近年では、働き方改革や新型コロナウイルス感染拡大の影響により、私たちの働き方が大きく変わりました。クラウドサービスの利用増加に伴い利便性が高まった一方で、従来のセキュリティ対策が通用しなくなっています。セキュリティリスクの増大を危惧する声が高まるなか、新たに注目を集めている概念が「ゼロトラスト」です。本記事では、ゼロトラストが注目されている理由や、ゼロトラストを実現させるポイントについて解説します。
ゼロトラストとは
ゼロトラストとは、「Zero Trust=何も信用しない」という考えを前提に、ネットワークの境界を問わず、すべてのデバイスやユーザー、ネットワークを監視するセキュリティの概念です。クラウドサービスの普及や働き方の多様化などによって、企業システムの内部・外部の境界は曖昧になっています。従来のセキュリティ対策では、多様化・巧妙化しているサイバー攻撃を防ぐことは困難でしょう。そこで、ゼロトラストというセキュリティの新しい考え方に注目が集まっています。
ゼロトラストの基本的な考え方
ゼロトラストとは、2010年にアメリカの調査会社フォレスターリサーチが提唱した概念です。従来のセキュリティは「境界型防御内のネットワークは安全で、境界外部のネットワークは危険」という考え⽅でした。一方で、ゼロトラストは「たとえ境界内部であっても無条件に信⽤せず、すべてのデバイスやユーザー、ネットワークを確認して認証・認可を⾏う」という考え方です。
新型コロナウイルス感染拡大によるテレワークの普及や、クラウドサービスの利⽤が増えている背景もあり、企業のセキュリティリスクは以前よりも高まりました。社内の機密情報や顧客の個人情報などを守るためにも、境界の内側・外側問わず適切なセキュリティ対策を講じるゼロトラストの考え方は重要といえます。
従来のセキュリティ対策との違い
従来のセキュリティ対策では、社内ネットワークへのログイン認証をクリアしたあとは「安全なユーザー・端末」として評価する仕組みです。そのため、一度でも境界内部へ侵入できれば、内部不正やマルウェアの拡散が可能となってしまう点が懸念されていました。
ゼロトラストは「すべての通信・端末を信頼しない」考え方であるため、内部からのアクセスも制御する点が特徴です。ユーザーの認証を強化したり、端末へのアクセスを制限したりなど、さまざまな方法でゼロトラストの実現を目指します。
ゼロトラストが注目されるようになった背景
ゼロトラストが注目されるようになった背景として、以下の3つがあります。
- クラウドサービスの利用増加
- 働き方の多様化
- 内部不正による情報漏洩
それぞれ詳しく解説していきます。
クラウドサービスの利用増加
業界・職種を問わずDX推進が求められるようになり、クラウドサービスの利用が一般化しました。クラウドサービスの導入に伴い、企業内にあるデータの一部を社内ではなく社外で管理するケースが増えています。社内・社外の境界線がなくなり、従来のセキュリティ対策では安全の確保が困難となりつつあるため、ゼロトラストセキュリティの考え方に注目が集まっています。
働き方の多様化
昨今の新型コロナウイルス感染拡大の影響もあり、テレワークやハイブリッドワークを導入する企業が増加しました。働く場所が分散したことで、社内から社外へ、社外から社内へのアクセス・通信が増大しています。社内ネットワークの境界線が曖昧になり、「社内ネットワークへログインできたユーザー・端末は安心」という考え方が通用しなくなっています。
内部不正による情報漏洩
セキュリティ事故の要因は、サイバー攻撃による被害だけではありません。例えば、社員による重要データの不正な持ち出しや、ヒューマンエラーによる媒体紛失など、内部の不正行為が原因でセキュリティ事故につながるケースも多く見られます。そのため、安全とされていたネットワーク内部でも、社内のユーザーや端末などの監視・管理を行う必要があります。
ゼロトラストのメリット
実際にゼロトラストセキュリティを実現することで、企業はどのようなメリットを得られるのでしょうか。この章では、ゼロトラストの主なメリットについて解説します。
セキュリティレベルを高められる
ゼロトラストセキュリティを実現する最大のメリットは、セキュリティレベルを高められる点です。ゼロトラストセキュリティでは、クラウドサービスの通信ログや以前認証したアクセスなど、すべてのトラフィックをチェックします。さらに、内部にいる社員に対してアクセス権限などを付与すれば、不正アクセスやデータの持ち出しなどを未然に防ぐことも可能です。監視体制の強化によって、企業のセキュリティレベル向上を実現できます。
場所を問わずに働けるようになる
ゼロトラストセキュリティは、社内・社外を問わずに厳重な認証を実施し、許可された端末のみ利用できる仕組みです。そのため、安全性を確認した上で安心して業務を行えるようになります。テレワークやハイブリッドワークなど、さまざまな勤務形態を導入できるでしょう。
セキュリティ管理を効率化できる
従来のセキュリティ対策では、VPNやファイアウォールなど、境界部分に複雑なセキュリティや設定を講じる必要がありました。ゼロトラストセキュリティでは、すべてのアクセスに厳重な認証を行うため、よりシンプルな設定にすることが可能です。セキュリティ管理の効率化によって、管理者の負担軽減につながるメリットもあります。さらに、VPNやハードウェアなどの導入費用やVPN構築にかかる費用・人件費なども削減できるでしょう。
ゼロトラストのデメリット
ゼロトラストセキュリティの実現は企業に多くのメリットをもたらす一方で、デメリットもいくつか存在します。この章では、ゼロトラストのデメリットについて解説します。
ゼロトラストを実現させるためのコスト・時間がかかる
ゼロトラストを実現させるためには、多くのコストや時間が必要です。ゼロトラストセキュリティでは、すべてのアクセスに対して認証が必要なほか、社内ネットワークに対しても不審な動きがないかを常に監視しなければなりません。さまざまなセキュリティ製品を用意する必要があるため、製品の導入費用・ランニングコストなどの負担が大きくなります。また、ゼロトラストセキュリティを導入する前には、まず既存のセキュリティ対策を見直さなければいけません。セキュリティ対策の見直しにも手間や時間がかかる点を認識しておきましょう。
利便性を損なうおそれがある
ゼロトラストセキュリティには、2段階認証や多要素認証など、安全性が高い認証方式が欠かせません。これらの認証方式は短時間で認証が切れやすく、こまめに認証し直さなければいけない点がデメリットです。ゼロトラストの実現は、長いスパンで段階的に行う必要があります。その期間は一時的に業務効率や生産性が下がる場合があるため注意しましょう。
ゼロトラストを実現するために欠かせないソリューション
ゼロトラストを実現するためには、さまざまなタイプのセキュリティソリューションを導入した上で運用しなければなりません。この章では、ゼロトラストの実現に欠かせないソリューションを紹介します。
ID統制
ゼロトラストの実現に向けて最も重要な機能が「ID統制」です。ゼロトラストでは「誰が」パソコンや企業内のデータにアクセスしようとしているのかを、的確に識別・認証する必要があります。ID統制の代表的な方法として、組織内のシステム・サービスの ID を⼀元管理できる「ID管理」や「SSO(Single Sign On)」、「アクセスコントロール」などが挙げられます。
デバイス統制・保護
「デバイス統制・保護」も欠かせない機能です。テレワークの環境下において、さまざまな場所で使われているデバイスに対して適切なセキュリティ設定を施すことは難しいでしょう。デバイス管理の難易度が以前よりも高くなった分、デバイスが攻撃を受けるリスクも増加しているのが現状です。まずは組織で管理するべきデバイスを把握し、管理者がどの場所にいてもデバイス統制・保護が可能な環境をつくる必要があります。
ゼロトラストを実現するためには、企業内のデータにアクセスできるデバイスが組織の管理下におかれていること、適切な設定が行われているかを認証の際にチェックすることが重要です。デバイス統制・保護に最適なソリューションは、デバイスの一元管理や遠隔操作などが可能な「MDM (Mobile Device Management) 」や、マルウェアを検知・遮断できる「EPP (Endpoint Protect Platform) 」、エンドポイントデバイスを監視できる「EDR (Endpoint Detection and Response) 」などが挙げられます。
ネットワークセキュリティ
ゼロトラストは、「すべての通信は保護されるべき」という考え方であるため、社内のネットワーク通信に対しても適切なセキュリティ対策を施す必要があります。ネットワークセキュリティに最適なソリューションは、アプリケーション単位での認証・接続制御が可能なIAP (Identity Aware Proxy)や、WEB フィルタリングの実装やSSL復号などができる「SWG (Secure Web Gateway)」、「CASB (Cloud Access Security Broker) 」などが挙げられます。
データ漏えい防止
ゼロトラストの考え方では、企業内にあるすべてのデータを保護対象としています。そのため、内部の人間による機密情報の持ち出しを防いだり、持ち出されたあとにデータを閲覧できない状態にしたりなど、多角的な視点でのセキュリティ対策が欠かせません。
データ漏えい防止を実現できる代表的なソリューションは、機密情報の不正な取り扱いや不正操作を防⽌できる「DLP (Data Loss Prevention)」や、機密情報が含まれているファイルやメールの暗号化やアクセス制御が可能な「IRM (Information Right Management)」などが挙げられます。
ログの収集・分析
ゼロトラストの概念では、「企業内にある資産の整合性・セキュリティ動作を監視して測定すること」や「資産・ネットワークのインフラストラクチャの現状について多くの情報を収集し、セキュリティ体制を改善すること」が重要とされています。社内にあるIT機器から、ログを集約・分析することで、サイバー攻撃に対して迅速に対処できるでしょう。
ログの収集・分析には、さまざまな機器からログ収集や一元管理が可能な「SIEM (Security Information and Event Management)」が最適です。SIEMを導入することで、収集したログから不審な通信・ユーザーの動きなどを検知できます。さらに、複数の機器からログを収集して関係性を探る「相関分析」も可能です。相関分析には、脅威インテリジェンスを利用した「脅威検知」や、機械学習を利用して異常を検知する「アノマリ検知」の手法が存在します。これらの検知ルールは、社内で自由にカスタマイズ可能です。
ゼロトラストを実現させるためのポイント
ゼロトラストを実現させるためには、企業全体で計画を立て、長期にわたって継続的に取り組む必要があります。この章では、ゼロトラストを実現させるためのポイントを解説します。
ゼロトラストを推進するための体制づくりから始める
ゼロトラストセキュリティを新たに導入する場合、これまでよりも認証に時間・手間がかかるケースが多く、社員から苦情が出る可能性が高くなります。そのため、まずはゼロトラスト実現の取り組みが、企業にとって重要であることを社員に理解してもらうことが重要です。その上で、ゼロトラストを推進するための体制づくりから始めていきましょう。
また、ゼロトラストセキュリティを導入する際には、新しいITサービスやツールの導入費用など、多大なコストがかかります。そのため、ゼロトラストセキュリティの必要性を経営層に説明し、予算を確保しなければなりません。予算の確保も初期段階で行うようにしましょう。
ゼロトラストの仕組みを構築する
実際にゼロトラストの仕組みを構築するためには、クラウド上のアクセス管理・監視の徹底が必要不可欠です。どの端末がどのクラウドにアクセスしているかを把握し、アクセスしている端末の挙動を監視することで、不審な挙動や端末の状態を可視化できます。アクセス管理や機器の監視には「ID管理」や「SSO」、「MDM」などのソリューションが最適です。
加えて、エンドポイントごとに適切なセキュリティ対策を講じることも重要です。社内データやネットワークだけではなく、端末自体のセキュリティを強化しなければなりません。「EDR」を導入すれば、さまざまな場所にあるエンドポイントデバイスをまとめて監視できます。
定期的に見直しを行う
セキュリティリスクは常に変化しており、一度設定したセキュリティ対策がそのまま通用するとは限りません。定期的に見直しを行い、その都度最適なセキュリティ対策を講じることで、ゼロトラストセキュリティを実現できるでしょう。
まとめ
巧妙化・高度化しているサイバー攻撃に対応するためには、従来のセキュリティ対策だけでは不十分です。ゼロトラストセキュリティを導入することで、社内のセキュリティレベル向上や、セキュリティ管理の効率化など、さまざまなメリットを得られます。ゼロトラストセキュリティを実現するためのソリューションは数多く存在するため、自社の環境や規模、目的に適したソリューションを導入しましょう。
