従来、ITセキュリティといえば「守る」「防御する」などの考え方が一般的でしたが、近年では様々な企業で「ゼロトラスト」という概念が広がっています。当記事では、「ゼロトラスト」の概要や導入するメリット、注目が集まる理由などについて解説します。
[RELATED_POSTS]ゼロトラストとは?その意味や定義
Trust(信頼)をZero(しない)の文字通り、「ゼロトラスト(Zero Trust)」のセキュリティモデルでは、"守る"・"防御する"のではなく、"誰も信頼せず、すべてのアクセスを検証する"という考え方でセキュリティを確保します。
また、攻撃されることを前提としてセキュリティ対策を行うというのが、ゼロトラストの考え方です。
近年特に話題となっているゼロトラストですが、実は、2010年にアメリカの調査会社「Forrester Research」が提唱したもので、新しい考え方ではありません。
現在、多くの企業や組織で採用しているセキュリティは、信頼できるネットワークとそうでないものを切り分ける"境界"を設定して守るものです。
一方で、昨今ではその境界線が曖昧化しているため、多くのITセキュリティ企業が、完全に守り切るというアプローチでは製品を生み出せなくなっています。そこで、何も信頼しないというアプローチのセキュリティ「ゼロトラスト」が、10年の時を経て再び注目を集めることとなりました。
ゼロトラストと対極の「ペリメタセキュリティ」とは
従来のセキュリティ対策は、「ペリメタセキュリティ」の考え方に基づいて設計されているものです。
ペリメタセキュリティは、別名を「境界防御モデル」という通り、内部ネットワークと外部ネットワークとの間に"境界"を設け、内部ネットワークを境界で守る手法です。
よって、ペリメタセキュリティでは、社内ネットワークは信頼する領域、外部ネットワークは信頼しない領域と、両者の間には明確な境界があるという考え方をします。
また、守るべき企業リソースはすべて境界内に存在しているとみなします。
ペリメタセキュリティに基づいたセキュリティ対策の代表格が、ファイアウォール・VPN・プロキシサーバーです。これらの技術は、いずれも境界を脅かそうとする脅威を境界上で検知して、侵入を防ぐことを主目的としています。
ゼロトラストのセキュリティモデルを実現可能なSASE
SASEの導入は、ペリメタセキュリティからゼロトラストのセキュリティモデルへの移行を実現する効果的な手段です。SASEは、Secure Access Service Edgeの略称で、ゼロトラストの実現に必要な機能をクラウドサービスとして提供しています。
SASEは、ゼロトラストの理念である「誰も信用しない」を前提としています。したがって、社内外からのすべてのアクセスを信用せず、適切に認証された端末のみがアプリやデータにアクセスできるようになります。
このように、社内外からの通信に必要なネットワーク機器と、認証に必要な機能を提供しているサービスがSASEです。
ゼロトラストセキュリティが注目されている理由と背景
では、10年以上前に提唱されたゼロトラストの考え方が、なぜ今になって注目されているのでしょうか。その背景について見ていきましょう。
テレワーク・在宅勤務の普及による就業環境の多様化
2020年の新型コロナウイルス感染症拡大を受け、各企業におけるテレワーク・在宅勤務の需要が一気に増加しました。テレワーク・在宅勤務時のセキュリティの鍵を握っているのが「VPN(Virtual Private Network)」です。
VPNは、インターネット上に自社の社員など特定の人のみが利用できる仮想の専用線を設定し、データの送受信の安全性を確保するという技術です。
社外にいるVPNユーザーは、社内ネットワーク上に設置したVPNゲートウェイを経由して企業リソースにアクセスしますが、VPN機器はリソース消費量が多く、VPNゲートウェイに負荷がかかります。
特に、2020年初旬からテレワーク・在宅勤務が急激に増加したことにより、VPNを利用してテレワークする社員が急増。VPNサーバーがアクセスを処理しきれず、通信速度の遅延の発生や接続すらできなくなるという問題が噴出し、VPNを利用した従来型セキュリティ対策の限界が露呈しました。
データ管理・運用形態の多様化とクラウドの普及
これまでは、社内サーバーや物理ストレージに企業リソースを保管しておくことが一般的でした。このため、ペリメタセキュリティの考え方に基づいて社内ネットワークの内部を防御して、企業リソースの安全を確保することが有効でしたが、近年ではSaaSやオンラインストレージなど、クラウドベースのサービスを利用することが増え、企業リソースは必ず社内ネットワーク内にあるという前提が崩れています。
「ゼロトラスト」では、仮に以前に企業リソースにアクセスしたことのあるユーザーやデバイスであっても、アクセス毎に確認してアクセス許可を付与します。
アクセス毎に許可を与える「ゼロトラスト」の考え方は、クラウド上にある企業リソースを守るという目的を達成するために非常に都合のよいものなのです。
従来の管理手法では対応が難しくなった
ネットワーク内部のものはすべて安全とみなすペリメタセキュリティは、裏を返せば、"信頼できる"と一度でも認められたIDやデバイスは、ほぼ検証されずに境界を通過し、社内ネットワークに存在し続けられることを意味します。
よって、万が一、攻撃を受け社内ネットワークへ脅威が侵入してしまうと、打つ手がありません。
各企業とも、SaaS・PaaS・IaaSなどのクラウドサービスを活用する機会が増え、ネットワーク構成が複雑になる中、従来のペリメタセキュリティによる管理では、情報漏えいなどのリスクに対応がしきれなくなっています。
ゼロトラストモデルを採用するメリット
ゼロトラストモデルの採用によって、セキュリティ上の問題が解消されるのはもちろんですが、それ以外にもさまざまなメリットが期待できます。
コストカットや業務効率向上に効果的
従来のペリメタセキュリティを採用する場合、クラウドサービス事業者が提供するサービスを活用している場合など、内部ネットワーク内のアクセスと外部へのアクセスとで別々のポリシーを作成する必要があります。
「ゼロトラスト」の考え方でネットワークを構築するメリットは、クラウドサービスも社内ネットワークも同一のポリシーで制御できることです。
企業リソースへのあらゆるアクセスを一元管理できることで、ネットワーク内のあらゆるユーザー・デバイス・アプリケーションが可視化し、ツール同士の連携もしやすくなります。
また、常にアクセスを確認するゼロトラストでは、アクセス権限を付与するのは必要最低限のユーザーのみとなるため、IT部門による権限管理業務も簡素化します。
社内における情報システムを透明化し、ブラックボックス化を防げる
IPAは「情報セキュリティ10大脅威 2024」において、組織を狙う10大脅威を発表しています。ここで見逃せないのが、昨年に引き続き3位に「内部不正による情報漏えい」がランクインしている点です。
ペリメタセキュリティでは、ネットワーク内部のものはすべて安全とみなすため、社内ネットワーク内の"身内"による犯行には無力です。
従業員が企業内のデータを不正に転送や利用をした場合、"安全"とみなされている従業員達からの犯人探しは、困難であることは言うまでもありません。
従来型のセキュリティでは社内ネットワークがブラックボックス化してしまっている状態ですが、"すべての従業員・デバイス、すべてのアクセスを疑う"という「ゼロトラスト」セキュリティでは、クラウドサービスなど外部のツールを利用したとしても、人やデバイスによって認証基準が異なるということは発生しません。
テレワークなど社内外からも安心して社内ネットワークにアクセス可能
テレワークの導入時にも、ゼロトラストのセキュリティモデルを採用するメリットがあります。従来の境界型セキュリティモデルでは、社内システムを守るために社外からのアクセスをすべて遮断していました。そのため、リモートワークなど社外から社内のシステムにアクセスする場合は、VPN接続を利用していました。
VPNは設定が複雑で、セキュリティを維持しながらテレワーク環境を構築するためには多くの手間やコストが発生します。
ゼロトラストのセキュリティモデルでは、テレワークの際も、VPNの技術を使わずに安全に社内システムにアクセスできます。また、ユーザー、デバイス、アプリケーション、データなど、基本的にすべてのアクセスを拒否し、認証されたアクセスのみを許可するためシンプルなセキュリティ環境が実現可能です。
ゼロトラストモデルを採用するデメリット
続いて、ゼロトラストモデルを採用する際に気をつけるべきポイントやデメリットについて解説します。
既存セキュリティ体制を見直す手間や初期費用がかかる
ゼロトラストモデルを導入するためには、企業が現行のセキュリティ体制を見直す必要があります。
システムの再設計や新たなセキュリティツールの導入などを行うと、手間や初期費用が発生します。特に大規模な組織では、セキュリティ体制の見直しとツールの導入だけでも数年の時間がかかり、人的リソースも消費することになります。
ゼロトラストを導入する際は、効果とコストのバランスを見ながら、スモールスタートでできることから始めるとよいでしょう。
ログイン認証の頻度が増えるため効率が悪い
ゼロトラストモデルでは、すべてのアクセスを常に検証するため、従来の境界型セキュリティモデルよりもログイン認証の頻度が増える可能性が高いです。
ログイン認証の頻度を減らすためには、シングルサインオン(SSO)の導入やグループウェアの導入などの対応策があります。しかし、これらのシステムの導入にも手間やコストが発生します。
ゼロトラストモデルを実現するとセキュリティレベルは向上しますが、効率が悪くなる可能性が高いことを認識しておきましょう。
過度なセキュリティ対策で生産性が下がる可能性がある
ゼロトラストの導入によって、過度なセキュリティ対策となり生産性が下がる危険があることもデメリットです。
障害対策の業務や医療現場などでは、緊急対応などスピードを求められる業務もあります。過度なセキュリティ対策を行うとログインするための手間が発生し、生産性が低下する原因となるでしょう。
ゼロトラストを実現する際は、緊急時には例外的な対応ができるようにポリシーや設定を変更するなどの対策が必要です。
ゼロトラストモデルの導入・運用における注意点
ゼロトラストの考え方を理解しても実践しなければ、効果を発揮しません。これからゼロトラストモデルの実現に向けた取り組みをしようと考えている企業向けに、導入や運用を行う際に注意するべき点を紹介します。
セキュリティと業務効率のバランスが保たれた形で導入する
ゼロトラストモデルを導入する際に重要なのは、セキュリティと業務効率のバランスを保つことです。
過度なセキュリティ強化は、業務プロセスに支障をきたす原因となります。企業は、従業員が業務を円滑に行える環境を提供する必要があります。
アクセス制御や認証プロセスを厳格化しながらもユーザーの利便性を損なわないような仕組みを整えることが重要です。
必要に応じてポリシーを見直しながら運用していく
ゼロトラストモデルの導入後も、ネットワークセキュリティ機器が正常に動いているか、業務運用に支障をきたしていないのかなど、継続的な見直しと改善が不可欠です。また、環境やテクノロジーの変化に応じて、ポリシーやセキュリティ対策を適宜調整することが重要です。
新たな脅威や攻撃手法に対応するためには、常にセキュリティに関する最新の情報を収集し、適切な対策を講じる必要があります。定期的な監査やセキュリティ評価を通じて、システムの脆弱性を洗い出し、修正することも大切です。
ゼロトラストモデルを実現するための7つの要件
ゼロトラストへの注目度が高まったことを受け、2018年にForrester Research社は現代のゼロトラストモデルを「Zero Trust eXtended (ZTX)」と改め、これに求める要件として以下の7つを定義しました。それぞれ詳しくみていきましょう。
1.ネットワーク・セキュリティ
ゼロトラストを実現するためのネットワーク・セキュリティでは、従来のファイアウォールやVPNなどの境界型セキュリティに加え、マイクロセグメンテーションやゼロトラストネットワークアクセス(※ZTNA)などの技術を活用することが求められます。
※ZTNAとはZero Trust Network Accessの略で、ユーザーやデバイス、アプリケーションごとにアクセス制御を行うためのクラウドベースの技術
企業ネットワークを内部で細かく分ける(セグメントする)ことで、不正アクセスがあっても容易にデータにアクセスできない環境づくりが可能になります。
2.デバイス・セキュリティ
ゼロトラストモデルでは、企業が所有するデバイスだけでなく、個人所有のデバイスも含めて、すべてのデバイスを保護・管理することを目指しています。
すべてのデバイスを保護するためには、それぞれのデバイスのソフトウェアを最新の状態に保ち、セキュリティバッチを適用するといった対策が必要です。また、デバイス・セキュリティとして端末の紛失や盗難によるデータ漏えいを防ぐために、デバイス上のデータ暗号化も重要とされています。
3.アイデンティティ・セキュリティ
ゼロトラストモデルでは、ユーザーの認証を強化し、なりすましを防ぐことが重要です。
そこで、パスワードに加えて、ワンタイムパスワードや生体認証などの複数の認証要素を組み合わせる多要素認証(MFA)の導入が推奨されています。
また、ユーザーやデバイスごとのアクセス権の設定や認証レベルを調整することも重要です。内部からのデータ漏えいを防ぐために、社員には必要最低限の権限を付与することを心がけましょう。
4.ワークロード・セキュリティ
ワークロード・セキュリティとは、クラウド環境やコンテナ環境などで実行されるアプリケーションやサービスのセキュリティを確保することです。
クラウドサービスやコンテナ環境についても基本的には、「信頼しない」方針で必要なセキュリティやポリシーを適用しましょう。
異常発生時に、担当者や管理者に通知されるように設定することでセキュリティリスクを強化することも、ワークロードセキュリティの一貫です。
5.データ・セキュリティ
データ・セキュリティは、データが適切に保護され、機密性、完全性、可用性が確保されていることを保証するための要件です。
機密性::許可された人だけが情報にアクセスできるようにすること
完全性::情報が改ざんされていないことを保証すること
可用性::必要なときに必要に応じて情報を利用できるようにすること
ゼロトラストモデルでは、データが移動するあらゆるポイントで保護される必要があります。
例えば、企業内のデータがクラウドストレージに保存される場合、データが暗号化され、適切なアクセスコントロールが適用される必要があります。
6.可視化と分析
可視化と分析は、ネットワークやシステム内でのアクティビティをリアルタイムで監視し、潜在的な脅威を検出するための重要な要件です。ゼロトラストモデルでは、ネットワークの可視化、ワークロードの可視化、データの可視化など全てのアクティビティが追跡され、分析される必要があります。
具体的には、セキュリティ情報とイベント管理ツールを使用して、不審なアクティビティや異常なパターンを監視し、即座に対処することが重要です。
7.自動化
自動化は、セキュリティプロセスを効率的にし、スピーディーな対応を可能にするために欠かせない要素です。ゼロトラストモデルでは、セキュリティタスクを自動化することで、人為的なミスや遅延を減らし、セキュリティ対策のレスポンス時間を短縮できます。
例えば、エラー内容に応じた対策を行うためのプログラムを組んでおくことで、セキュリティインシデントが検出された場合でも、対策をすぐに実行できます。これにより素早い対応が実現されるので、攻撃による被害を最小限に抑えることができるでしょう。
ゼロトラストモデルを実現するためのセキュリティソリューションの具体例
ゼロトラスト導入の際は、前章で挙げた7つの要件を満たすセキュリティソリューションも併せて採用することで、セキュリティリスクを解消しつつ、環境によらない安定的かつ総合的な管理・制御が可能となります。
では、上記の要件を満たすセキュリティソリューションには、具体的にどのようなものがあるのでしょうか。以下、ゼロトラスト導入時に併せて検討したいセキュリティソリューションをいくつかご紹介します。
EDR(Endpoint Detection and Response)
「EDR」は、ゼロトラストの概念を実現するための7つの要件のうち、「デバイス・セキュリティ」要件を満たすためのソリューションで、エンドポイント、すなわちネットワークの末端で攻撃を検知して対応する製品・技術です。
マルウェアに感染させないことが目的ではなく、エンドポイントで不正な挙動を検知し、万が一、マルウェアに感染しても、その後の対応を迅速に行うことを目的としています。
EPP(Endpoint Protection Platform)
「EPP」は、ゼロトラストの概念を実現するための7つの要件のうち、「デバイス・セキュリティ」要件を満たすためのソリューションで、EDRと同じくネットワークの末端(エンドポイント)を保護するエンドポイントセキュリティです。
不正な挙動の検知と感染後の対応を主目的としたEDRに対し、EPPはマルウェアに感染させないことを主目的としています。
IDaaS(Identity as a Service)
「IDaaS」は、ゼロトラストの概念を実現するための7つの要件のうち、「アイデンティティ・セキュリティ」要件を満たすためのソリューションです。
IDaaSは、IDとアクセスを管理する仕組みで、ポリシーに基づき、ユーザーに対して適切なデバイス環境でリソースにアクセスできるよう、制御します。
CASB(Cloud Access Security Broker)
「CASB」は、ゼロトラストの概念を実現するための7つの要件のうち、「可視化と分析」要件を満たすためのソリューションです。クラウドサービスの利用に関する問題を解決します。
CASBは、ユーザーとクラウドサービスとの間に、コントロールポイント(CASB)を設けて、クラウドサービスの利用状況を集中管理します。
SOAR(Security Orchestration, Automation and Response)
「SOAR」は、ゼロトラストモデルを実現するための7つの要件のうち、「自動化」要件を満たすためのソリューションです。
SOARは、企業内の各セキュリティ機器や外部サービスから集めたセキュリティ情報を統合します。これにより、インシデントが発生した際の対応や、関係者へのインシデント情報共有などの業務を自動化します。
ゼロトラストをより盤石に!おすすめセキュリティ対策サービス「HENNGE One」
HENNGE Oneは、ゼロトラストセキュリティを強化する統合型セキュリティサービスです。
HENNGEが提供するサービスであるDLP Editionで、内部不正や不注意による内部からの情報漏えいを防ぎ、Identity Editionで不正アクセスなど外部からの攻撃を防ぐことができます。
その他、Active Directoryと連携するSSOの実装やアクセス制御、アクセスログによる可視化・分析ができるなど、ゼロトラストを実現するための要件を満たす機能を多く提供しています。
ゼロトラストセキュリティモデルを導入したい企業やセキュリティレベルを向上させたい企業、クラウドサービスを安全に利用したい企業は導入をご検討ください。
まとめ
従来のセキュリティ対策の限界が見えてきた今、あらゆるアクセスに対して警戒するというシンプルなアプローチをとる「ゼロトラスト」は、まさに時代のニーズに即したセキュリティ対策といえます。これからゼロトラストセキュリティを導入する場合は、クラウド環境への対応とID管理がポイントになるでしょう。
近年では、こうしたニーズの変化に合わせて、クラウドサービス向けのさまざまなセキュリティ対策ツールが登場しています。
「HENNGE One」もそのひとつで、クラウドサービス向けのID認証やID管理、シングルサインオン、アクセス制御などクラウド環境に適した機能を多数揃えています。こうしたサービスの活用も検討しながら、盤石なセキュリティ対策を整えましょう。
