従来、ITセキュリティといえば「守る」「防御する」などの考え方が一般的でしたが、近年では新たに「ゼロトラスト」という概念が注目を集めています。当記事では、「ゼロトラスト」の概要や導入するメリット、注目が集まる理由などについて解説します。
[RELATED_POSTS]ゼロトラストとは?その意味や定義
Trust(信頼)をZero(しない)の文字通り、「ゼロトラスト(Zero Trust)」のセキュリティモデルでは、"守る"・"防御する"のではなく、"誰も信頼せず、すべてのアクセスを検証する"という考え方でセキュリティを確保します。
また、攻撃されることを前提としてセキュリティ対策を行うというのが、ゼロトラストの考え方です。
近年特に話題となっているゼロトラストですが、実は、2010年にアメリカの調査会社「Forrester Research」が提唱したもので、新しい考え方ではありません。
現在、多くの企業や組織で採用しているセキュリティは、信頼できるネットワークとそうでないものを切り分ける"境界"を設定して守るものです。
一方で、昨今ではその境界線が曖昧化しているため、多くのITセキュリティ企業が、完全に守り切るというアプローチでは製品を生み出せなくなっています。
そこで、何も信頼しないというアプローチのセキュリティ「ゼロトラスト」が、10年の時を経て再び注目を集めることとなりました。
ゼロトラストと対極の「ペリメタセキュリティ」とは
従来のセキュリティ対策は、「ペリメタセキュリティ」の考え方に基づいて設計されているものです。
ペリメタセキュリティは、別名を「境界防御モデル」という通り、内部ネットワークと外部ネットワークとの間に"境界"を設け、内部ネットワークを境界で守る手法です。
よって、ペリメタセキュリティでは、社内ネットワークは信頼する領域、外部ネットワークは信頼しない領域と、両者の間には明確な境界があるという考え方をします。
また、守るべき企業リソースはすべて境界内に存在しているとみなします。
ペリメタセキュリティに基づいたセキュリティ対策の代表格が、ファイアウォール・VPN・プロキシサーバーです。これらの技術は、いずれも境界を脅かそうとする脅威を境界上で検知して、侵入を防ぐことを主目的としています。
ゼロトラストセキュリティが注目されている理由と背景
では、10年以上前に提唱されたゼロトラストの考え方が、なぜ今になって注目されているのでしょうか。その背景について見ていきましょう。
テレワーク・在宅勤務の普及による就業環境の多様化
2020年の新型コロナウイルス感染症拡大を受け、各企業におけるテレワーク・在宅勤務の需要が一気に増加しました。テレワーク・在宅勤務時のセキュリティの鍵を握っているのが「VPN(Virtual Private Network)」です。
VPNは、インターネット上に自社の社員など特定の人のみが利用できる仮想の専用線を設定し、データの送受信の安全性を確保するという技術です。
社外にいるVPNユーザーは、社内ネットワーク上に設置したVPNゲートウェイを経由して企業リソースにアクセスしますが、VPN機器はリソース消費量が多く、VPNゲートウェイに負荷がかかります。
特に、2020年初旬からテレワーク・在宅勤務が急激に増加したことにより、VPNを利用してテレワークする社員が急増。VPNサーバーがアクセスを処理しきれず、通信速度の遅延の発生や接続すらできなくなるという問題が噴出し、VPNを利用した従来型セキュリティ対策の限界が露呈しました。
データ管理・運用形態の多様化とクラウドの普及
これまでは、社内サーバーや物理ストレージに企業リソースを保管しておくことが一般的でした。このため、ペリメタセキュリティの考え方に基づいて社内ネットワークの内部を防御して、企業リソースの安全を確保することが有効でしたが、近年ではSaaSやオンラインストレージなど、クラウドベースのサービスを利用することが増え、企業リソースは必ず社内ネットワーク内にあるという前提が崩れています。
「ゼロトラスト」では、仮に以前に企業リソースにアクセスしたことのあるユーザーやデバイスであっても、アクセス毎に確認してアクセス許可を付与します。
アクセス毎に許可を与える「ゼロトラスト」の考え方は、クラウド上にある企業リソースを守るという目的を達成するために非常に都合の良いものなのです。
従来の管理手法では対応が難しくなった
ネットワーク内部のものはすべて安全とみなすペリメタセキュリティは、裏を返せば、"信頼できる"と一度でも認められたIDやデバイスは、ほぼ検証されずに境界を通過し、社内ネットワークに存在し続けられることを意味します。
よって、万が一、攻撃を受け社内ネットワークへ脅威が侵入してしまうと、打つ手がありません。
各企業とも、SaaS・PaaS・IaaSなどのクラウドサービスを活用する機会が増え、ネットワーク構成が複雑になる中、従来のペリメタセキュリティによる管理では、情報漏洩などのリスクに対応がしきれなくなっています。
ゼロトラストモデルを採用するメリット
ゼロトラストモデルの採用によって、セキュリティ上の問題が解消されるのはもちろんですが、それ以外にも様々なメリットが期待できます。
コストカットや業務効率向上に効果的
従来のペリメタセキュリティを採用する場合、クラウドサービス事業者が提供するサービスを活用している場合など、内部ネットワーク内のアクセスと外部へのアクセスとで別々のポリシーを作成する必要があります。
「ゼロトラスト」の考え方でネットワークを構築するメリットは、クラウドサービスも社内ネットワークも同一のポリシーで制御できることです。
企業リソースへのあらゆるアクセスを一元管理できることで、ネットワーク内のあらゆるユーザー・デバイス・アプリケーションが可視化し、ツール同士の連携もしやすくなります。
また、常にアクセスを確認するゼロトラストでは、アクセス権限を付与するのは必要最低限のユーザーのみとなるため、IT部門による権限管理業務も簡素化します。
社内における情報システムを透明化し、ブラックボックス化を防げる
IPAは「情報セキュリティ10大脅威 2020」において、組織を狙う10大脅威を発表しています。ここで、見逃せないのが、第二位に「内部不正による情報漏洩」がランクインしている点です。
ペリメタセキュリティでは、ネットワーク内部のものはすべて安全とみなすため、社内ネットワーク内の"身内"による犯行には無力です。
従業員が企業内のデータを不正に転送や利用をした場合、"安全"とみなされている従業員達からの犯人探しは、困難であることは言うまでもありません。
従来型のセキュリティでは社内ネットワークがブラックボックス化してしまっている状態ですが、"すべての従業員・デバイス、すべてのアクセスを疑う"という「ゼロトラスト」セキュリティでは、クラウドサービスなど外部のツールを利用したとしても、人やデバイスによって認証基準が異なるということは発生しません。
ゼロトラストを企業で導入する際に検討すべきセキュリティソリューション
ゼロトラストへの注目度が高まったことを受け、2018年にForrester Research社は現代のゼロトラストモデルを「Zero Trust eXtended (ZTX)」と改め、これに求める要件として以下7つを定義しました。
- ネットワーク・セキュリティ
- デバイス・セキュリティ
- アイデンティティ・セキュリティ
- ワークロード・セキュリティ
- データ・セキュリティ
- 可視化と分析
- 自動化
ゼロトラスト導入の際は、これらの要件を満たすセキュリティソリューションも併せて採用することで、セキュリティリスクを解消しつつ、環境によらない安定的かつ総合的な管理・制御が可能となります。
では、上記の要件を満たすセキュリティソリューションには、具体的にどのようなものがあるのでしょうか。以下、ゼロトラスト導入時に併せて検討したいセキュリティソリューションをいくつかご紹介します。
EDR(Endpoint Detection and Response)
「EDR」は、ゼロトラストの概念を実現するための7つの要件のうち、「デバイス セキュリティ」要件を満たすためのソリューションで、エンドポイント、すなわちネットワークの末端で攻撃を検知して対応する製品・技術です。
マルウェアに感染させないことが目的ではなく、エンドポイントで不正な挙動を検知し、万が一、マルウェアに感染しても、その後の対応を迅速に行うことを目的としています。
EPP(Endpoint Protection Platform)
「EPP」は、ゼロトラストの概念を実現するための7つの要件のうち、「デバイス セキュリティ」要件を満たすためのソリューションで、EDRと同じくネットワークの末端(エンドポイント)を保護するエンドポイントセキュリティです。
不正な挙動の検知と感染後の対応を主目的としたEDRに対し、EPPはマルウェアに感染させないことを主目的としています。
IDaaS(Identity as a Service)
「IDaaS」は、ゼロトラストの概念を実現するための7つの要件のうち、「アイデンティティ セキュリティ」要件を満たすためのソリューションです。
IDaaSは、IDとアクセスを管理する仕組みで、ポリシーに基き、ユーザーに対して適切なデバイス環境でリソースにアクセスできるよう、制御します。
CASB(Cloud Access Security Broker)
「CASB」は、ゼロトラストの概念を実現するための7つの要件のうち、「可視化と分析」要件を満たすためのソリューションです。クラウドサービスの利用に関する問題を解決します。
CASBは、ユーザーとクラウドサービスとの間に、コントロールポイント(CASB)を設けて、クラウドサービスの利用状況を集中管理します。
SOAR(Security Orchestration, Automation and Response)
「SOAR」は、ゼロトラストモデルを実現するための7つの要件のうち、「自動化」要件を満たすためのソリューションです。
SOARは、企業内の各セキュリティ機器や外部サービスから集めたセキュリティ情報を統合します。これにより、インシデントが発生した際の対応や、関係者へのインシデント情報共有などの業務を自動化します。
まとめ
コロナ禍により従来のセキュリティ対策の限界が見えてきた今、あらゆるアクセスに対して警戒するというシンプルなアプローチをとる「ゼロトラスト」は、まさに時代のニーズに即したセキュリティ対策といえます。これからゼロトラストセキュリティを導入する場合は、クラウド環境への対応とID管理がポイントになるでしょう。
近年では、こうしたニーズの変化に合わせて、クラウドサービス向けの様々なセキュリティ対策ツールが登場しています。
「HENNGE One」もそのひとつで、クラウドサービス向けのID認証やID管理、シングルサインオン、アクセス制御などクラウド環境に適した機能を多数揃えています。こうしたサービスの活用も検討しながら、盤石なセキュリティ対策を整えましょう。
