近年「ゼロトラスト」という言葉を聞き、興味を持った方も多いのではないでしょうか。しかし、それが具体的にはどのようなものなのか、知らないままな方もいるかもしれません。本記事では、そのような方に向けて、今後期待されるゼロトラストセキュリティの概要や、導入メリット・デメリットなどについて解説します。
ゼロトラストセキュリティの歴史
ゼロトラストセキュリティの歴史は、2007年にセキュリティ組織「Jericho Forum」が「トラストモデル」を提案したことに始まります。これは、ホストの信頼性や防御力を重視し、それらが強固であれば社内・社外の境界制御は不要、という考え方を含んでいました。しかし、全ホストの管理や制御を完璧に行っている組織は少なかったため、このモデルが効果を発揮できない場面も多く存在する点が課題だったのです。
その後、複数のモデルを改変する中で、「境界型セキュリティ制御モデル」が考案されました。これにより、さらに可用性のあるホスト管理が可能になったものの、ウイルスなどの脅威が内部に侵入した場合、それに対して無力であるなどの課題点も懸念されていました。
このように多くの研究が重ねられた結果、今回ご紹介する「ゼロトラスト」が誕生したのです。技術進化や社会背景の変化が進む現代においては、「内部と外部の境界さえ守れば脅威の侵入を防げる」という考えには限界があります。クラウド型のサービスが普及したり、リモートワークなどが推進されたりすることで、従来の社内・社外の線引きが不明確になっているとも言えるでしょう。
このような背景から今日では、境界を重視した対策では不十分と認識されています。こうして、より強力な対策を実行するうえでも、どこからの接続でも信頼せず、常に攻撃されることを前提とした対策が注目されるに至ったのです。この方法は、2010年にアメリカの調査会社の社員によって提唱され、近年でも話題を呼んでいます。
もっと読む:ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説
ゼロトラストセキュリティについて
ネットワークの内外には、常にあらゆる脅威が存在しています。従来では、内側は信用できるものの、外側は信用できないと考えられていたため、脅威は内側に侵入する前に阻めば問題ないと捉えられていたのです。結果、内側の危機意識が甘くなり、アクセスごとの信用確認なども適切に行われませんでした。
しかし、徐々にマルウェア侵入によるデータ流出などの標的型攻撃が増加したり、内部インシデントが発生する事態も起こったりしたことから、「内側への盲信は危険である」という考えが浸透してきたのです。
一方、ゼロトラストでは、「ネットワークのセグメント」と「セキュリティセグメント」はイコールではないと定義し、内外を問わず、すべての利用者からの接続を信用しません。接続を試みる行動が確認された場合には、それぞれの接続に対して個別に確認や信用評価を行うなど、都度認証する方法を採用している点が特徴です。
ゼロトラストネットワークの仕組み
ユーザー認証とアプリケーションの認証、デバイス認証の評価を一元管理するコントロールプレーンによって、それぞれの認証が行われ、その評価がスコア化されます。その後、データ転送などの役割を担うデータプレーンが、算出されたスコアをもとにアクセスの可否を判断し、通信を可能にする仕組みです。
具体的には、接続があるたびに「接続したのは本人かどうか」「端末は登録されているものかどうか」などの観点から、セキュリティレベルの確認が行われます。また、「セキュリティ対策ソフトが最新の状態かどうか」「ウイルス感染の有無」など、あらゆる項目を自動でチェックし、安全が確認できた端末のみ接続許可を出しています。これらは強固なアクセス管理技術を活用することで、可能になっていると言えるでしょう。
ゼロトラストセキュリティ導入のメリット
ここからは、ゼロトラストセキュリティを導入する3つのメリットについて解説します。
データ流出リスクを軽減
近年では技術の進歩により、攻撃も巧妙化しているため、従来のモデルではリスク回避に不安が残ります。しかし、ゼロトラストを導入すると、正当な利用者からのアクセスしか許可されません。そのため不正アクセスを防げるほか、データ流出リスクなどを軽減することが可能です。不正アクセスやデータ流出によって顧客データが社外に漏れることで、大きな被害が生じることもあるでしょう。それらを防ぐ効果があるのは、大きなメリットです。
また、必要な人に必要なだけの権限を与えることで、内部不正を防ぐ効果も期待できます。どの部署に所属しているのかによって、必要な権限は異なります。必要以上の権限を持たせることは、業務に不要な資料を閲覧する機会を与えることにつながるでしょう。そのような事態を防ぐためにも、業務に関係のある情報だけを見られるように、事前に管理することも重要です。
漏えいした場合の検出時間を短縮
ゼロトラストの導入によって、リスク軽減こそ期待できるものの、近年ではマルウェアの攻撃が増加しているため、完全に安全が保障されるわけではありません。しかし、アクセスのたびに評価されたアクティビティを、担当者が随時確認できる点は確かなメリットです。このようなアクセス履歴が、セキュリティの攻撃防御に役立つでしょう。また、従来と異なるアクセス方法で攻撃を受けた際、そのインシデントを素早く特定できる点も大きなメリットと言えます。
利便性の良さ
自宅やサテライトオフィスなど、場所を問わずに社内ネットワークなどにアクセスできるため、働き方改革によって推進されているテレワークの導入がスムーズに進められるでしょう。育児や介護などの事情により、出社ができないために働くことを諦めざるを得ない人の雇用にもつながります。
また、多要素認証機能やシングルサインオン機能を活用することで、複数のパスワードを使用することによるユーザーへの負担を軽減できるため、利便性の向上が期待できるでしょう。
ゼロトラストセキュリティ導入のデメリット
このようにさまざまなメリット持つゼロトラストセキュリティですが、いくつかデメリットもあります。メリット・デメリットを正しく把握し、導入すべきか検討することが大切です。
コスト面
ゼロトラストは単体ではなく、複数の製品を取り入れてセキュリティレベルを上げる必要があります。そのため、一定コストが必要な点は、デメリットです。特に、中小企業や経営的に厳しい企業などでは、導入が難しい場合もあるでしょう。
そのため、自社で導入する場合は、現在のセキュリティ課題を見つけ出し、経営状態を見ながら検討するなど、総合的な判断が求められます。一方で、境界セキュリティならば強固なものでも、コストを抑えつつ導入できるため、自社に適しているのはどちらなのかを考えてから取り入れることが大切です。
業務面の効率性
社内間であってもアクセスの制限が設けられるため、外部データを利用する際にはアクセス許可の申請など、手間が発生するでしょう。また、内部データを外部に伝達する場合も同様に、スムーズに進められないことが多くなり、業務効率低下の恐れもあります。
ほかにも、システムにログインするたびに認証を求められるため、毎回パスワードを打ち込むわずらわしさも懸念されます。そのため、シングルサインオン機能など、あらゆる機能を活用した対策が必要でしょう。
まとめ
ゼロトラストセキュリティによって、内部・外部などの区別なく全ネットワークを信用評価し、個別に確認してアクセス許可をすることで、より強固なセキュリティ対策が期待できます。コスト面や業務効率などのデメリットもありますが、それを考慮しても確かなメリットとなるのが、データ流出リスクや利便性のよさなどです。また、このようなメリットを享受できるからこそ、リモートワークなど働き方改革を進める一助になるのです。
「HENNGE」ではゼロトラストネットワークに不可欠なIDaaSの「HENNGE One」を提供しています。
「HENNGE One」は150を超えるSaaSとのSSOやデバイス証明書等を利用した多要素認証を提供しています。また、ゼロトラストネットワークで課題になる都度認証についてはHENNGE Lockを利用したパスワードレス認証を利用することもできます。
ゼロトラストネットワークを構築する際には検討してみてはいかがでしょうか。
