これからの時代に即した新たなセキュリティモデルとして、「ゼロトラスト」が注目を集めています。本記事では、ゼロトラストの導入に役立つ「ゼロトラスト導入指南書」の概要や基礎、メリットなどについて解説します。また、ゼロトラストの具体的な導入方法や、運用における注意点も併せて紹介しますので、ぜひ参考にしてください。
そもそもゼロトラストとは
「ゼロトラスト」とは、何も信頼せずすべてを疑ってかかるセキュリティの考え方です。2010年にアメリカの企業が提唱したセキュリティモデルであり、近年では世界各国で広がりを見せつつあります。
従来におけるセキュリティの考え方は、外部からの脅威に対し、いかなる対応をするかに焦点が当てられた「境界型防御」モデルが主流でした。「対策すべきは外部からのアクセスであり、内部のネットワークは安全である」との前提的な認識で、システムが運用されていたのです。
しかし、近年におけるクラウドサービスの普及やテレワークの増加に伴い、従来のセキュリティモデルではもはや対策が難しくなってきました。また、従業員による内部不正や、メールの誤送信などによる情報漏えいが相次ぐなど、必ずしも「内部は安全」と信じることはできなくなってきたのです。
このような背景から、ゼロトラストの考え方は浸透していきました。「外部だから危険、内部だから安全」と考えず、すべてを疑ってかかるゼロトラストなら、従来よりもはるかに高水準なセキュリティ環境を構築できます。
IPAのゼロトラスト導入指南書とは
ゼロトラストに基づいたセキュリティ環境を構築したいと考えているのなら、IPAの「ゼロトラスト導入指南書」に目を通すことをおすすめします。IPAとは「独立行政法人 情報処理推進機構」のことで、技術と人材で国のIT戦略をサポートするために設立された機関です。ここからは、IPAが公表する指南書の目的や、記載されている内容などについて解説します。
ゼロトラスト導入指南書の目的
ゼロトラスト導入指南書は、その名称からもわかるように、ゼロトラストの導入に必要な情報や注意事項をまとめたものです。ゼロトラストの導入を検討している企業経営者や担当者を対象に、基本的な考え方や構成する要素やモデルケース、導入方法などを示しています。
ゼロトラストの導入においては、概念や基本的な考え方の理解が不可欠です。そのため、本書にはゼロトラストの歴史や関連する文献、基本的な考え方などが網羅されています。そのほか、従来の境界型防御との共存方法や、運用における注意点などもわかりやすく解説しています。
つまり本書は、ゼロトラストの導入や運用における手引書とも言えます。まったく知識がない方でも最後まで目を通すことにより、基本的な考え方が身につき、具体的にどのようにして導入を進めればよいのか、運用で何に気をつければよいのか、といったことを理解できるでしょう。
ゼロトラストの構成要素とは
指南書には、ゼロトラストの構成要素についても記載があります。「実際にシステムを構築するにあたり、どのような要素が求められるのか」を図示し、わかりやすく解説しています。
ゼロトラストの構成要素は、ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)からなるポリシー決定ポイント(POP)、ポリシー実施ポイント(PEP)で構成されています。テキストではわかりにくいかもしれませんが、本書では図解で説明されているので、イメージしやすいでしょう。
おもな事例とモデルケース
指南書には、従来の境界型防御とゼロトラストを組み合わせた、ハイブリッドモデルにおける事例が掲載されています。「社外からオンプレミス環境へのアクセス」「社内からの機密情報持ち出し」「個人端末からクラウドへのアクセス」など、基礎検証を含め全8つのユースケースを抽出し、検証を行っています。
それぞれのユースケースにおいて、検証結果や得た気づきも併せて解説しているのがポイントです。このような大掛かりな検証を自社だけで行うには、膨大な時間もコストもかかるため、現実的ではありません。本書を読めば、モデルケース環境における検証結果と気づきを把握でき、導入や運用における参考材料として役立てられるでしょう。
ゼロトラストの導入方法とは
ゼロトラストの導入にあたっては、正確な知識を得なくてはなりません。また、やみくもに取り組むのではなく、正しい手順や方法で導入を進めることが大切です。指南書には、ゼロトラストを実現するための具体的な方法が記載されているので、最後まで読めばスムーズな導入を実現できるでしょう。
ID/デバイス管理を強化する
ハイレベルなセキュリティ環境を構築するには、ID管理の強化が欠かせません。一般的なID・パスワードによる認証では、悪意を持つ第三者によるなりすましが介在する恐れもあります。IDを適切に管理できるシステムの構築をはじめ、多要素認証の導入も検討するとよいでしょう。
また、デバイス管理の強化も必須です。近年は、さまざまな事情でリモートワークを導入する企業が増え、個人端末を業務に使用するケースも多くなっています。デバイスを適切に管理しないと、個人端末への攻撃や、端末を踏み台にした企業システムへの侵入といったリスクも発生します。
リモートワークを導入している企業はもちろん、これからリモートワークに移行する企業も、IDとデバイス管理の強化が必須と言えるでしょう。
ネットワークセキュリティを強化する
リモートワークを導入する企業が増え、外部から社内ネットワークへ接続するケースも増えました。従来よりも多くの従業員が社外から接続を試みるため、企業のネットワーク帯域は渋滞しています。業務をスムーズに遂行できる環境を整えるのはもちろん、ネットワークへの攻撃を回避・無力化するためにも、ネットワークセキュリティの強化が欠かせません。
そのためには、クラウド型のプロキシである「SWG」を活用するのも有効な手です。外部からのアクセスをチェックする機能も付随しているため、ネットワーク強化に役立ちます。ウイルスの検知や駆除、Webサイトの閲覧制限などもできるため、リモートワーク環境で力を発揮してくれるでしょう。
セキュリティ運用を自動化する
セキュリティ運用の自動化を進めれば、限られたリソースを有効に活用し、セキュリティレベルを高められます。従来よりも人員を削減でき、コストダウンも見込めるでしょう。
セキュリティ運用の自動化には、「SOAR」の導入が効果的です。インシデント対処の自動化を実現でき、アクティブな情報収集により迫りくる脅威の検知精度も高められます。セキュリティ運用におけるさまざまな業務を1つのプラットフォームで完結できるため、業務効率化にもつながります。
ゼロトラスト導入における運用の注意点
ゼロトラストの導入には、少なからずコストがかかります。なるべく費用をかけたくないと考える企業経営者や担当者の方も多いでしょう。しかしセキュリティ水準を高めるには、一定の投資は必要です。
企業経営者や担当者の中には、まだ自社が直接的な被害に遭っていないため、費用の投入を渋ってしまうケースもあるでしょう。しかし実際、機密情報や個人情報の漏えいなど、直接的な被害が生じてからでは手遅れです。その被害が事業継続を困難にしてしまう恐れもあるからです。
これからの時代において、ゼロトラストは標準的なセキュリティモデルとなっていくと予想されます。コストを惜しんで導入を先延ばしにしていると、取り返しのつかない被害に遭ってしまうかもしれません。導入コストは、組織を守るために必要な投資であると考えましょう。
まとめ
ゼロトラスト導入指南書には、ゼロトラストの導入に関するさまざまな情報が網羅的に記載されています。スムーズな導入と運用を実現するにあたり、ゼロトラスト導入指南書は心強い味方となってくれるでしょう。ニューノーマル時代に即したセキュリティ体制を構築するためにも、ぜひIPAの導入指南書に目を通してみてください。
