近年、新型コロナウイルス対策や働き方改革の一環として、テレワークを導入する企業が増えています。しかし、クラウドやテレワークの導入時に気になるのが、情報漏えいや不正アクセスなどのセキュリティリスクです。そこで本記事では、現在のICT環境に適したセキュリティモデル「ゼロトラスト」について解説します。
従来のファイアウォールを利用したセキュリティ対策ではないゼロトラストとは?
「ゼロトラスト」とは「Zero(ない)」「Trust(信用)」を組み合わせた語で、「誰も信用しない」ことを意味します。従来のセキュリティは、ファイアウォールによってネットワークの内外に境界線を敷く、いわゆる「境界型セキュリティ」という閉鎖的なシステムによって成り立っていました。
しかし今日では、オープンネットワークでの運用が前提となっている、クラウドサービスの普及が進んでいます。この状況では、真の意味で「閉じたシステム」など存在しないという見方が、IT関係者の間では広まっています。そこで多くの企業が導入を急いでいるのが、ネットワーク内部を含む複数の侵入口からのサイバー攻撃リスクに備える、ゼロトラストです。
ゼロトラストの基本理念としては、次の事柄が挙げられます。
- 何も信用しない
- すべてのリソースを保護する
- その都度アクセス要求を認証・評価する
- ユーザーに与えるアクセス権限を必要最小限にとどめる
ゼロトラストセキュリティモデルが注目される背景
ゼロトラストセキュリティが注目されている背景としては「クラウドシフトや新型コロナウイルスの感染対策によって、テレワークが拡大していること」が挙げられます。
境界型セキュリティは、自社のネットワーク内での情報保護を前提としています。しかし現在は、自社のデータやシステムを外部のクラウド環境に置くことも珍しくありません。つまり、境界型セキュリティが前提としている内か外かという区別は、もはや意味を成さなくなってきているのです。
この傾向は、新型コロナウイルスのパンデミックによりテレワーク導入が急速に拡大する中、ますます強まってきました。テレワークにおいては、従業員はさまざまな場所やデバイスから自社システムにアクセスします。
このような状況では、攻撃者やマルウェアの侵入を完全に防ぐことは不可能です。そこで自社のネットワークの内側、あるいはエンドポイントにまで保護を拡大する、ゼロトラストモデルが注目を集めているわけです。
ゼロトラストセキュリティモデルを実現するメリット・必要性
ゼロトラストセキュリティを導入するメリット・必要性としては、次のようなことが挙げられます。
メンテナンス担当者の負担を軽減できる
ゼロトラストセキュリティは、メンテナンス担当者の負担を軽減する効果があります。というのも、すべての機能をクラウド上で構築するため、管理が簡単に行えるからです。また、企業規模の拡大・縮小にも臨機応変に対応できます。
デジタルトランスフォーメーション(DX)を進める上で支えとなる
ゼロトラストセキュリティは、企業のDXを推進する効果もあります。先述したようにゼロトラストセキュリティは、クラウドとの相性がよいという特性を持ちます。これによって安定したクラウド環境を実現できれば、それを土台にDXの推進が可能です。
徹底した防衛機能でリスクを最小限に抑えられる
ゼロトラストセキュリティは、徹底した防衛機能でサイバーリスクを最小限に抑えられます。厳重な監視機能により、システム内部でのリスクも軽減します。そのため、万一不正アクセスが発生しても、被害を最小限に抑えられます。
ゼロトラストセキュリティモデルでも防ぎきれないポイント
以下では、ゼロトラストを導入しても解決しない問題について解説します。
信頼性の判断が完璧ではない
ゼロトラストが抱える問題の1つが、信頼性の判断が完璧にはできないことです。ゼロトラストは、そもそも「誰も信用しない」「完全に安全なネットワークなどない」という、ある種の性悪説や悲観論に基づいたモデルです。そのため、あらゆるアクセスに対して信頼を永続させることは原理的にできず、セキュリティ強度を緩められないので、ユーザーの利便性を損ねてしまう恐れもあります。
個人単位の問題に対処しきれない
上記の課題とも関連しますが、「ユーザーがシステムを正当な目的で利用しているかどうか」の判断ができないという問題もあります。
ゼロトラストセキュリティにおいては、ユーザーに個々の職階などに応じたアクセス制限を課します。これは、「許可された範囲内でユーザー個々人が行動していること」を逐一把握し、「その行動に悪意が含まれていないかどうかを判断する」ということは事実上不可能である、という認識に基づいています。言い換えれば、「ゼロトラストによってセキュリティ強化を行っても、インシデント発生率を0にはできない」ということが前提されているのです。
ゼロトラストセキュリティモデルを実現する方法
ゼロトラストセキュリティを実現するには、どのような取り組みをすればよいのでしょうか。以下では、ゼロトラストセキュリティの実現に役立つツールや具体的な製品について解説します。
セキュリティソリューションを導入する
ゼロトラストセキュリティを実現するための近道は、セキュリティに関するツールを導入することです。以下では、主なセキュリティソリューションをいくつか紹介します。
EPP
「EPP」とは「Endpoint Protection Platform」の略で、自社のシステムにアクセスする端末(エンドポイント)をセキュリティリスクから保護するためのツールです。AIの搭載により、マルウェアを自動検知したり、アラートを発したりしてくれます。
SOAR
「SOAR」とは「Security Orchestration, Automation and Response」の略称で、その名の通りセキュリティ運用のオーケストレーションと自動化、そして本格的なインシデント対応を実現するツールです。セキュリティ運用の効率化に役立ちます。
IAM
「IAM」とは「Identity and Access Management」の略称で、IDとアクセス管理の適正化を行うツールです。アクセス制御はゼロトラストの肝とも言えるセキュリティ対策なので、IAMは非常に大きな役割を担います。
EDR
「EDR」とは「Endpoint Detection and Response」の略で、エンドポイントセキュリティ対策用のツールです。脅威に対する予防効果が主となるEPPに対し、EDRは「攻撃の早期検知や攻撃経路・影響範囲の調査」「エンドポイントに被害が生じたあとの復旧」を主な目的としています。
CWPP
「CWPP」とは「Cloud Workload Protection Platform」の略で、複数のクラウドサービスにおけるワークロードの一元的な監視・保護を可能にするツールです。このツールを活用することで、企業が利用するクラウドシステム全体のガバナンスを強化するとともに、システム担当者の管理業務を効率化することが可能です。
ゼロトラストモデルネットワークをサポートしてくれる製品を導入する
ゼロトラストの概念に基づく、ネットワークへのサポートに秀でた製品を導入するのも1つの手です。代表的な該当製品としては、以下の2つが挙げられます。
Cisco Duo セキュリティ
「Cisco Duo セキュリティ」は、シスコシステムズ合同会社が提供するゼロトラストセキュリティ対応のプラットフォームです。同製品を活用することで、あらゆるユーザーとデバイスによるアプリケーションへのアクセスについて、安全性を確保できます。
BeyondCorp リモートアクセス
「BeyondCorp リモートアクセス」は、Google社提供のゼロトラストセキュリティを支援するツールです。こちらは同社が長年使用してきたツールでもあり、クラウドへの簡単かつセキュアなアクセスを実現します。
HENNGE IdP Pro
「HENNGE IdP Pro」はHENNGE社提供のゼロトラストセキュリティ対応IDaaSです。IAMとしての機能のほか、オンプレミスへのアクセスをセキュアにするIAPのHENNGE Connectを提供しています。
ゼロトラストモデルはこんな企業におすすめ
上記で述べたような特徴から、ゼロトラストセキュリティは次のような企業におすすめです。
- クラウドシフトを推進したい企業
- テレワークを推進したい企業
- モバイルデバイスやアプリケーションの利用を推進したい企業
ゼロトラストモデルの導入事例を紹介
ゼロトラストモデルは先進的な企業を中心に、すでに多くの企業が導入しています。例えば、Microsoft 365やAzureなどのクラウドサービスを提供しているMicrosoftも、そうした企業の1つです。同社はAzure Active Directoryの機能を活用することで、ユーザー・デバイス・場所・セッションなどの各リスク評価に基づき、動的なアクセス制御を可能にしています。これによってアクセス管理をセキュアに行い、ゼロトラストセキュリティに守られたクラウド活用を実現しているのです。
まとめ
従来の境界型セキュリティは、一度ファイアウォールが突破されると脆いという弱点を抱えていました。また、ファイアウォールの内側で起こる内部不正や人的ミスに対しても無力でした。これに対してゼロトラストセキュリティは、「あらゆるエンドポイントからのアクセス・トラフィックを無条件に信用しない」という理念のもとで運用されるセキュリティモデルです。ゼロトラストセキュリティは、日本社会でも導入が進んでいるクラウドサービスやリモートワークの運用に適しています。そのため今後ますます多くの企業が取り入れていく、と予想されています。
