近年、テレワーク制度を導入する企業が増加しており、従来の境界型防御モデルに代わるセキュリティの構築が求められています。そこで注目を集めているのが、「ゼロトラスト」に基づくセキュリティです。本記事では、テレワーク環境を整備するうえで重要となる、ゼロトラストモデルについて詳しく解説します。
ゼロトラストとは?
「ゼロトラスト」とは、アメリカの調査会社Forrester Research社によって提唱された概念で、「あらゆるリクエストやトラフィックを信頼しない」という前提に基づくセキュリティモデルを指します。
ゼロトラストモデルのセキュリティは、従来の境界型防御モデルのように「内部ネットワーク」「外部ネットワーク」という区分を持ちません。あらゆるセキュリティインシデントを想定して、「内部も外部もすべてを信頼しない」という考えを主軸に、厳格なユーザー認証やネットワークの制御・監視を実施します。
従来は、不正アクセスやマルウェアといった外部の脅威に対して社内外のネットワークに境界を設けることで対策を講じる、いわゆる境界型防御のセキュリティモデルが一般的でした。例えば、もっとも一般的と言えるセキュリティ対策の1つが「ファイアウォール」です。ファイアウォールは、インターネットと社内ネットワークの間に設置されるセキュリティシステムで、不正アクセスやマルウェアといった外部の脅威を監視・制御する、文字通り「防火壁」の役割を果たします。
かつては多くの業務が社内ネットワークの中で完結していたため、インターネットと社内ネットワークの境界にファイアウォールを設置することで、十分なセキュリティをできました。しかし、近年では組織の情報資産をパブリッククラウドに保管するケースが増えてきています。クラウド環境では社内と社外の境界線がなくなるため、境界型防御モデルではセキュリティを担保できません。こうした時代の変化やテクノロジーの発展とともに、境界型防御のセキュリティモデルは通用しなくなってきており、社内・社外の境界をもたないセキュリティ体制の構築が求められているわけです。
テレワーク拡大によるゼロトラストの必要性
ゼロトラストという概念が大きな注目を集めている背景にあるのが、テレワーク制度の普及です。2020年3月に新型コロナウイルスはWHOによってパンデミック認定され、多くの企業が感染症対策の一環としてテレワークを導入せざるを得なくなりました。オフィス外で業務に取り組むテレワーク環境では、多くの従業員が社外から社内ネットワークにアクセスするため、従来のような境界型防御では十分なセキュリティを担保できません。
また、テレワークではクラウドサービスの活用が不可欠となるのも、ゼロトラストのセキュリティが求められる理由の1つです。生産的かつ効率的なテレワーク環境を整備するためには、クラウドストレージやチャットツール、Web会議システムといったコラボレーションツールの活用が欠かせません。しかしGoogleは、コラボレーションツールはサイバー攻撃の標的となりやすいと指摘しており、これまで以上に堅牢なセキュリティ体制の構築が求められているのです。
ゼロトラストモデルのセキュリティ確認項目
ゼロトラストに基づくセキュリティでは、以下の項目によって情報資産の安全性を担保します。
使用しているネットワークは安全か
ゼロトラストは、社内と社外の双方に対し境界を設けず、等しくネットワークを監視できるよう設計されたセキュリティモデルです。そのため、社外からのトラフィックはもちろん、社内ネットワーク内の通信に対しても高度なセキュリティレベルで監視し、安全性を確保します。
使用しているデバイスは許可されたものか
ゼロトラストモデルでは、デバイス認証を用いてPCやタブレットなどの端末を確認し、許可されたものを使用しているかを確認します。端末固有のMACアドレスやシリアル番号などに基づいて認証を行い、許可を得たデバイスのみがアプリケーションやファイルにアクセスできます。
デバイスがマルウェアなどに感染していないか
ゼロトラストに基づくセキュリティ体制を構築するうえで重要となるのが、「EDR (Endpoint Detection and Response)」です。EDRとは、エンドポイント(端末)を常時監視するソリューションのことで、「デバイスへの不正な侵入」や「マルウェアの感染」といったインシデントを検知します。
デバイスに必要な安全対策が施されているか
境界型防御のセキュリティモデルでは、デバイスがマルウェアに感染していたとしても、ひとたび境界を抜けてしまえば自由に行動可能です。このような事態を防止するために、ゼロトラストモデルでは内部・外部すべてのデバイスに対して、安全対策が施されているかを確認します。
ユーザー本人によるアクセスか
ゼロトラストモデルでは2段階認証や多要素認証などを用いて、ユーザー本人によるアクセスかを確認します。IDやパスワードだけでなく、知識要素や生体要素などをログイン情報として認証することで、より強固なセキュリティ体制の構築が可能です。
使用しているアプリケーションに脆弱性はないか
近年、「SQLインジェクション」や「クロスサイトスクリプティング」など、Webアプリケーション特有の脆弱性を突いたサイバー攻撃が増加傾向にあります。ゼロトラストモデルでは「WAF(Web Application Firewall)」を用いて、従来のファイアウォールでは対応できないアプリケーションレベルの脅威を検知します。
不審な操作を行っていないか
EDRはデバイスのマルウェア感染だけでなく、不正な操作や不審な挙動といったアクティビティの検知も可能です。例えば、テレワーク時にデバイスを紛失し、盗難されてしまったとしても、不審な操作を自動的に検知できます。
ゼロトラストのメリット
ゼロトラストに基づくセキュリティ体制の構築で得られる主なメリットは、以下の3つです。
- セキュリティ水準が大幅に向上
- テレワークでもアクセス可能
- システム部門のセキュリティ運用効率化
セキュリティ水準が大幅に向上
厳格なユーザー認証やネットワークの監視によって、セキュリティレベルそのものを向上できる点が大きなメリットです。従来の境界型防御モデルは「内部の人間やデバイスは信用する」という考え方に基づいているため、社内からの攻撃や不正に対して無防備でした。エンドポイントを監視するEDRや、セキュリティ運用を効率化・自動化する「SOAR」などによりゼロトラストモデルを構築することで、組織全体におけるセキュリティ水準の大幅な向上に寄与します。
テレワークでもアクセス可能
ゼロトラストは、テレワーク環境のセキュリティを最適化するうえで不可欠なセキュリティモデルです。境界型防御モデルでテレワーク環境のセキュリティを担保するためには、グローバルIPアドレスによる制御や、VPN接続によるアクセス権限設定が必要となり、ITインフラや社内ネットワークの管理負荷が高くなります。多要素認証のようなユーザー認証基盤を導入し、ゼロトラストモデルを構築できれば、ITインフラや社内ネットワークの管理負荷を軽減しつつ、テレワーク環境のセキュリティを強化できます。
システム部門のセキュリティ運用効率化
ゼロトラストに基づくセキュリティ体制を構築するうえで、重要な役割を果たすのがSOARです。これは「Security Orchestration, Automation and Response」の略称で、セキュリティインシデントの検知や対処を自動化するソリューションを指します。SOARを活用することで、セキュリティ管理のオペレーションを自動化できるため、システム部門の業務負荷軽減やセキュリティ運用効率化につながります。
ゼロトラストモデルをスムーズに導入するには
ゼロトラストに基づくセキュリティ体制を構築するためには、アクセス管理やID管理、エンドポイントセキュリティ対策などの機能を備えたソリューションが必要です。特に、2つ以上の異なるファクターでユーザーを認証する多要素認証や、デバイスごとのアクセス認証を実施するエンドポイントセキュリティは欠かせない機能と言えます。このようなソリューションを導入することで、組織全体のセキュリティ水準を高めると同時に、生産性と堅牢性に優れるテレワーク環境の構築が可能です。
まとめ
テレワークは、新しい時代に即したワークスタイルとして注目を集めているものの、セキュリティの脆弱性が懸念されます。セキュアなテレワーク環境を整備するためには、ゼロトラストに則ったセキュリティ体制の構築が必要です。セキュリティ強化と生産性向上を目指しゼロトラストを構築する企業は、第一ステップとしてHENNGE OneのようなIDaaSを活用してユーザーの信頼性を確保するID管理からスタートしてはいかがでしょうか。
