クラウドサービスの普及や、テレワークの急速な導入に伴い、ますます脅威を増しているマルウェアへの対策として、「ゼロトラストモデル」という新しいセキュリティ技術を取り入れる企業が増えています。本記事では、ゼロトラストモデルの概要と、実装における導入ポイントやセキュリティソリューションの種類について解説します。
ゼロトラストモデルとは?
「ゼロトラストモデル」とは、「決して信頼せず、常に検証する」という信条のもとにセキュリティ運用することを指します。ネットワークの内外を問わず、全方位に対して警戒網を敷くことが特徴です。
ゼロトラストセキュリティの仕組みとは
ゼロトラストセキュリティの仕組みは、抜け目のない監視によって成り立つものです。前述のように、ゼロトラストにおいてはネットワークの内外を問わず警戒を実施します。そのため、社外ネットワークに対するアクセスはもちろん、社内ネットワークで起こるトラフィックも厳重に検査します。
また、組織の重要な情報が厳重に保護されているか、各種のリソースが適切なレベルで保護されているかといった、定期的な監査も重要です。ログ履歴などを参照してユーザーの不審な行動がないか見張ったり、ネットワークに多大な障害を引き起こす恐れのあるウイルスをスキャンしたりすることも欠かせません。
ただし、誤解してはならないのは、ゼロトラストは「完全無欠の防御」というわけではないことです。むしろ、この新しいセキュリティモデルは、ネットワークには必ずどこかに付け入る隙があることを前提としています。自社のシステムが常に内外からサイバー攻撃に晒されていることを前提に考え、その被害を最小限に食い止めるための仕組みこそ、ゼロトラストの核心なのです。
従来型のセキュリティネットワークとの違い
では、ゼロトラストと従来型セキュリティモデル「境界型防御」との間には、具体的にどのような違いがあるのでしょうか。それぞれ比較しながら見ていきましょう。
社外だけでなく社内も信用しない考え方
境界型防御とゼロトラストのもっとも根本的な違いは、ネットワークに「内と外」の境界があるという前提を置いているかどうかです。
境界型防御は、組織のネットワークの内と外を隔てる境界線を守ることに集中する一方、すでにシステム内部にあるものは脅威にならないと仮定し、自由なアクセスや行動を許可してしまいます。それゆえこの手法は、攻撃者をネットワークから排除することには長けていますが、1度ネットワーク内に入り込んだ攻撃者やマルウェアに対しては脆弱であるという弱点を抱えているのです。
対してゼロトラストは、社内から情報漏えいが起きる可能性も含めて対策を実施するものです。具体的には、ネットワーク上のリソースにアクセスしようとする全ユーザーに対し、多要素認証などによって厳格な本人確認を要求します。つまり、ゼロトラストモデルは「ネットワークはすでに侵害されている」と仮定した上で、社内のユーザーに対してさえも攻撃者ではないことを証明するよう求めるのです。
クラウドサービス/テレワークの運用を前提としている
従来の境界型防御における「内と外」という前提は、オンプレミス環境でのシステム運用を背景にしたものです。オンプレミス環境においては、社内のクローズドネットワークでの運用を前提にしているため、外部ネットワークからの攻撃を比較的防ぎやすく、たしかに「内と外」という境界が機能していました。
しかし今日では、ほとんどの組織のシステムは、孤立し存在しているわけではありません。クラウドサービスが普及した現在、「自社の一部ないしは全部のリソースを外部に置いている」という企業も珍しくないでしょう。またテレワークが広まり、社内クローズドネットワークのみの運用を前提とする企業は減っています。こうした状況下では、もはやネットワークの境界は曖昧になり、それを前提とした境界型防御は機能しません。いうなればゼロトラストは、クラウドサービスの普及というICT環境の大きな変化に対応すべく、生じてきた概念でもあるのです。
セキュリティ管理の確認項目数
上記のことからも示唆されるように、ゼロトラストでは多様なアプローチでシステム内外のリスクを継続的に監視・確認する必要があります。その際、管理すべき確認項目として、例えば以下のようなものが挙げられます。
- 使用しているネットワークは安全か
- 使用しているデバイスは許可されたものか
- デバイスがマルウェアなどに感染していないか
- デバイスの安全確保は適正に施されているか
- ユーザー本人によるアクセスか
- 使用しているアプリケーションに脆弱性はないか
- 不審な操作を行っていないか
これらを確認するために、「多要素認証・アクセス権限の制限・ユーザーの行動ログの監視・ウイルススキャン・証明書の利用」など数多くの対策を駆使して、システムの安全性の確保に取り組むことが重要です。
ゼロトラストモデルが重要視される背景とは
続いては、ゼロトラストモデルが必要とされるに至った背景について解説します。
テレワークの急速拡大
ゼロトラストモデルに注目が集まるようになった要因は、「新型コロナウイルスのパンデミックによってテレワークを実施する企業が増えたこと」です。
テレワークでは、従業員は社用あるいは個人用の端末を用いて、外部から自社のネットワークにアクセスします。このような状況では、社内アクセスと社外アクセスの境界が曖昧になり、セキュリティ担当者にとって「どのアクセスが信頼できるのか」を見極めることはますます難しくなっています。そのため、このような状況に適応するために、セキュリティ強化を目的にゼロトラストモデルを導入する企業が増えているのです。
サイバー攻撃の多様化
サイバー攻撃の多様化・巧妙化に伴い、従来の境界型セキュリティでは対応に限界があり、新たなセキュリティ対策の導入が必要です。サイバー攻撃の多様化がゼロトラストモデルの導入の背景にある理由については、以下があります。
- ランサムウェアなど標的型攻撃の増加
- クラウド環境の普及による攻撃対象の多様化
- ソーシャルエンジニアリング攻撃による内部脅威
このように、内部からの脅威やネットワークの境界が曖昧な現状では、ファイアウォールなどの境界型セキュリティでは対策が不十分です。全てのアクセスや行動を監視し、不審な動きに対して検知および迅速な対応が求められます。
ゼロトラストモデルの導入は、これらのサイバー攻撃の多様化によるセキュリティリスクに対応するための有効な手段です。
内部の人的ミスによる情報漏えい
社内の人的ミスによる情報漏えいリスクに備えることも、多くの企業がゼロトラストモデルを採用している理由です。近年では誤送信やUSBの持ち出しなど、従業員の人的ミスにより情報漏えいが発生するケースが相次いでいます。こうした不祥事は、企業の社会的信用を大きく損ない、場合によっては裁判沙汰になる恐れもあります。社内から発生するこうしたリスクに備えるため、ゼロトラストモデルの必要性が高まっているのです。
ゼロトラストモデルのメリット
ゼロトラストモデルの導入メリットとしては、次のことが挙げられます。
セキュリティ水準が大幅に向上
ゼロトラストモデルを導入することにより、セキュリティ水準を大きく底上げできます。この手法では、社外はもちろん社内からのアクセス権や認証も実施するため、より強固なセキュリティ体制を築けます。なお、「EDR」や「SOAR」などを導入することによっても、こうしたセキュリティ強化は可能です。
システム部門のセキュリティ運用効率化
ゼロトラストモデルを導入することによって、システム部門のセキュリティ運用を効率化できます。この新しいモデルにもとづき、セキュリティに関するフレームワークをつくり、EDRやSOARを導入することによって、セキュリティ運用の効率を大きく改善することが可能です。
ゼロトラストモデル実装における課題
ゼロトラストモデルは、従来の「境界型」セキュリティとは異なり、常に認証と検証を行うことを重視するセキュリティモデルです。ゼロトラストモデルを導入することでセキュリティ強化を行うにあたり、実装におけるいくつかの課題が存在します
何から着手すべきか分からない
ゼロトラストモデルには標準的な実装手順がなく、対象範囲が多岐にわたる包括的なセキュリティモデルです。ネットワーク、デバイス、ユーザー、アプリケーション、データなど、どこから手を付けるべきか迷い、導入に進めないケースもあります。
まずは、現在のセキュリティ状況を把握し、目的を明確化することで、手順のカスタマイズや導入計画を練ることが重要です。現在のセキュリティ状況から、脆弱性やリスクを特定し、影響度の順位付けを行います。1度に導入するのではなく、計画性をもってゼロトラストモデルを実装することで、導入がスムーズにできるでしょう。
中長期的な観点が必要になる
ゼロトラストモデルの実装は、1度に全てを導入することは現実的ではありません。中長期的なロードマップを策定して段階的に実装を進め、継続的なモニタリングと改善を行うなど、計画的に導入する必要があります。例えば、ユーザーの認証とアクセス管理から始め、効果を検証し、デバイスのセキュリティ強化やデータの保護へと範囲を拡大するといった手順です。
また、サイバー攻撃などの脅威は年々巧妙化してきており、セキュリティポリシーや運用方法を適宜見直す必要があります。脅威の変化や技術の進化に対応するため、ゼロトラストモデルの継続的な取り組みが必要です。
導入や運用にコストがかかる
ゼロトラストモデルの実装には、新しいセキュリティツールや技術の導入が必要なため、費用がかかります。以下は、セキュリティの導入によって費用が必要とされる対策の例です。
- 多要素認証(MFA)
- セキュリティ情報およびイベント管理(SIEM)
- アイデンティティおよびアクセス管理(IAM)
このように、初期導入コストがかかることに加えて、ゼロトラストモデルを維持するための日常的な監視やログ解析が不可欠です。さらに、導入や運用にかかるコストに対して、ゼロトラストモデルの効果を正確に算出するのは困難なこともあり、予算の確保が難しいなどの問題があります。
ゼロトラストモデル実現に必要なセキュリティソリューション
ゼロトラストモデルの実現には、各種のセキュリティソリューションへの理解が必要です。ゼロトラストモデルは、全てのアクセスを検証し、複数のセキュリティ技術を組み合わせて実装されます。以下から、ゼロトラストモデルの代表的なソリューションとその役割について見ていきましょう。
EPP
EPP(エンドポイント保護プラットフォーム)は、エンドポイントでの脅威検出と防止をするソリューションです。エンドポイントとは、パソコンやスマートフォンなどのデバイスを指します。クラウドベースによる集中管理が可能で、デバイスのセキュリティ状態をリアルタイムで可視化するものです。
例えば、ウイルス対策、マルウェア検出、ファイアウォール、アプリケーションコントロールなど、多様な機能を提供します。
EPPは、ウイルスやマルウェアからの攻撃を未然に防ぐ重要な役割です。エンドポイントが安全であることを保証し、ゼロトラストの原則に基づいたアクセス制御を補完します。
EDR
EDR(エンドポイント検出対応)は、エンドポイントで発生する全ての挙動を監視し、異常動作を検出するソリューションです。さらに、攻撃の兆候が見つかった場合に、自動的な隔離やインシデント対応を行います。EPPが既知の脅威を防止するのに対し、EDRは未知の脅威や高度な攻撃の検出および対応に特化する役割です。
ゼロトラストモデル環境では、エンドポイントが安全であることを保証するために、即座に対応することで、セキュリティリスクを低減します。また、侵入検知と対応を自動化することで、ゼロトラストモデルにおける継続的な監視と対応が可能です。
IAM/IGA
IAM/IGAは、ユーザーやデバイスの認証情報や権限を管理し、認証にもとづいて適切なアクセス権を制御するソリューションです。IAM(アイデンティティおよびアクセス管理)は、多要素認証(MFA)などの強力な認証やシングルサインオン(SSO)などを提供します。また、IGA(アイデンティティガバナンスおよび管理)はアクセス権やコンプライアンス管理を行い、権限の適切な割り当てをする役割です。
このようにゼロトラストモデルにおいて、IAM/IGAは、適切な権限管理と強力な認証を行うことで、セキュリティを確保します。
CWPP
CWPP(クラウドワークロード保護プラットフォーム)は、クラウド環境におけるワークロードのセキュリティ管理をするソリューションです。ワークロードとは、アプリケーション、データ、コンテナ、仮想マシンなどの処理やリソースを指します。クラウド環境でのワークロードをリアルタイムで監視し、脅威を検出して対策を行います。
CWPPを導入することで、クラウド環境におけるアクティビティを可視化し、リアルタイムでの脅威防御が可能です。また、コンプライアンス要件にもとづくセキュリティ対応を行い、仮想マシンなどのワークロードを一元管理します。
SOAR
SOARは、セキュリティインシデントの検出から対応までのプロセスを自動化し、迅速で一貫したインシデント対応をするソリューションです。セキュリティオーケストレーション、オートメーション、レスポンスなどの異なるセキュリティツールを連携し、データを統合しています。
複数のセキュリティツールに対し、インシデントの検出から対応までを効率化するため、ゼロトラストモデルの実装に不可欠です。SOARは、プレイブックと呼ばれる標準化された対応手順でインシデント対応の自動化をサポートし、セキュリティの負担を軽減します。
ゼロトラストモデル実現のための導入ポイント
ゼロトラストモデルを実現するためには、セキュリティの基本的な考え方を見直し、新しいセキュリティ方針を導入することが必要です。ここでは、ゼロトラストモデルの重要な導入ポイントについて詳しく解説します。
ID管理を強化する
ゼロトラストモデルでは、MFA方式やIDとアクセス権限の統合管理の導入が必要です。従来のID管理は、パスワードの流出や権限設定が不十分な場合や、複数のID管理によるユーザー負担が大きい場合がありました。
ゼロトラストモデルでは、ユーザーやデバイスのアクセス許可をする前に、厳格なユーザー認証をする必要があります。パスワードに加えて生体認証やワンタイムパスワードなどを組み合わせることで、認証強度を高めることが効果的です。
また、IDを統合管理(SSO)することで、ユーザーに必要最低限のアクセス権限のみを付与し、権限の最小化を実現できます。これにより、アカウントが不正に使用された場合でも、被害を最小限に抑えることが可能です。
アクセスや行動履歴を精査する
ゼロトラストモデルでは、ユーザー認証が許可された後でも、ネットワークやシステムへのアクセスが適切かを継続的に監視します。アクセスや行動を把握できていない場合、不正アクセスを見逃してしまう可能性があるためです。特に、機密データや重要な情報へのアクセスは厳格に制御し、利用履歴を追跡できるようにする必要があります。
- アクセスログの収集
- ユーザーの行動分析
- 継続的なモニタリング
- 脅威インテリジェンスの活用
上記の対策により、ユーザーやデバイスの行動をリアルタイムでモニタリングし、不正なアクセスや異常行動を検知します。
このように、アクセスログや行動履歴を精査することで、セキュリティリスクを特定し、迅速に対応することが可能です。
まとめ
ゼロトラストモデルとは、社内外問わずあらゆるアクセスに対して警戒を絶やさない、次世代型のセキュリティ技術です。ゼロトラストモデルは、クラウドサービスやテレワークの普及に伴う、マルウェアや社内の人的ミスによる情報漏えい対策として、近年多くの企業が導入しています。
ゼロトラストモデルを導入するためには、現状を把握し、セキュリティ強化に向けて計画的に進めるなど、継続的な改善を行うことが重要です。
さらに、セキュリティソリューションを効果的に組み合わせることで、常にアクセスを検証するゼロトラストの原則を実現できます。各ソリューションの役割を理解し、ゼロトラストモデルを確立することで、セキュリティの強化が可能です。
「HENNGE One」は、多要素認証やシングルサインオンにより、セキュアで快適なクラウド運用を可能にするSaaS認証基盤です。ゼロトラストモデルの導入をご検討中の企業様は、ぜひHENNGE Oneを導入し、セキュリティの強化にお役立てください。
- カテゴリ:
- ゼロトラスト
- キーワード:
- ゼロトラスト