのような端末からのアクセスであっても信用せず、アクセスのたびに認証を行うのがゼロトラストです。

関連記事 リモートワークの課題とは？課題を可視化して現状と理想のギャップを埋める

ゼロトラストの必要性

従来のセキュリティ対策では、ファイアウォールなどにより、外部からのアクセスを遮断したうえで、外側と内側を区別し、かつコントロールする境界型防御が一般的でした。これは、社内からのアクセスは安全、社外からのアクセスは要注意という考え方が根底にあります。

しかし、境界型防御は、サイバー攻撃やVPN接続装置/ソフトウェアの脆弱性を突いていったん社内ネットワークに侵入されてしまうと、すべての情報へ自由にアクセスされる脆さを抱えています。

クラウドサービスの利用増

近年、主にインターネットから利用するSaaSなどのクラウドサービスの利用が急増しています。業務で外部のクラウドサービスにアクセスする必要性が高まり、境界の外側に社内データが保管されるため、従来の境界型防御だけでは不十分になりつつあります。

社外アクセスの増加

リモートワークの普及に伴い、社有デバイスを社外で利用することが増加しました。このため、社外からでも安全なインターネット利用が可能なセキュリティシステムの必要性が高まっています。社員一人ひとりがフィッシング詐欺や不正アクセスの脅威を認識し、セキュリティに対する意識をさらに高めなければいけません。リモートで使用するデバイスを社内ネットワークに接続する際の対策も必要です。

情報漏えいの増加

内部からの情報漏えいが増加しており、従来のセキュリティシステムでは、このリスクに十分対応できないことが指摘されています。サイバー攻撃に起因する情報漏えいに加えて、従業員や関係者の意図せぬ漏えいにも注意を払わなければなりません。

また、セキュリティの弱い関連会社のネットワークの脆弱（ぜいじゃく）性を突き、それを踏み台にセキュリティの強固なターゲット企業を攻撃する、サプライチェーン攻撃と呼ばれる事象も起きています。

境界型防御だけでは、自社ネットワークに侵入されたときに限界があることが示されています。攻撃者が何をするか、攻撃者に何ができるかについて把握したうえで対策を立てる必要があるでしょう。その対策として、ゼロトラストの考え方が有効です。

ゼロトラストの7原則

ゼロトラストの基本的な考え方として、NIST SP800-207に以下の7つの考え方が示されています。NIST（National Institute of Standards and Technology）とは、米国国立標準技術研究所のことです。

NISTの定義や7つの理念は、ゼロトラストに関する共通認識として、グローバルスタンダードになりえる影響力があります。この考えは、利用するたびに機器やアクセスの認証を行い、正当なものかどうかを判断し、不正なアクセスを即座に検出できる体制をつくろうとするものです。

NISTによるゼロトラストの考え方

１．すべてのデータソースとコンピューティングサービスをリソースとみなす
２．ネットワークの場所に関係なく、すべての通信を保護する
３．企業リソースへのアクセスをセッション単位で付与する
４．リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、
　　そのほかの行動属性や環境属性を含めた動的ポリシーにより決定する
５．すべての資産の整合性とセキュリティ動作を監視し、測定する
６．すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
７．資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

上記の7つの理念は、ゼロトラストアーキテクチャの構築を設計するうえで、重要な指針となるでしょう。NISTのスコット・ローズ（Scott Rose）氏によれば、"ゼロトラストは完全に新しい概念ではなく、長年にわたるサイバーセキュリティの考え方とアイデアが進化したもの"とのことです。

ゼロトラストとはアイデアと概念の集合体であり、ユーザーやシステムから学んだ情報、経験をもとに常に改善を行い、強固なものにしていくことが求められます。

ゼロトラストのメリット・デメリット

ゼロトラストを導入することで、どこからでも社内ネットワークへアクセスできるようになるメリットがあります。また、セキュリティが強化され、リモートワークの安全性も増します。しかし、デメリットも存在しています。

ゼロトラストがもたらすメリットとデメリットとして、下記の項目が挙げられます。

ゼロトラストのメリット

・柔軟なアクセスと利便性の向上

インターネットを介して、どこからでも社内システムへのアクセスが可能となり、アクセス元に関する柔軟性が増します。シンプルな考え方で不正アクセスを防ぎつつ、たとえばSaaSへのログインにシングルサインオン（SSO）を導入することで、ログイン方法が統一・簡素化されます。

・時間や場所を問わず働ける環境の提供

セキュリティチェックを通じて、どこからでも安全に社内システムに接続できるため、リモートワークやハイブリッドワークを安心して行うことが可能です。

・情報漏えいリスクの軽減

ゼロトラストは、すべてのアクセスや通信を監視し、SaaSのみならずオンプレミス環境へのセキュリティ対策も強化します。これによって情報漏えいのリスクが減少します。

・セキュリティ管理の効率化

ゼロトラストでは、各セキュリティをクラウド上で一元管理することが可能です。運用や管理の手間が軽減され、システム担当者がほかの業務に集中できるようになるでしょう。

ゼロトラストのデメリット

・導入・運用コストの増加

すべてのアクセスに対して認証を行うため、セキュリティ対策が増えます。対応範囲が広がることで、運用体制を維持するためのコストと時間が増大する可能性があります。

・ID統合やログインの手間

セキュリティを強化するために、すべてのアクセスで厳格な認証が必要となります。このベースとなるのがIDライフサイクルマネジメント、つまり社員の採用や異動・退職に合わせて、ID情報が適切に更新されることです。社員数が多い企業では、人事システムとの自動連携を検討するなど、大掛かりな仕組みの構築が必要です。

また、2段階認証や多要素認証を導入した場合、端末の電源オフやトラブルで認証が切れると頻繁にログインし直す必要があります。これにより、ログインとその状態を維持する手間が増大する可能性があります。

・利便性の低下

認証作業が増加し、簡素なシステム利用においてもストレスが増加する可能性があります。
また、各種セキュリティ制限を厳しくした場合に、操作や承認などの手順追加によって、同様の課題となる可能性があります。

ゼロトラスト導入までの流れ

ゼロトラストでは、多種多様な技術が使用されますが、特にクラウド技術が採用されることが多いといえます。

クラウドは、システム、セキュリティアップデート、監視などをサービス提供企業が行い、脆弱性対策がとられていることがほとんどです。データやアプリケーションをクラウド上へ配置し、インターネット経由でアクセスできるようにすることは、ゼロトラストの推進において有効な施策となるでしょう。
インターネット経由でのシステムへのアクセスを始める前に、まずは利用者からのアクセスについて認証方法を整えることが先決です。

ゼロトラストではID・パスワードに加え、多要素認証や端末情報などを用いて認証をより厳重にすることが基本になります。また、システムに対するアクセス権については、不審な動作を感知した場合は認証要素を追加するなど、状況により認証条件を変更する動的な認可を実装することで、さらにセキュリティが強化されます。

ゼロトラスト導入の流れとしての一例は、下記のとおりです。

１．ID管理の強化【IDaaS】

IDentity as a Serviceと呼ばれるクラウドサービスです。システムへアクセスするIDの適切なアクセス権限を、統合的に管理システムと人事システムに連携し、自動的に新入社員、退職者のアカウント登録を行えるようにします。

２．デバイス管理の強化【MDM、EDR】、MDM、EDRからセキュリティイベント情報を収集

MDMやEDRなどから、通常とは違う不審な動作を検出し、デバイスの動作停止、通信遮断を行えるようにします。

３．ネットワークセキュリティ対策【SWG】

IDaaSと連携し、デバイスからインターネットアクセスに対して、WebコンテンツフィルターやSSLインスペクション、マルウェアチェックを行い、インターネット利用の統制とセキュリティを確保します。

４．ゼロトラストネットワークアクセス【ZTNA】

インターネット上のデバイスから、オンプレミス環境やパブリッククラウドサービスのIaaSにある社内システムへのアクセスを安全に確保する手段を総称してゼロトラストネットワークアクセスと呼びます。

アクセスがあるたびに利用者の端末をチェックするところまでは、どの手段も同一ですが、社内システムへの接続手法により、アイデンティティー認識型プロキシ(IAP)、従来のVPNを応用発展させたもの、認証だけを行い接続許可の指示だけをアプリケーションシステムのゲートウェイに行うものとしてSoftware Defined Perimeter(SDP)があります。

いずれも、既存のアプリケーションシステムに直接手を入れることなく、外側にいずれかの仕組みを追加し対応します。

５．統合セキュリティ運用（監視・分析、インシデントレスポンス）【SIEM/SOC】

デバイスからのアクセスログを収集し、分析して異常を検知するSIEM/SOCを導入します。

SIEMは複数のアクセスログの相互関係を分析するため、攻撃者に乗っ取られる危険性、不正アクセスなどをいち早く検知します。
SOCは、SIEMで収集されたEDRやMD、SWG等のログ情報から、攻撃を検知し必要な対応を行うほか、実際に検知された攻撃に対して具体的な被害が無いかを各種の痕跡から調査する対応を行います。

ゼロトラストに基づくセキュリティ強化には、環境整備、人的資源への投資などが必要になります。そのため、現状の環境と併用し、必要な箇所から少しずつ進めるといった方法も有効だと考えられます。

ゼロトラストセキュリティ運用のポイント

ゼロトラストセキュリティの運用にあたっては、以下の点が重要になります。

セキュリティ意識の向上

組織内でのセキュリティに対する認識を強化し、社員一人ひとりが責任を持って対策に取り組む環境づくりが重要です。具体的には、セキュリティ研修の実施、定期的な意識啓発活動、セキュリティに関する最新情報の共有などが挙げられます。社員自身がゼロトラストセキュリティの重要性を理解し、日常業務でのセキュリティ対策の実践に積極的に取り組むようになることが目標です。

組織的な対応

ゼロトラストセキュリティを組織全体で推進することが大切です。ゼロトラストセキュリティの適切な運用は、経営層からの支援、部門間の協力、社員のセキュリティ意識向上などによって実現します。組織全体でセキュリティポリシーを理解し、それに基づいて行動することで、一貫したセキュリティの体制を築くことができるでしょう。

セキュリティ投資の重要性

セキュリティ投資を単なるコストととらえず、長期的なリスク管理とビジネスの継続性確保のために重要な投資と理解することが大切です。セキュリティ投資により、将来起こりうるセキュリティ侵害による損害を未然に防ぎ、企業の信頼性や業績を守ることが可能です。適切なセキュリティ対策には初期投資が伴いますが、その効果は企業の長期的な安定と発展に大きく貢献します。

継続的な見直しと調整

セキュリティ対策を定期的に評価し、必要に応じて更新することが求められます。セキュリティのリスク環境は常に変化しており、新たな脅威や技術の進化に対応するためには、セキュリティ対策の定期的な見直しと改善が不可欠です。最新のセキュリティ脅威に対する監視、セキュリティシステムのアップデート、ポリシーの調整などが挙げられるでしょう。

ゼロトラストの導入は専門パートナーとの連携が必要

情報資産そのものが価値を持ち、テレワークなど社外で働くことが多くなった現在では、従来の境界型防御だけでは不十分になってきたといえます。信頼できる社内からのアクセスであってもすべてを疑う「ゼロトラスト」は、社内ネットワークへのアクセスを誰でもどこからでもできるよう開放することで防御するという新しいスタイルです。

ゼロトラストの導入とセキュリティ強化には、セキュリティ対策に強い外部パートナーとの連携が必要です。セキュリティ対策に課題を抱えているものの、どこから対応したらよいか迷っているという場合は、ぜひ一度インテックへご相談ください。

公開日 2023年05月15日

資料ダウンロード

• いま求められるITインフラとセキュリティの あり方とは？

  本書は、デバイスを利用する場所を問わずに一貫したセキュリティ対策を実施し、同時に、業務に必要な IT サービスへのアクセスを容易にする方法を紹介します。
  セキュリティ対策について悩みを抱えている社内 IT システム担当者の皆さまは、ぜひご覧ください。

  ダウンロード
  

• ワークスタイル変革支援サービス資料はこちら

  本資料はワークスタイル変革に取り組むお客様に向けて、現状の把握から個々の課題解決、伴走型サポートによる更なる価値創造まで、トータルで柔軟な働き方の定着および促進を支援する「ワークスタイル変革支援サービス」を紹介しております。

  ダウンロード
  

あわせて読まれているコラム

同じカテゴリのコラム