昨今、ITセキュリティにおいて重要性が高まっている「ゼロトラスト」という概念について、「よくわかっていない……」という方は多いのではないでしょうか。IT技術の発展とともに、サイバー攻撃や内部での情報漏洩などのセキュリティ事故が注目を浴びています。これらの事故を避けるためには、ゼロトラストモデルの構築が不可欠です。
ここでは、ゼロトラストの考え方や実現のためのポイント、製品・ソリューションの選び方などを紹介します。自社のシステムやサービスのセキュリティ強化につなげていきましょう。
ゼロトラストとは
まず、ゼロトラストの意味を詳しく見ていきましょう。
ゼロトラストとは何か
セキュリティにおける概念の一つである「ゼロトラスト」とは、「何も信用しないこと」または「信頼できる場所・モノは本来どこにもない」という考え方です。
ゼロトラストセキュリティは、「何も信用しないこと」を前提にしています。この前提のもとに、セキュリティソリューションを構成するのです。
なぜゼロトラストが求められるのか
昨今ゼロトラストが求められている主な理由は、以下のとおりです。
- これまでのセキュリティ対策は外部からの脅威だけに気を取られていた
- 近年クラウドサービスの利用率が急速に高まっている
- テレワークの増加により内部対策の強化がより一層必要になった
これまでのセキュリティ対策は、不正アクセスといった外部からの脅威に着目したものが中心でした。しかし近年は、従業員や元従業員などが故意・過失を問わず情報を漏洩するなど、内部対策がおろそかであることで起こるセキュリティ事故が多発しています。対策を講じるべき脅威は、外部からのものだけではなくなっているのです。
脅威の見方やセキュリティ対策の価値観が変わってきた背景には、クラウドサービスの普及やテレワークの増加があります。新型コロナウイルスの感染拡大を受けて、これらの需要はさらに高まっています。
現在は、従来の外部対策を重視した模範型セキュリティだけでなく、ゼロトラストをベースとしたセキュリティ対策も必要になっているのです。
ゼロトラストを実現するには
ゼロトラストセキュリティの実施にあたって、注意すべきポイントを整理していきましょう。まず、ゼロトラストを実現するための構成要素を見ていきます。
ゼロトラストの構成要素
ゼロトラストの構成要素は、以下の4つです。ゼロトラストは、これらに対する万全な対策によってはじめて実現します。
- 利用者
- デバイス
- システム
- 行動
ゼロトラストセキュリティでは利用者、デバイス、システム、行動のそれぞれに強固な対策が行われていることが重要です。デバイスやシステムには十分なセキュリティソリューションを備えたうえで、例えばユーザーとその行動には厳重な認証を行います。すると強固なゼロトラストセキュリティが実現し、情報漏洩などのセキュリティ事故を防止できます。
ゼロトラストは製品ではなくアプローチ
ゼロトラストは製品ではないため、ゼロトラストセキュリティを実施するためのアプローチを理解することも大切です。強固なソリューションを導入しただけでは、ゼロトラストセキュリティを構築したとはいえません。
「すべてを信用しない」ということは、どんな場所・モノにも脅威が存在すると想定することです。「自社ネットワークなら安心」と信じ切るのではなく、あらゆる事態を想定して自社ネットワーク内でもログを残す、管理者のみが必要な情報にアクセスできるように設定するといった対策が求められます。
システムのあらゆる面を考慮して、「何も信用しない」というゼロトラストの考え方を徹底するアプローチが、ゼロトラストセキュリティの実現につながります。
ゼロトラストを実現するための製品・ソリューション
ゼロトラストを実現するための、さらに具体的なポイントを見ていきましょう。どのようなセキュリティ製品やソリューションが、ゼロトラストセキュリティを可能にするのでしょうか。ゼロトラストを実現するための製品の選び方や、モデルの組み立て方を見ていきましょう。
ゼロトラストソリューションとして売られているものとは?
製品・ソリューションとして提供されているのは、ゼロトラストセキュリティを実現する製品やソリューションの組み合わせの提案です。製品を導入しただけではゼロトラストは実現できないため、あらゆるセキュリティを組み合わせて強固なネットワークを構築する必要があります。
セキュリティソリューションを提供する企業は、ゼロトラストネットワークの重要性を説いたうえで、さまざまなセキュリティ製品の組み合わせを提案します。
ゼロトラストソリューションは、包括的であればあるほど高額になりやすいのが特徴です。包括的であったとしても、すべてのシステム・デバイスをカバーできるわけではないため、自社に合った製品・ソリューションを慎重に選ばなくてはなりません。
ゼロトラストの実現に向けた製品選び
製品を選ぶ際は、各所の脆弱性をしっかりカバーできることを確認することが大切です。システム・アプリケーションの各層への脅威に対応できる製品の選定がカギになります。そのためには、どのシステム・アプリケーションにどのような脅威があるのかも、理解しておかなければなりません。
従業員に対する啓蒙や教育も不可欠です。ITリテラシーに関するセミナーや研修を実施し、従業員一人ひとりがセキュリティ事故を防止する意識を高めていくことが大切です。
ゼロトラストの第一歩となるIDaaS、HENNGE One
テレワークやクラウドサービスの普及に伴い今までの境界型防御では防ぐことができないセキュリティ事故も増加しており、企業はゼロトラストセキュリティの考慮が求められています。。ゼロトラストとは「何も信用しないこと」、つまり外部・内部を問わず、どんな場所やモノにも脅威が存在し得ることを理解したうえで、強固なセキュリティソリューションを実施することです。
その中でも多要素認証(MFA)は比較的短期間で取り組めるゼロトラストネットワーク構築の第一歩です。HENNGE Oneは、Microsoft 365、Google Workspace、Slack、Boxなどのクラウドサービスを利用する際のシングルサインオン、多要素認証(MFA)機能を提供しています。セキュアで働きやすい環境づくりの一環として、ぜひ利用をご検討ください。
