働き方改革が進む中、コロナ禍によってテレワークはさらに普及しました。オフィス内外を問わず業務にあたる方が増えたことから、多くの企業ではより強固なセキュリティ体制が求められるようになっています。
従来では「境界型防御」というセキュリティが主流でしたが、この境界型セキュリティのみではテレワークによるセキュリティリスクを避けることができません。そのため、新たなセキュリティである「ゼロトラスト」が注目を浴びています。
そこで今回は、ゼロトラストの概要や仕組み、さらに注目を集めている理由、メリット、注意点などの関連情報を詳しく説明します。自社のセキュリティを高めたいと考えている方は、ぜひ参考にしてください。
目次
ゼロトラストとは?
- 従来のセキュリティとの違い
ゼロトラストの仕組み
- ネットワークセキュリティ
- デバイスセキュリティ
- アイデンティティセキュリティ
- ワークロードセキュリティ
- データセキュリティ
- システムとインフラの可視化
- システムの自動化
ゼロトラストが注目を集める理由
- クラウドサービスの普及
- モバイルデバイスの普及
ゼロトラストセキュリティのメリット
- テレワークをスムーズに実施できる
- セキュリティ設定がシンプルになる
ゼロトラスト導入時の注意点
- 利便性が損なわれる可能性がある
- コストと手間がかかる
ゼロトラストを実現できるシステム
- EPP
- EDR
- SASE
まとめ
1.ゼロトラストとは?
ゼロトラストとは、ネットワークに接続された端点・終点の機器や端末を指すエンドポイントとサーバー間の通信を暗号化し、「Verify and Never Trust(すべてを信頼せず、必ず確認する)」という考え方のもと、重要な社内システムや情報資産のマルウェア感染といった脅威から防ぐセキュリティ対策のことです。
ゼロトラストネットワークでは、「無条件に信用する安全地帯」を設定しません。たとえ社内からのアクセスであっても、すべてを信頼せず確認するゼロトラストでは、ユーザーID・パスワードに加えてネットワークの安全性や正当性を厳格にチェックすることとなります。
1-1.従来のセキュリティとの違い
従来のセキュリティは、「境界型防御」と呼ばれ、「Trust But Verify(信頼するが、確認もする)」という考え方のもと重要なシステムや情報資産を守っていました。ネットワークの内部・外部を区別しており、基本的に内部からのアクセスは信頼できるもの・外部からのアクセスは信頼できないものと判断していたことが特徴です。
しかし、クラウド環境の拡大やテレワークの普及に伴い、外部からのアクセス・内部からの情報漏洩が多発したことによって、従来型セキュリティは安全性の高いセキュリティ対策ではなくなりました。
新たに登場したゼロトラストモデルは、境界内外を問わずすべてのデバイスを信用せず検証するため、境界型防御よりも強固なセキュリティ体制を構築できます。
2.ゼロトラストの仕組み
ゼロトラストは、従来型セキュリティのような「社内ネットワークは安全」という考え方をなくし、システムや機密情報にアクセスしたすべてのデバイスの安全性を検査して認証するという仕組みです。この仕組みを実現するためには、要件ごとに適したセキュリティ製品を組み合わせて導入する必要があります。
ここからは、ゼロトラストの導入・実現に必要な7つの要件について詳しく説明します。
2-1.ネットワークセキュリティ
ネットワークセキュリティとは、各企業のネットワーク設計に応じて、接続データやデバイス、システムを保護するセキュリティ操作を指します。
ネットワークセキュリティを導入することで、端末ごとに必ず承認を行い、承認を受けていない端末からのアクセス制御ができるようになります。
2-2.デバイスセキュリティ
デバイスセキュリティとは、企業ネットワーク内の重要なシステムや情報資産にアクセスするデバイスの認識・承認を行うセキュリティ操作のことです。
社員が利用するネットワーク機器を管理したのち、社内で管理するデバイスからのアクセスのみを許可することで、不審なデバイスからのアクセスを遮断できます。また、セキュリティソリューションを用いてデバイスそのもののマルウェア感染リスクを考慮すれば、常に高いセキュリティ状態を維持することが可能です。
2-3.アイデンティティセキュリティ
アイデンティティセキュリティとは、ネットワークにアクセスするすべてのユーザーのデジタルアイデンティティに対し、認証を行うセキュリティ操作のことです。
また、ユーザーID・パスワードを定期的に変更したり、一度認証が通ったデバイスであっても継続して認証したりするのも、ゼロトラストにおけるアイデンティティセキュリティの考え方と言えます。
デジタルアイデンティティを定期的に更新して適切に運用することで、守るべき情報資産へのアクセス権は常に必要最小限に留められ、情報漏洩・マルウェア感染リスクをより抑えることが可能です。
2-4.ワークロードセキュリティ
ワークロードセキュリティとは、主にクラウドサービスにおけるすべてのシステム・利用状況を可視化して不正アクセスや脅威を防ぐセキュリティ操作のことです。
重要な情報システムの管理者が把握していないIaaS/PaaSが導入された際は、自動検知とセキュリティ管理者や社員(利用者)への警告・通知によって、把握できていないクラウドサービスによる脅威を防ぐことが可能です。
2-5.データセキュリティ
データセキュリティとは、企業が保有するさまざまな情報資産を分類・保護して、内部情報の持ち出しや外的要因による情報漏洩を防止するセキュリティ操作です。
企業にとって特に重要とされる情報資産・データは、強い権限のある管理者であっても簡単にアクセスできない状態にすることも、ゼロトラストにおけるデータセキュリティの考え方と言えます。
2-6.システムとインフラの可視化
システム・データのログを一元管理し、かつ分析まで行える体制を構築してシステムとインフラの可視化を行うことも、ゼロトラストの実現における重要な要件です。
セキュリティ状態やすべてのプロセスを可視化することで、万が一社員が認識・許可の受けていないデバイスを使用したときは警告や通知が届くなど、予兆を検知してあらかじめ対策を打つことが可能です。
2-7.システムの自動化
ゼロトラストの実現には、セキュリティに関するさまざまな要件を満たす必要があります。これらをすべて手動で行うことには限界があり、手動であるが故に対応が遅れ、さらなるセキュリティインシデントにつながる危険性もあるでしょう。したがって、セキュリティシステムの自動化もゼロトラストの実現においては重要な要件です。
企業や組織全体のネットワークシステムでは、ワークフローやプロセスの自動化を行ってセキュリティ脅威を素早く防ぐだけでなく、万一の問題発生時には脅威を排除するためのアクションの自動実行も欠かせません。
3.ゼロトラストが注目を集める理由
これまでは境界型防御というセキュリティモデルが主流となっていたにもかかわらず、ゼロトラストという新たなセキュリティモデルが脚光を浴びることには、いくつかの理由があります。
ここからは、ゼロトラストが近年、多くの企業で注目を集める主な理由を2つ紹介します。
3-1.クラウドサービスの普及
ITが著しく発展した近年では、システム構築に必要となるすべてのサーバーやソフトウェアを自社内に設置する「オンプレミス」や「パッケージ」から、必要なIT機器を自社では保有しない「クラウド」が主流となってきています。
しかし、クラウドサービスはクラウド上(インターネット上)にすべての情報を保管することとなり、クラウドサービスの事業者側に管理が大きく依存することとなります。サイバー攻撃の標的にもなりやすく、外部だけでなく内部からの脅威も対策していなければ被害がより拡大する可能性もあります。
このように、クラウドサービス利用は利便性が大きく向上する一方で、内部からの脅威をいかに防ぐかといった課題も生じます。そのため、ゼロトラスト化が注目を集めていると言えるでしょう。
出典:総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト「クラウドサービスとは?」
出典:総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト「クラウドサービスを利用する際の情報セキュリティ対策」
3-2.モバイルデバイスの普及
ゼロトラストが注目を集める理由には、モバイルデバイスの普及も挙げられます。
モバイルデバイスとは、タブレットやスマートフォンといったデバイスのことです。モバイルデバイスは簡単に持ち運びができるため、紛失・盗難のリスクが高いことも特徴となっています。
近年では、働き方改革・コロナ禍など何らかの要因でテレワークやリモートワークを導入する企業も増加しました。フレキシブルオフィスやカフェで仕事をする方も増加し、紛失・盗難による情報漏洩のリスクはさらに高まっています。業務に使用しているモバイルデバイスが万が一悪質な攻撃者の手に渡った場合、社内ネットワークに侵入することは容易です。
また、業務に使用するモバイルデバイスでマルウェアの組み込まれたアプリをインストールしてしまった場合、デバイスを通して社内ネットワークに脅威が侵入する可能性もあります。
このように、モバイルデバイスの普及によって内部・外部からの脅威を防ぐセキュリティ体制の構築がより求められるようになりました。社員が自由に持ち運びのできるモバイルデバイスを業務に使用している企業にとって、ゼロトラストは必須のセキュリティモデルと言っても過言ではありません。
4.ゼロトラストセキュリティのメリット
ゼロトラストセキュリティを導入することには、強固なセキュリティ体制を構築できるほかにもさまざまあります。
【ゼロトラストセキュリティを導入するメリット】
- テレワークをスムーズに実施できる
- セキュリティ設定がシンプルになる
ここからは、それぞれのメリットについてさらに詳しく説明します。
4-1.テレワークをスムーズに実施できる
ゼロトラストセキュリティを導入すれば、社内・社外問わずセキュリティを強化できることから、テレワークのスムーズな実施を図れます。
テレワーク環境では、多くの社員が社外のさまざまな場所から社内ネットワークにアクセスすることとなります。したがって、従来型の境界型防御では十分なセキュリティが担保できませんでした。
しかしゼロトラストは、一度アクセスが許可されたデバイスであっても定期的なセキュリティチェックが行われることから、場所や通信環境、デバイスを問わず安心してテレワークを進めることができます。
4-2.セキュリティ設定がシンプルになる
ゼロトラストセキュリティを導入すれば、すべてのアクセスを無条件で検証することとなるため、VPN接続によるアクセス権限の設定や、社内ログの確認・IPアドレスによる制御などの複雑なセキュリティ設定が不要となります。
セキュリティ設定や管理の手間を省けるため、結果として情報システム管理者のリソース確保・人的コストの削減にもつながります。また、シンプルな設定はミスが生じる可能性も低下することから、組織のセキュリティ体制の総合的な強化も期待できるでしょう。
5.ゼロトラスト導入時の注意点
ゼロトラストセキュリティにはあらゆるメリットがある一方で、導入の際はいくつかの注意点もあります。
【ゼロトラストセキュリティを導入する際の注意点】
- 利便性が損なわれる可能性がある
- コストと手間がかかる
ここからは、それぞれの注意点についても詳しく説明します。
5-1.利便性が損なわれる可能性がある
ゼロトラストセキュリティの導入によって、業務の利便性が損なわれる可能性がある点に注意が必要です。
例えば、クラウドサービスや社内アプリケーションなど各種ITシステムにアクセスする際は、ログインID・パスワードによる認証に加えて、2段階認証・多要素認証などで「ユーザーが所有するデバイスの承認」も行うという方法を活用するケースもあるでしょう。
これに加えて、パスワードは定期的に変更するという強固なセキュリティ対策を構築している場合、こまめに認証し直さなければならなかったり、時には何らかの理由でアクセスできない社員が増えることも十分に考えられます。
利便性の低下によって手間が増えると、社員の業務効率やモチベーションを低下させてしまうおそれがあることも念頭に置いておきましょう。
そのため、ゼロトラストセキュリティの導入時は業務に支障の及ぼさない範囲から少しずつ導入したり、利便性を損なわないためにも業務規程を定めたりすることも重要です。
5-2.コストと手間がかかる
ゼロトラストセキュリティを実現するには、あらゆるセキュリティソリューションの導入が必要です。そして、セキュリティソリューションの導入・運用には、初期コストだけでなくランニングコストも発生します。
加えて、社内・社外からのアクセスを常に監視し、都度検証・確認をすることから、運用工数も増加します。従来の境界型防御からの移行の場合は、さらに多くのコスト・手間が一時的に発生することも覚えておきましょう。
6.ゼロトラストを実現できるシステム
前述の通り、ゼロトラストを実現するためには、7つの要件を満たすセキュリティソリューションをそれぞれ導入する必要があります。
【ゼロトラストを実現するための主なシステム】
- EPP
- EDR
- SASE
どのようなセキュリティソリューションを導入すればよいか分からないという方は、まずこれらのソリューションの導入を検討してみましょう。
最後に、各システムの概要を説明します。
6-1.EPP
EPPとは、悪質なウイルスやマルウェアの侵入を検知・分析するセキュリティソリューションです。「Endpoint Protection Platform」の頭文字をとった略称であり、日本語で「エンドポイント保護プラットフォーム」と呼ばれることもあります。
いわゆるマルウェアの侵入を防ぐ製品を指し、サイバー攻撃の水際対策としては非常に優秀なソリューションです。すでに多くの企業でも導入されている「アンチウイルスソフト」は代表的なEPPとして挙げられます。
EPPによって機能性は異なりますが、近年では機会学習・振る舞い分析など優れた技術が用いられたEPPも販売されています。このようなEPPであれば、既存のウイルスはもちろん、未知のウイルスまでも検知・分析することが可能です。
6-2.EDR
EDRとは、組織ネットワークへ不正に侵入したマルウェア・ランサムウェアを素早く検知・分析し、システム管理者へ通知するセキュリティソリューションです。エンドポイントの検出と対応という意味をもつ「Endpoint Detection and Response」の頭文字をとった略称となっています。
EDRを導入すればエンドポイントを常に監視できるようになり、不審な挙動の感知時には即座に通知と分析が行われます。情報システム管理者はログを確認することによって侵入経路の特定ができるため、被害をいち早く食い止めるための適切な対策を講じることも可能です。
EPPの主な目的が「サイバー攻撃の水際対策」だとすれば、EDRの主な目的は「サイバー攻撃後のサポート・被害の最小限化」と言えるでしょう。
6-3.SASE
SASEとは、アメリカの調査会社である「Gartner(ガートナー)」が2019年に提唱した新たなセキュリティモデルです。これまで個々に存在していたネットワークサービスとセキュリティサービスを融合し、まとめて1つの製品として提供するという概念であり、「Secure Access Service Edge」の頭文字をとった略称となっています。
SASEに含まれるネットワーク機能には、VPN・リモートアクセス、SD-WANが挙げられます。セキュリティ領域においては、ファイアウォールやCASB、ゼロトラストネットワークアクセスなどが包含されています。
SASEを導入することで、サイバー攻撃や情報漏洩などに対するセキュリティ対策をより強化できるほか、ゼロトラストセキュリティの実現に必要なソリューションを個々に導入する必要がなくなり、運用・管理の手間の軽減にもつながります。
まとめ
ゼロトラストとは、「Verify and Never Trust(すべてを信頼せず、必ず確認する)」という考え方のもと、「重要な情報資産にアクセスしたすべての安全性を検証する」という新たなセキュリティです。従来型セキュリティにあった社内・社外という境界線の概念をなくすことで、より高いセキュリティレベルを実現できるようになりました。
クラウドサービスやテレワーク、さらにモバイルデバイスの普及によって多くの企業から注目を集めているセキュリティモデルであり、組織のセキュリティ体制の総合的な強化も期待できます。
ゼロトラストを実現するためには、さまざまなセキュリティソリューションの導入が不可欠です。近年では、ゼロトラストセキュリティの考え方に基づいた「SASE」という新たな概念も誕生しています。自社のリソースや運用コストなどを踏まえて、適切なソリューションを選択することが大切と言えるでしょう。
関連リンク
オンデマンドウェビナー:検知不要! 脅威を侵入させない新たなゼロトラストのアプローチ