セキュリティ対策について関心をお持ちの方であれば、ゼロトラストという言葉を聞いたことがあるかもしれません。従来型の対策との違いや、自社への導入メリットを知りたいと考える方は多いでしょう。
そこで今回はそれらについて解説し、実際に提供されているゼロトラスト製品についても紹介します。
まずはゼロトラストを知る
ゼロトラストとは「何も信頼しない」という意味で、安全なネットワークは存在しない前提で厳しい検査やログ取得などを行うセキュリティ対策のことを指します。
具体的には、通常のIDとパスワードによる管理ではなく、アクセスするすべてのユーザーと機器に対して都度認証を行います。安全だと判断された場合にのみアクセスが許可され、たとえIDとパスワードが一致したとしても、何らかの問題があると判断されるとアクセスは拒否されます。
ゼロトラストがなぜ必要なのか
ゼロトラスト自体は米調査会社のForrester Researchが2010年に提唱した概念で、新しいものではありません。しかし国内では2020年に入り急激に注目度が高まっています。
背景には、新型コロナウイルス感染症防止のためテレワークが激増していることがあります。職場の外から社内ネットワークにアクセスするテレワークでは、今まで以上にセキュリティに対して配慮する必要があります。
一般的な対策としてVPNの構築などがありますが、接続設定情報とID・パスワードを持ってさえいれば、社内ネットワークに誰でもアクセスできる状態になっています。
そのため、標的型メール攻撃などにより認証情報が漏えいしてしまうと、外部からの不正アクセスを許す危険も生じるため、顧客データ漏えいなどの重大なリスクが高まります。
こうしたなかで、厳しいセキュリティ対策を行うゼロトラストが必要になり、多くの企業で注目されています。
従来のセキュリティモデルとの具体的な違いとは
ゼロトラストに対して、従来型のセキュリティモデルを「境界型セキュリティ」と呼びます。具体的にはどのような点が異なるのか見ていきましょう。
従来の境界型セキュリティモデル
境界型セキュリティモデルはまず、社内のネットワークおよび社員を「安全で信頼できる対象」と前提します。その上で、社外の境界にファイアウォールなどを設けて、社内ネットワークを保護するタイプのセキュリティ対策です。
またこれは「守るべき資産はすべてネットワークの内部にある」とも前提して、成り立っているモデルです。そのため、インターネット上で情報を管理するクラウドサービスや、自宅や遠隔地から企業内ネットワークにアクセスするテレワーク業務では、対応が間に合わない事態が多発します。
また境界型セキュリティでは、一度認証されると半永久的に安全なユーザーであると捉えられ、社内ネットワーク内を自由にアクセスできるようになってしまいます。また近年では社員による情報漏えい事件なども発生しており、認証情報を持つ相手が必ずしも安全とは言い切れません。
新たなゼロトラストモデル
一方ゼロトラストモデルは、従来の境界型モデルが持つ弱点を補う新しいタイプのセキュリティ対策です。
インターネットを経由することを前提として境界という考え方は捨て、情報資産にアクセスするユーザー、端末はすべて毎回検証を行い、安全性を担保します。この意味で、ゼロトラストモデルは、クラウドサービス利用やテレワークが普及している現代にフィットし、利便性・安全性の両方を獲得できる方法と言えるでしょう。
ただ認証方法が複雑になるため人手で監視することは難しくシステム的には複雑になります。そのためゼロトラストセキュリティを実現するためには対応製品を導入することが必要です。
関連記事:ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説
Microsoftが提供している製品
ゼロトラストセキュリティの実現に向けてMicrosoftが提供している2つの製品を紹介します。
1.Azure AD
AzureはMicrosoftが提供しているクラウドプラットフォームの名称です。またADとはActive Directoryの略で、ユーザーや端末などWindowsネットワーク内のリソースを管理する同社のサービスです。Active Directoryではクラウドサービスを管理するのに適さなくなったため、代わるサービスとして新たにAzure ADが登場しました。
Azure ADでは、クラウドサービスを利用するユーザーに対してシングルサインオン、統合ID認証、アクセス制限などの管理・認証機能を提供します。このようにIDをクラウド上で管理するサービスをIDaaS(Identity as a Service)と呼びます。
IDaaSを利用することで、システムやアプリケーションへの認証を効率化し、より安全性の高い管理を行えます。
2.Azure Sentinel
Azure Sentinelは、AIを活用したクラウドセキュリティ製品の名称です。Sentinelとは番兵や監視員といった意味を持ちます。
社内で発生したさまざまなログを統合管理し、AIによる分析によって脅威を検出、未然に防御します。これはセキュリティ情報イベント管理(SIEM)と呼ばれる機能です。さらにセキュリティオーケストレーション自動対応(SOAR)と呼ばれる、検出した脅威に対して自動で対応する機能も持っているため、スピーディな対応が可能です。
国産ベンダーが提供するゼロトラストセキュリティサービス
一方でベンダーロックインの防止や自社の業務に合わせた環境構築のためにMicrosoft社以外のゼロトラストセキュリティのサービスを検討する企業も増えています。
Azure ADと同カテゴリとなるIDaaSには多くの国産製品があり、中でもHENNGEが提供するHENNGE OneはIDaaS国内シェアNo.1のサービスです。
HENNGE One
「HENGE One」とは、Microsoft 365やGoogle Workspaceといったクラウド型グループウェアに対するシングルサインオン機能・ID/パスワード管理機能・二要素認証機能を提供するSaaS認証基盤です。安全にクラウドサービスを利用するための手段として、現在、多くの企業に導入されています。
まとめ
今回は「ゼロトラスト」と、その対概念「境界型セキュリティ」について、概要を解説しました。また実際に提供されているゼロトラスト製品についても紹介しました。
クラウドサービスやテレワークを活用する時代になり、従来型のセキュリティ対策では社内の資産を安全に保つことが難しくなっています。そのようななかでゼロトラストセキュリティは重要度を増し、今後は多くの企業で導入が進むと考えられています。それに伴い対応製品も増えていくでしょう。
テレワークが増えたことで、クラウド環境を整える必要が生じた企業担当者の方には、「HENNGE One」の導入をおすすめします。多数の実績があり、導入も手軽です。社内と社外を行き交う通信を安全・快適に維持することに貢献します。
