近年、セキュリティの概念「ゼロトラストアーキテクチャ」が注目を集めています。背景のひとつが、ネットワーク環境の複雑化と曖昧化です。
ゼロトラストアーキテクチャとは、どのような概念なのか、導入するためにやるべきことも含めて紹介します。
ゼロアーキテクチャとは?
現在、企業や組織が行っているセキュリティ対策では、「社内は安全で信頼できる領域」という前提に立つ手法が主流になっています。
昨今、注目を集めているのが、社内は安全という前提を覆し、「安全で信頼できる場所などない」という前提でセキュリティ対策を考える方法です。
このように、「安全とみなす場所を作らないこと」を原則とするセキュリティ戦略を、「ゼロトラストアーキテクチャ(Zero Trust Architecture)」と呼びます。
Trust(信頼)をZero(しない)の文字通り、ゼロトラストアーキテクチャでは、「守る・防御する」のではなく、「誰も信頼せず、すべてのアクセスを検証する」という考え方でセキュリティを確保します。
また「攻撃されること」を前提としてセキュリティ対策を行うというのが、ゼロトラストの考え方です。
ゼロトラストアーキテクチャが誕生した背景
近年特に話題となっているトラストアーキテクチャの概念ですが、誕生したのは約10年前で、特に新しい考え方ではありません。
アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ(John Kindervag)氏が、2010年にゼロトラストの概念を提唱しました。
2010年当時のアメリカで大きく注目されていたのが、大手通信会社Verizonの情報漏えい事件です。
この事件では、組織内部のユーザー権限が悪用され、大規模な情報漏えいが発生しています。
組織内部は安全とみなす従来型のセキュリティ戦略では、組織内部で発生した事件に対しては無力であることを示した事例となりました。
どうして今再注目されているのか
ゼロトラストアーキテクチャが再び注目を集め始めた背景には、新型コロナウイルスの感染拡大があります。政府からの要請に応じて各企業が急遽リモートワークに切り替えたことにより、現状のIT環境におけるさまざまな課題が浮き彫りになりました。
セキュリティリスクの増加
従来型のセキュリティ戦略は、別名「境界防御モデル」と呼ばれる通り、内部ネットワークとインターネットとの間に境界を設け、内部ネットワークを境界線で守るというアプローチを採用しています。
しかし、近年では、クラウドサービスの拡大やBYODなどにより、社内ネットワークにアクセスする経路も複雑化し、信頼できるアクセスと信頼できないアクセスとの境界線が曖昧になっています。
従来型のセキュリティでは外部から境界内にアクセスするために主に「VPN(Virtual Private Network)」を使用しますが、セキュリティ対策が不十分な場所や機器から接続する場合、情報漏えいのリスクがあります。また、VPNというシステムの都合上、通信が逼迫したり不安定になることもあります。
このようなことから境界防御モデルの限界が見え、そもそも何も信頼しないというゼロトラストアーキテクチャが注目されることとなりました。
テレワークの推奨
ゼロトラストアーキテクチャが再び注目を集めた背景には、テレワークの増加もあります。
従来型のセキュリティ対策では、テレワーク時のセキュリティで重要な役割を担うのがVPNです。
VPNは、インターネット上に仮想の専用線を設定し、データの送受信を安全に行う技術ですが、テレワーク社員が急増するとVPN機器には大きな負荷がかかります。そのため機器やネットワークに不調を来しやすく、社員からは、社内リソースにアクセスできないなどの不満が噴出しました。
ゼロトラストアーキテクチャを導入すると、すべてのアクセスを検証することになるため、VPNは不要になります。このため、テレワーク社員が増えても、アクセス過多でネットワークが不安定になるなどの不具合は起きません。
また、企業にとっても、ゼロトラストアーキテクチャでは、必要最低限のユーザーのみにアクセス権限を付与することになるため、企業のIT管理者による権限管理業務がスリム化するメリットがあります。
オンプレミスからクラウドサービスへの移行
社内の業務システムをオンプレミスで構築していた企業においても、クラウドサービスへの移行が進みつつあります。自社でオンプレミスのシステムを管理する場合、人的リソース不足や維持コストが高額という課題もあり、今後もクラウド化への流れは変わりそうにありません。
ゼロトラストアーキテクチャを基に構成したネットワークでは、社内と社外という境界が存在しないため、クラウドサービスも社内ネットワークも同一のポリシーを適用して制御できます。
このため、クラウドサービスへの移行を計画している企業は、ゼロトラストアーキテクチャに注目しているのです。
ゼロトラストアーキテクチャの特徴
ゼロトラストアーキテクチャには、どのような特徴があるのでしょうか。
アクセスを信頼しない
ゼロトラストアーキテクチャの原則は、必要最低限のユーザーのみに許可を付与することです。すなわち、アクセスやデバイスを一切信頼せず、アクセスごとに確認し、認証を得たユーザーとデバイスだけにアクセスを許可します。
「境界防御モデル」では、一度信頼したユーザーやデバイスに無制限に許可を与え、万が一、不正アクセスを受けた場合は、境界線で不正アクセスを排除しようとします。
一方、ゼロトラストアーキテクチャでは、そもそも無制限に許可することがありません。
ゼロトラストアーキテクチャの方が、不正アクセスのリスクを低減できることは言うまでもないでしょう。
内部からの情報漏えいを防ぐ
「境界防御モデル」では、社内は安全と考えるため、社内にいる社員がデータを持ち出したために発生した情報漏えい事故に対しては無力です。
また、社内ネットワーク内のデバイスで不正なWebサイトを閲覧し、マルウェアをダウンロードしてしまった場合には、セキュリティ対策ソフトなどでマルウェアを検出しない限りマルウェアの存在が発覚せず、被害はさらに拡大する恐れもあります。
このため、社内のユーザーやデバイスであっても疑い、アクセス毎に必ず確認するゼロトラストアーキテクチャは社内からの脅威に強いとされています。
ゼロトラストアーキテクチャを構築する前に確認すべき3つのこと
ゼロトラストアーキテクチャに基づいたセキュリティ環境を構築する前に、各企業では何を確認すべきでしょうか。
導入コストの事前見積もり
ゼロトラストアーキテクチャを提唱したForrester Researchは、2018年11月に、「Zero Trust eXtended (ZTX)フレームワーク」として、ゼロトラストを実装するための7要件とそのソリューションやツールの例を紹介しています。
1. ネットワーク・セキュリティ:
- SWG (Secure Web Gateway)
- SDP (Software Defined Perimeter)
2. デバイス・セキュリティ:
- EDR (Endpoint Detection and Response)
- EPP (Endpoint Protection Platform)
- MDM (Mobile Device Management)
3. アイデンティティ・セキュリティ:
- IAM (Identity and Access Management)
4. ワークロード・セキュリティ:
- CWPP (Cloud Workload Protection Platform)
5. データ・セキュリティ:
- DLP (Data Loss Prevention)
6. 可視化と分析:
- CASB (Cloud Access Security Broker)
- SIEM (Security Information and Event Management)
7. 自動化:
- SOAR (Security Orchestration and Automation Response)
各企業が、自社の事業やコストに合わせてこれらのツールを組み合わせて導入しますが、導入コストを見積もらないことには、導入可能なツールも決定できません。つまり経営層のレベルで、ゼロトラストアーキテクチャの導入に対する予算を決定することが、スタートです。
セキュリティツールの選定
紹介したツールをすべて導入することは、大半の企業で予算的・人的リソース的に相当困難なはずです。
自社のIT人材の数やセキュリティ専門職の有無で、導入すべきツールが変わってきます。例えば、すでにデバイス・セキュリティ関連ツールを導入済みであれば、「アイデンティティ・セキュリティやネットワーク・セキュリティのツールを追加する」といった方針も適切に立てられます。
セキュリティ環境の認識
セキュリティ対策には終わりがありません。また、ゼロトラストアーキテクチャはあくまでも概念であり、決定版の構成というものは存在しません。各企業が自社に最適なネットワーク構成を検討しながらゼロトラストを実現します。
よってまずは、現在行われている自社のセキュリティ対策を精査して、「どの部分で何が足りないのか」を把握する必要があるでしょう。
現状のセキュリティ環境を確認するには、デバイスなど物的なリソースの確認だけでは不足です。IT担当者やセキュリティ専門家などの、人的リソースの確認も徹底しましょう。
セキュリティ環境を正しく確認しておくことで、導入しても使いこなせないツールを購入してしまうなどのトラブルを防げます。
まとめ
ゼロトラストアーキテクチャを実現する手段は複数あります。社内システムのクラウドサービス化が進んでいますが、各種クラウドサービスと相性のよいセキュリティサービスが、クラウド型のセキュリティサービスです。
例えば、「HENNGE One」の場合、Microsoft 365やGoogle WorkspaceのようなクラウドサービスのID管理をSaaS形式で実装可能のため、VPNを利用しない形でクラウドサービスのセキュリティを高めることが可能です。ぜひこのようなソリューションもご検討されてはいかがでしょうか?
