近年、「ゼロトラスト」と呼ばれる新しいセキュリティモデルが注目を集めています。本記事では、このゼロトラストセキュリティが従来のセキュリティモデルとどのような点が違うのか、初心者でもわかりやすいようにその特徴と導入事例を解説します。
ゼロトラストとは?
「ゼロトラスト」とは、英語で「誰も信用しないこと」を意味します。つまり、ゼロトラストというセキュリティ概念の要点は、「データへのすべてのアクセスやトラフィックを監視・制限しよう」ということです。
ゼロトラストセキュリティにおいては、組織のネットワーク内外問わず、あらゆる接続ポイントからのアクセスを無条件には信用しません。これは従業員用のIDを使ったアクセスでも同様です。その従業員IDは攻撃者によって乗っ取られているかもしれませんし、従業員自身が内部不正を働こうとしているかもしれません。あるいは本人には何の悪意もなくても、過失によって重大な情報漏えいが起きてしまう可能性もあります。
それゆえゼロトラストの考えに基づいたシステム運営においては、「必要なとき、必要な人に、必要なだけの権限を与えること」が原則です。これによって、たとえ不正にIDを得た攻撃者から攻撃を受けたとしても、被害を最小限に抑えることができるのです。
今までのセキュリティとの違い
従来のセキュリティ対策は「境界型セキュリティ」と呼ばれるコンセプトに基づいたものでした。境界型セキュリティは、英語で「Castle & Moatモデル」と呼ばれる場合もあります。Castleは「城」、Moatは「堀」を意味します。つまり、従来のセキュリティのあり方は、城を堀で囲って、城外の敵の侵攻に備えるようなイメージで捉えられていたのです。ネットワークに「内と外」の区別を設定し、外側からの攻撃を警戒する。これが従来のセキュリティの特徴です。
境界型セキュリティは、基本的にクローズドなネットワーク環境で運用するオンプレミス型システムが主流の時代は非常に効率的な方法でした。オンプレミスの場合は、攻撃者がシステムに外部ネットワークから侵入しようとしても、その経路が限られていたからです。先ほどの城のたとえなら、見張り番は城門さえ重点的に監視していればよかったわけです。
境界型セキュリティの問題点
しかしこの古いセキュリティモデルは、クラウドサービスの普及とともにその有効性が衰えてきました。オンプレミス型システムの場合、攻撃者から守るべき情報は当然、社内ネットワークの内部に保存されます。
クラウドサービスが広く使われるようになった今は、データの保存やシステムの運用をクラウドベースで行っている企業も珍しくありません。つまり、境界型セキュリティの前提であった「内と外」の区別が、いまや曖昧になってきているのです。
また、外部のネットワークからの攻撃を重点的に警戒する境界型セキュリティは、逆に言えば、一度システムの内部に侵入を許してしまえば、後は好き放題にやられてしまうという弱点を抱えていました。その点、マルウェアなどを利用した現在のサイバー攻撃はますます巧妙化しており、もはやマルウェアの感染を100%防ぐセキュリティなど幻想だという見方が強まっています。
ゼロトラストへの移行が進む背景
とりわけ新型コロナウイルスの影響を受け、テレワークを導入する企業が増えた今、企業のシステムには社内のPCだけでなく、社用・個人用のスマートフォンやタブレットなどさまざまな端末からのアクセスが増加しており、そのすべての安全性を100%保証するのは余計に難しくなっています。そして、そこで登場したのが「ゼロトラスト」という考えです。
クラウド全盛の今の時代に登場したゼロトラストは、セキュリティに「内と外」という区別を設けません。どのアクセスやトラフィックが安全なのか100%見極められない以上、完全に安全な内側などないのです。それゆえ、ゼロトラストセキュリティにおいては、すべてのアクセス、すべての場所に監視の目を光らせます。つまり、ネットワークの内部は安全だという前提を持っている従来のセキュリティに対して、内も外も変わらず危険で警戒が必要だとするのがゼロトラストの原理的な立場なのです。
ゼロトラストを使ったときのメリット
続いては、ゼロトラストセキュリティの導入によって得られるメリットについて解説します。
①コスト削減
ゼロトラストの第一の導入効果はコストの削減です。もちろん、多面的なセキュリティ対策を要するゼロトラストそのものの運用には、相応のコストが発生します。しかしゼロトラストのセキュリティの導入によって、セキュリティを強化し、システム障害や情報漏えいなどのリスクを最小限に抑えられれば、それらの問題によって必然的に生じるデータ損失や復旧コスト、あるいは自社の信用の低下などの潜在的コストを抑えられます。
また、後述するようにゼロトラストはクラウドサービスとの相性が良好なので、費用対効果が優れるクラウドサービスを安全に利用可能にするという点でも、間接的にコスト削減に寄与します。
②クラウドサービスを安心して使うことができる
ゼロトラスセキュリティを導入することで、クラウドサービスを安心して使うことができます。先述のように、ゼロトラストが注目を受けるようになった理由は、クラウドサービスの普及と密接な関係があります。
クラウドサービスにおいては、システムをオープンネットワークに置く以上、オンプレミスに比べてどうしても外部からの攻撃リスクは高まってしまいます。しかしゼロトラストセキュリティを導入すれば、そうした攻撃の被害を最小限に抑えることが可能です。
また、クラウドサービスを安心して利用できるようにすることで、DXやテレワークなどの推進も容易になります。
ゼロトラストを導入した代表的な会社
ゼロトラストセキュリティは、先進的な企業を中心に、多くの会社がすでに導入しています。以下では、そうしたゼロトラストの導入企業の中から、21st Century FoxとNTTデータの導入事例を紹介します。
21st Century Foxの導入事例
21st Century Foxはアメリカにおいて映画などのメディア事業を展開している企業です21st Century Foxの映画事業においては、200以上の協力会社がプロジェクトに関与することすらあります。これほど多くの会社が常時自社システムに接続しているので、セキュリティリスクは相当高まってしまいます。
そこで同社は、ゼロトラストセキュリティを実施することでこの課題をクリアしました。21st Century Fox はすべてのユーザーのアクセス履歴の管理の徹底や多要素認証などのセキュリティ対策を、ユーザビリティを損ねない仕方で導入し、システムの安全性を高めると共に業務効率化を図ったのです。
NTTデータの導入事例
NTTデータでは、長時間労働によって従業員の生産性が低下してしまっていることが、長年の課題でした。そこで同社は、従来の業務環境や働き方を見直す施策を2010年に開始しました。仮想デスクトップ基盤 BVDIを活用し、テレワークの導入などを通して従業員の労働時間を最大限活用する施策を実行したのです。テレワークの実施に当たっては、勤怠管理システムや、オンライン会議システム、チャットツールなど、業務効率化に役立つツールも積極活用しました。
その結果、同社の総労働時間は減少し、従業員のワークライフバランスの改善も実現できました。同社のこの取り組みにおいて、ゼロトラストセキュリティはテレワーク環境でもセキュアな業務環境を構築するために活用されています。
まとめ
ゼロトラストとは「誰も信用しない」という基本原則に基づいたセキュリティモデルを意味します。「内と外」の区別をつけずにネットワークを保護するゼロトラストセキュリティは、とりわけクラウドサービスやテレワークを導入する企業に適しています。
HENNGE Oneは多要素認証による安全性と、シングルサインオンによる利便性を兼ね備えたSaaS認証基盤です。セキュアなクラウド運用を可能にするHENNGE Oneは、ゼロトラストセキュリティの実施を強力に支援します。ゼロトラストセキュリティの運用をご検討中の企業様は、ぜひHENNGE Oneの導入をご検討ください。
