こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
企業がビジネスに利用するサービスは、オンプレミスからクラウドサービスまで多岐に渡ります。
特に近年ではクラウドサービスの利用が増え、社外にデータを保存することが多くなりました。これに伴い、セキュリティ対策にも変化が求められています。
そのひとつが、ゼロトラストというセキュリティに対する考え方です。現代における情報セキュリティ対策として有効なこの考え方は、提唱された2010年以降、注目を集めてきました。
今回はゼロトラストについて、その概要や実現方法を解説します。
ゼロトラストとは
ゼロトラストとは、zero trust security model、つまり「何も信用しないセキュリティモデル」を指す言葉です。ゼロトラストでは、全てを信用せずに検証を行うことで、情報資産のセキュリティ向上を目指します。
この考え方は、アメリカのリサーチ会社Forester Researchのジョン・キンダーバーグ氏によって、2010年に提唱されたものです。当時はクラウドサービスが普及し始めた時期であり、この考え方は注目を集めました。
近年ではテレワークの普及やセキュリティ事故増加などの影響を受け、ゼロトラストに基づいたゼロトラストネットワークを実装する企業が増えています。
ゼロトラストが注目されている理由
ゼロトラストが注目される背景には、「クラウドサービスの普及」や「テレワークの普及」が関係していると考えられます。
クラウドサービスの普及
従来のセキュリティ対策は、社内ネットワークの内側と外側という境界に注目し、「外側からの脅威から内側にある情報資産を守る」という考えのもと、構築されていました。これを、「境界防御モデル」と言います。
しかし、現代ビジネスにおいては、クラウドサービスの普及により、社内ネットワークの外側であるインターネット上で情報資産を保管することも多くなってきました。従来のセキュリティの境界が曖昧なものに変化してきたのです。
守るべき情報資産がネットワークの外側に置かれ、クラウドに集約されるようになったことで、「境界」に注目してきた従来のセキュリティでは、万全な対策を取ることが難しくなりました。これが、ゼロトラストが注目される理由のひとつです。
テレワークの普及
コロナ禍の影響でテレワークが普及したことも、ゼロトラストが注目される原因となりました。
テレワークでは、自宅や外出先から社内ネットワークにアクセスします。従来は、社外から社内ネットワークにアクセスする場合にはVPN接続によってセキュリティを確保していました。
しかし、テレワークの普及により、VPN接続の課題が明るみに出ます。サイバー攻撃が巧妙化したこともあり、VPN接続を利用していても、情報漏洩や不正アクセスの被害に遭う例が発生したのです。
これにより、VPN接続が万全ではないという意識が広まったことで、ゼロトラストに対する関心がより高まったと考えられます。
ゼロトラストの基本原則
ゼロトラストには、基本原則が設けられています。
これは、アメリカの国立標準技術研究所(NIST)が、2020年に「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」 として公表したもので、ゼロトラスト実現の基盤となる項目として、活用されています。
基本原則は全部で7つ。IT事業を手掛けるPwC Japan合同会社の『NIST SP800-207 『ゼロトラスト・アーキテクチャ」の解説と日本』をもとに、ご紹介しましょう。
ゼロトラストの基本原則
1.すべてのデータソースとコンピューティングサービスはリソースと見なす2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスは、セッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
5.企業は、すべての資産の整合性とセキュリティ動作を監視し測定する
6.すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する
(引用:PwC Japan合同会社『NIST SP800-207 『ゼロトラスト・アーキテクチャ」の解説と日本』より)
ゼロトラストを成功させるためには、これらの原則を基本に据えた上でセキュリティ構築を行うことが大切です。
ゼロトラストのメリット
ゼロトラスト導入によって得られる代表的なメリットとしては、次の3つを挙げることができます。
・セキュリティ対策がシンプルに
・テレワークにも対応
ゼロトラストによって得られる主要なメリットが、セキュリティの向上です。
ゼロトラストは、従来の境界防御モデルでは防ぐことのできない脅威にまで対応することができるためです。社内アクセスがある度、端末のウイルス感染確認やシステム登録された端末によるアクセスかどうかを確認するため、これにより、セキュリティ面に課題を抱えていたクラウドサービスや社外端末も、安全に利用することができるようになります。
また、境界防御モデルによく用いられるファイアウォールやVPNに比べ設定が複雑ではなく、セキュリティ対策をシンプルに導入・管理することもできます。
さらに、ゼロトラストを導入すれば、社内外の境界に関係なく、どこからでもどの端末からでもアクセスできるようになります。境界防御モデルのように、認証されていない端末やネットワークからはアクセスができないということがありません。これは、安全で柔軟なテレワークの普及を助ける手段として有効です。
ゼロトラストのデメリット
ゼロトラストによって発生する可能性のあるデメリットについても確認しておきましょう。
・業務効率が落ちる
ゼロトラストのためのソリューション導入やシステム構築、そしてその運用には、コストがかかります。費用対効果を考えた上で、どのソリューションを導入・運用していくか比較検討することが大切です。
また、「何も信用しない」ゼロトラストでは、認証が増えたり使えるクラウドサービスが限られたりすることで、利便性を損ない、業務効率が低下する恐れもあります。業務効率を下げずにゼロトラストを導入するには、全てのデータを強固に守るのではなく、重要なデータのみを重点的に守るセキュリティ策を講じる必要があります。
ゼロトラストを実現させる方法
ゼロトラストの実現に必要な方法としては、次の4つの技術の導入が知られています。
・エンドポイントセキュリティ
・ネットワークセキュリティ
・クラウドセキュリティ
これらを組み合わせることで、ゼロトラストネットワークの構築が実現します。
ユーザー認証
システムへのログイン時に行うユーザー認証は、ログイン情報の保護に効果的です。
代表例としては、ID管理を提供するクラウドサービスであるIDaaSが挙げられます。
エンドポイントセキュリティ
エンドポイントセキュリティは、パソコンやタブレット、スマートフォンなどといった端末を保護する技術です。
代表的なものには、パソコンやサーバーの状況を検知・通知するEDRやマルウェア攻撃を防ぐEPPがあります。
ネットワークセキュリティ
ネットワークを保護するのが、ネットワークセキュリティという技術です。アクセス権限の設定や通信の暗号化などを行いネットワークを守るため、リモートワークを支える技術としても利用されています。
代表例としては、ソフトウェアでのアクセス制御によってネットワークの内外の境界を定義するSDPやソフトウェアでネットワークを制御するSD-WANがあります。
クラウドセキュリティ
クラウド利用のセキュリティを向上させるクラウドセキュリティの導入も、ゼロトラスト実現には不可欠です。クラウドサービスの利用が普及した現代ビジネスでは、クラウドセキュリティによってクラウド利用の安全性を確保する必要があります。
クラウドサービスの利用状況を可視化して制御するCASBやクラウドの設定ミスを防ぐCSPMが、クラウドセキュリティの代表例です。
まとめ
世界的なDXが進む中で、ゼロトラストという考え方やそれに基づいたゼロトラストネットワークは、DX時代に即したものとして、各企業で導入が進められています。
コストや効率面でのデメリットが懸念されるものの、クラウドサービスやテレワークが普及した現代において、日々巧妙化するセキュリティリスクから情報資産を守るには、ゼロトラストの導入は急務でしょう。
ゼロトラスト実現においては、既存のセキュリティ体制から徐々に移行させていく必要があります。自社に必要な技術を見極め、効果的なゼロトラスト実現を目指しましょう。