クラウド時代のネットワークセキュリティを語る上ではゼロトラストへの理解が欠かせません。本記事では、ゼロトラストの概要や従来の境界型防御セキュリティとの違いを解説するとともに、ゼロトラストを基礎から学べるおすすめの書籍を紹介します。
ゼロトラストとは? これまでのセキュリティとの違い
ゼロトラストとは、「守るべき情報資産にアクセスするすべてのユーザーとデバイスを信用できないものとして捉え、その安全性を検証する」というセキュリティの新しい考え方のことです。従来のセキュリティ対策においては、ネットワークを信頼できる内部と信頼できない外部に分け、その境界線にファイアウォールやプロキシ、IDS/IPS、アンチウイルスソフトといったセキュリティ機器を設置して通信の監視・制御を行い、外部からの脅威や情報漏洩を防ぐという考え方が主流でした。しかし、クラウドサービスの普及によって、企業が守るべき情報が社内だけでなく社外にも点在するようになったことや、新型コロナウイルスの感染拡大防止策としてテレワークの導入が進み、外部からもさまざまなデバイスで社内にアクセスする機会が増えたことなどを受け、こうした境界型防御のセキュリティモデルは徐々に有効性を失い、情報資産を安全に保護できなくなっているのが実情です。
このようなクラウド時代にともなうセキュリティリスクの高まりを背景に、ネットワークの内外に関わらない通信の暗号化や、多要素認証による認証強化、ネットワークに接続されるデバイスのログ監視など、ゼロトラストの考え方に基づいたより厳格なセキュリティ対策を講じる必要性が出てきています。
ゼロトラストセキュリティの仕組み
これまで社外から社内ネットワークに接続する際の方法として一般的だったVPN(仮想プライベートネットワーク)は、一度各種セキュリティ機器による監視の壁を通過してしまえば、それ以降も社内へのアクセス権が付与されるため、サイバー攻撃の的になりやすいという側面がありました。一方のゼロトラストでは、すべてのアクセスを拒否することを前提としています。具体的には、ユーザーIDやデバイス、場所、ネットワークの信頼度などに応じて細かくアクセスを制限し、認証されたものだけにアクセス権を付与する、データの種類に応じてネットワークを分割し、アクセス可能なゾーンを業務の遂行に必要な最低限の範囲に絞る、個人のIDと業務に使用しているデバイスを紐づけて管理する、といった方法があります。さらに、アクセスはすべてリモートで制御可能な状態にし、マルウェア感染やファイルの改ざんなどが検知されると、自動的にアクセスを停止させます。こうした対策を講じることで、セキュリティレベルを高めると同時に、万が一、情報漏洩や外部からのサイバー攻撃が起きた場合でも、迅速な原因の特定と被害の最小化が可能になります。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティを実現すると、セキュリティの強化、安全なテレワーク環境の整備、セキュリティ運用の効率化といったメリットが得られます。この章では、それぞれのメリットについて具体的に解説します。
セキュリティを強化できる
ゼロトラストに基づいたセキュリティ対策を講じることで、従来の境界型防御に比べてネットワークのセキュリティレベルを強化できます。クラウド時代においてサイバー攻撃の手段は多様化しており、ラムサムウェアや標的型攻撃などの被害を受けて顧客情報や社内の機密情報が流出する事例が頻発しています。ゼロトラストでは、ユーザーに対して必要最低限のアクセス権限しか与えないため、仮にデバイスがマルウェアなどに感染したとしても盗み取れる情報を最小限に抑えられます。また、社内外のすべてのネットワークトラフィックを監視することで、速やかな異常の検出と対策が行えるのも強みのひとつです。不審な動きが検知された場合には自動でアクセスをシャットアウトするなど、従来の境界型防御では防ぎきれなかった脅威にも対応できます。
テレワークに対応できる
ゼロトラストはテレワークとの相性がいいのも特徴です。これまでテレワークの導入には、専用の回線を構築せず一般回線を用いた通信を可能にするVPNという通信技術が活用されてきました。しかし、VPNを活用したテレワークは、単にセキュリティに脆弱性があるという理由以外にも課題があります。VPNはもともと大容量のデータ通信を想定していないため、キャパシティに限りがあり、利用中に通信速度が低下したり、VPNサーバーがダウンしたりするトラブルも少なくありません。
それに対し、ゼロトラストセキュリティを構築できれば、自宅のインターネット環境や公共のWi-Fiなどからでもセキュリティリスクを抑えて社内ネットワークに接続できる上、クラウドサービスの利用も可能になるため、VPNを使用せずに安定した通信環境で効率的にテレワークやDXの推進を行えます。
セキュリティ運用が効率化する
ゼロトラストでは、セキュリティ運用の効率化も期待できます。境界型防御の対策では、VPNの構築やフィアウォールをはじめとする製品の設置といった複雑な対応が必要で、セキュリティリスクごとにシステムを構築していたために管理者にも大きな負担がかかっていました。一方のゼロトラストでは、異常の検知や対処を自動化できるSOARや、複数のクラウドサービスとのID連携や認証を一元的に管理できるIDaaSといったソリューションを活用することで、セキュリティ運用にかかる労力と時間を大きく削減できるメリットがあります。
関連記事はこちら
ゼロトラストセキュリティのデメリット
情報資産の保護や安全なテレワーク環境の整備に欠かせないゼロトラストですが、セキュリティを強固にする反面、実現にコストや時間を要したり、これまでよりもアクセスに時間がかかったりといったデメリットもあります。かといってコストや労力を理由にゼロトラストに着手しないことは、セキュリティリスクを高めることにつながります。ゼロトラストへの移行をスムーズに推し進めるためには、その必要性とデメリットの両方を従業員に理解してもらうことが鍵となるでしょう。
コストと時間がかかる
ゼロトラストに基づいたセキュリティ環境を構築するには、SOARやIDaaSなどの複数のサービスの活用が不可欠であるため、一定の初期費用と運用コストを要します。資金や人手が限られる中小企業にとっては、完全なゼロトラストを実現するとなるとハードルが高いため、現状でのセキュリティにおける課題を洗い出し、優先的に対応すべき部分を明確にしておくことが重要です。また、自社の業務に適したツールを選定する際にはある程度の専門的な知識が求められるほか、ツールの導入後も運用・管理の業務が発生します。社内にIT担当者がいない場合は、ITに詳しい人材を新たに雇うか、外部の専門企業に依頼するなどの方法がありますが、コストがかかることを念頭に置きましょう。
アクセスに手間がかかる
ゼロトラストでは認証の安全性を高めるため、2段階認証や多要素認証が必要になります。身近な例を挙げると、GmailやスプレッドシートといったGoogleのサービスにログインする際には、パスワードに加えて端末認証が求められますが、これもゼロトラストに基づいたセキュリティ対策のひとつです。このようにIDやパスワードなどによる知識要素と、端末での承認(=所持要素)を組み合わせることによって不正ログインのリスクを抑えているわけですが、認証の厳格性が向上するのと反比例してユーザーの利便性が低下するという側面は否定できません。業務に必要なデータやアプリにアクセスする度に認証の手間が生じるため、面倒だと感じる従業員も出てくるでしょう。ゼロトラストによる業務効率の低下を解消する手段としては、リスクベース認証が有効です。これはユーザーのデバイスやブラウザ、IPアドレス、位置情報などをもとに第三者によるなりすましのリスクを評価し、本人である可能性が高ければ多要素認証を求めずにアクセスを許可する認証方法のことです。セキュリティと利便性を両立させたいのであれば、このようなリスクベース認証の機能を搭載しているIDaaS製品などを検討するとよいでしょう。
関連記事はこちら
ゼロトラスト導入前に確認すべきポイント
ゼロトラストの重要性は理解しているが、何から着手すればいいのかわからないという方も多いのではないでしょうか。境界型防御からゼロトラストへの移行を実現するためには、新たに導入するツールの運用体制の整備や、社内IDの管理、アクセスの可視化といった準備が必要です。
ゼロトラストの導入ポイントについて詳しく知りたい方はこちらの記事を参考にしてください。
関連記事はこちら
運用体制を整備する
ゼロトラストベースのセキュリティ環境を構築する第一歩として、自社のセキュリティ課題とその解決に役立つツールを選定し、ツールを導入・運用していくための社内体制を整備しましょう。誰にどこまでのアクセスを許可するのかというルールの明確化が求められます。アクセス権限の管理や社内からの問い合わせに対応する担当者を配置する、定期的にアクセス権の付与状況を確認する、運用ルールを見直すなどの処置が必要です。
社内IDを管理する
ID管理とは、データやシステムのユーザーに適切なID(本人認証に使用される情報)を発行し、ユーザーの担当業務や職権に応じたアクセス権限を付与することをいいます。多要素認証を導入していても、社内IDが適切に管理されていなければ不正アクセスや情報漏洩を防ぐことはできません。従業員の退職や異動があれば、放置せずにその都度アクセス権限を変更・削除する必要があります。従業員数の多い企業の場合、全社員のID管理を手作業で行うとなると膨大な手間を要するため、ID管理ツールのプロビジョニング機能などを活用してID管理を自動化するとよいでしょう。
アクセスを可視化する
アクセス元のサーバーやデバイス、位置情報、操作の記録などを可視化することもゼロトラストの実現には欠かせません。アクセスのログを記録して解析することで、不正アクセスが行われていないかの確認や、異常発生時の素早い検知と対処、情報漏洩発生時の追跡調査などが可能になります。また、アクセスログを取得していることを社内に周知することは、従業員による内部不正の抑止にもつながるでしょう。
ゼロトラストを1から学ぶのにおすすめの書籍4選
ここまでゼロトラストの概要やメリット・デメリットなどを解説してきましたが、ゼロトラストに関するより詳細な知識をつけたい方もおられるでしょう。そこで本章では、ゼロトラストの基本を1から学べるおすすめの書籍を紹介します。
①すべてわかるゼロトラスト大全 さらばVPN・安全テレワークの切り札
ゼロトラストを初歩からわかりやすく丁寧に解説した書籍で、ゼロトラストに関する知識がまったくない方でも、順を追って理解を深めていけるのが魅力です。第1部では、ゼロトラストネットワークの基礎を噛み砕いて解説しており、2部ではゼロトラストを支えるさまざまな技術について言及しています。
近年、巧妙化しているサイバー攻撃の手口にも触れており、ゼロトラストの必要性がより理解できる内容になっています。
セキュリティのプロが教えるゼロトラストの構築法も掲載しているため、知識が少ない方でも具体的な導入・構築方法を学べるでしょう。さらに、竹中工務店やZOZOテクノロジーズ、NTTコミュニケーションズなど、すでにゼロトラストを導入している企業の最新事例も紹介されています。
②ゼロトラスト Googleが選んだ最強のセキュリティ
こちらの書籍では、ゼロトラストの概念を初心者にもわかりやすく解説するとともに、Googleを筆頭とする世界の先進企業がゼロトラストの導入を進めている理由や、ゼロトラストの強みなども紹介しています。
企業の規模に関わらずサイバー攻撃の被害が年々増加していることを背景に、本著では近年のサイバー攻撃の手口にも言及しているため、具体的にどういった対応をすればよいのか理解を深められます。
ゼロトラストの構築に必要な技術やサービスについても言及しており、イラストや図を用いた説明もわかりやすく、どのように導入を進めていけばよいのか概要をつかみやすいでしょう。
詳細はこちら
③ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
ソフトウェアエンジニアやネットワークエンジニア、企業のセキュリティ担当経験者など、複数の著者によって著された書籍です。ゼロトラストに関する基本的な概念からスタートし、具体的な構築の手法や流れまで網羅的に解説しており、初歩からゼロトラストを学べる内容となっています。
Googleが実際に運用しているセキュリティネットワーク「BeyondCorp」をケーススタディとして取り上げているのも特徴です。細部まで切り込んだ解説となっているため、実装に際して役立つ知識を得られるでしょう。BeyondCorpは短納期かつ低コストで導入できるセキュリティサービスとして製品化もされており、Googleのゼロトラストモデルに興味がある企業経営者やIT担当者におすすめです。
④Software Design (ソフトウェアデザイン) 2021年7月号
技術評論社が出版している雑誌です。Amazonでは電子書籍版もリリースされているので、書店で見つからなくてもダウンロード購入できます。
内容的にはゼロトラストに関する基本から、現実的な導入・移行方法などについて解説しているのが特徴です。自社の業務でも移行できるのか、現実的なコストで導入できるのか、といった疑問も解決するのに役立ちます。
なお、ゼロトラストを学ぶ上では、「NIST SP800-207」が提唱する基本原則の理解が欠かせません。これは、米国国立標準技術研究所(NIST)が公開したゼロトラスト・アーキテクチャであり、ゼロトラストの定義や理念を解説しています。
情報システムの仕組みを理解できる本
ゼロトラストの考え方を理解する上では、情報システムの基礎を知っておくことが役に立ちます。以下では、情報システムやセキュリティの仕組みを学べるおすすめの書籍を2冊紹介します。
①図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書
システムエンジニアやセキュリティエンジニアなど、セキュリティに関する3人の専門家によって著された書籍です。
キーワード形式で解説を展開しており、例えば、サイバー攻撃の手法では「スパイウェア」や「アドウェア」といった具体的なキーワードを挙げてわかりやすく丁寧に説明しています。テキストだけでなく、図やイラストも多用しているため、初心者でも理解しやすいのが魅力です。
100点以上のカラーイラストを使用し、重要な箇所は蛍光色でハイライト表示しているため、要点をつかみやすいのもポイントです。また、情報セキュリティマネージメント試験で出題される重点分野の項目を取り上げているので、試験対策としても使えます。
②図解まるわかり セキュリティのしくみ
セキュリティに関する基本的な考え方や、攻撃の種類、脆弱性への対応方法などを網羅的に解説した1冊です。複数のテーマ・キーワードに分けて解説しているため、知りたい項目をピンポイントで調べやすく、図解も豊富なため、ゼロトラストの仕組みを頭でイメージしやすいでしょう。
「セキュリティ対策を進めたい」「セキュリティ関連の資格を取得したい」「高水準なセキュリティ要件を満たしたシステムを開発したい」といった人におすすめです。システム管理者はもちろん、開発者にとっても有益な情報を得られる1冊です。
詳細はこちら
まとめ
複雑化するサイバー攻撃の脅威から重要な社内の情報資産を守るためには、ゼロトラストベースのセキュリティ対策が求められます。ただし、ゼロトラストを導入し、適切に運用するには、正しい知識が必要です。本記事の内容や、本記事で紹介した書籍を参考に、自社におけるセキュリティ対策を見直してみてはいかがでしょうか。
