KNOWLEDGE - COLUMN ナレッジ - コラム

【ナレッジコラム】クラウド時代のセキュリティスタンダード「ゼロトラスト」の全容

近年、急速に拡大するクラウドサービスやテレワークといった働き方は新たなセキュリティ課題を生み出しました。それは従来型のセキュリティモデルでは情報資産の保護が不十分であり、早急に対応が求められることを意味します。そこで注目されているのが「ゼロトラスト」です。ゼロトラストとは一体どういうものなのか、その特徴と実現するための4つのポイントを解説していきます。

ゼロトラストとは

「ゼロトラスト」とはその名前のとおり「信じられるものはなにもない」というコンセプトから生み出された性悪説に基づいたセキュリティモデルです。ゼロトラストネットワーク・ゼロトラストモデルとも呼ばれます。「ゼロトラストといえばこれ」という明確な定義があるわけではありませんが、基本的には「すべてのネットワーク接続を認証と承認によって確立する」ことで構築されることが多いです。
ゼロトラストは場所や時間に縛られない現代のビジネス要件に最適とされています。なぜなら、インターネットの発達により人々が会社という1つの空間に縛られて働く必要がなくなってきたためです。ある人は出張先のホテルから、ある人は営業先のカフェから社内ネットワークに入って仕事をすることは当たり前になりつつあります。このような環境でもセキュリティを確保するには従来の対応では不十分といえるでしょう。

ガートナー社の予測では2022年までにクラウドを始めとするデジタルビジネスアプリケーションの8割がゼロトラストネットワークアクセス(ZTNA)を経由したものになると予測しています。さらに2023年には、6割の企業が仮想プライベートネットワーク(VPN)を廃止しリモートZTNAを採用するともいっています。

つまり、ゼロトラストは次世代セキュリティのスタンダードとなる考え方といえるのです。

なぜゼロトラストが求められるのか

では、なぜゼロトラストが求められるようになったのでしょうか。基本的にはテレワークの増加によってセキュリティモデルが陳腐化したためといえます。詳しく見ていきましょう。

従来のセキュリティモデルの陳腐化

従来のセキュリティモデルでは「社内ネットワークに侵入されなければ問題ない」という考えのもとにセキュリティを構築していました。内部(社内)と外部(社外)を区別し、内部にいる人間は信用するという考え方です。これを「境界型セキュリティ」と呼びます。しかし、境界型セキュリティには一度侵入を許してしまうと止める手段がないという弱点がありました。たとえば、一度不正アクセスで侵入されてしまうとデータ改ざんや持ち出しが自由に行えてしまいます。

テレワークの増加

働き方が見直されるようになってからは「テレワーク」「ワーケーション」といった言葉が頻繁に見られるようになりました。遠隔地からいつもと同じように働けるようにするには境界型セキュリティだけでは対策が不十分です。つまり、企業の内部ネットワークだけを守るのではなく、どこのネットワークから接続されても大丈夫なセキュリティを確保する必要があるということです。この流れは新型コロナウィルスの登場によって一気に加速しました。

情報漏えいの増加

悪意のある従業員が会社のデータを持ち出してしまう事件はかならず毎年大きな話題になります。いくら内部の人間とはいえ、企業の大切な資産であるデータや顧客情報に容易にアクセスできてしまうのはセキュリティとしては脆弱ということです。また、ウィルス攻撃は企業テロの典型的なやり口ですが、これは情報リテラシーの低い人間を標的にしてメールからウィルスを送り込み内部情報にアクセスします。これは、個人レベルでセキュリティを構築し個々にアクセス権限を持たせる必要があることを示しています。

クラウドサービスの普及

近年では企業がSaaS、PaaS、IaaSといったクラウドサービスを活用するのは当たり前になってきています。クラウドサービスは外部ネットワークに接続する(VPN接続のサービスもあります)ことが前提ですので、境界型セキュリティの抜け穴となってしまうリスクが増加することになります。

このように働き方の変化が起こったことで従来のセキュリティモデルでは対応が困難になってきたのです。

ゼロトラストのメリット

ゼロトラストにはさまざまなメリットがありますが、その代表的なものをご紹介していきます。

現代のニーズに合わせたセキュリティ体制の構築

ゼロトラストでは従来のセキュリティモデルでは対応できなかったさまざまなセキュリティの課題を解決できます。たとえば、リモートワーク、クラウドサービスの活用などは現代、そしてこれからの働き方の根幹をなす柱です。これらの課題を解決するためにはゼロトラストモデルが有効です。

セキュリティシステムの簡素化

境界型セキュリティではネットワークかハードウェアそのものにセキュリティをかけて実現してきました。たとえば、VPNやスイッチングハブなどがこれに該当します。しかし、これらの環境を構築するには専用のソフトやハードを用意する必要があります。さらに企業の規模によっては人員・拠点の数だけ用意するケースも珍しくありません。ゼロトラストなら個別認証を通った個人・デバイスであればどこからでもアクセスができるようになるため、セキュリティ環境をよりシンプルにできます。

人員コストの削減

人員コストの削減も大きなメリットです。セキュリティコストにはインフラと人材の二種類がありますが、セキュリティエンジニアは世界的に見ても人材不足なため雇用するにも高額になりがちです。また、高度化&複雑化し続けるサイバー犯罪に1企業のノウハウだけで対抗し続けるのは現実的でありません。ゼロトラストを導入すれば、必要最小限の人員だけでセキュリティ運用が可能になります。

柔軟なビジネス展開が可能に

ゼロトラストを導入することで、クラウドサービスを最大限に活用した業務プロセスが可能になります。特定の時間や場所に縛られず、柔軟な働き方や人員配置をすることで、国内はもちろん世界と戦いやすい企業へと発展することも容易になるでしょう。

ゼロトラストを実現する4つのポイント

ゼロトラストを実現するにはどのようなポイントがあるのか、4つにまとめてみました。

  • ネットワークの内と外の区別をしない
  • すべてのアクセスに認証を求める
  • ログに残し可視化する
  • 必要最小限のアクセス権限を与える

それぞれ見ていきましょう。

ネットワークの内と外の区別をしない

ゼロトラストでは「特定の場所が安全圏」という概念は存在しません。ネットワークの内と外を区別しないで、個々の人・デバイスに対してネットワーク認証を行うことを当たり前にしてください。

すべてのアクセスに認証を求める

すべてのアクセスにはそのユーザーとデバイスが安全であることを確認するため認証を行います。たとえば、データの閲覧やツールの利用などには認証機能を設けておくことで、誰でも利用できる状態にしないことが情報漏えいを最小限にしてくれます。

ログに残し可視化する

常に社内の資産が脅威にさらされていないかを検知するには、すべてのアクセス、行動をログに残すことが必須となります。不自然なアクセスがないか、またその兆候を検知することで対策を取りやすくなります。

必要最小限のアクセス権限を与える

最悪侵入されたケースを想定して、各ユーザーには必要最小限のアクセス権限を与えることも忘れてはいけません。境界型セキュリティのように内部の人間がなんでもできてしまうのではなく、アクセス権限を付与することで万が一に備えることが重要です。

次世代型セキュリティモデルを導入しよう

ゼロトラストはクラウドやリモートワークといった現代のビジネスモデルに最適なセキュリティ思想です。各レイヤーでセキュリティを構築することで、ネットワークを区別することなく自由に業務プロセスを構築できるようになります。ゼロトラストを導入する際には必要なポイントがありますが、自社の環境に合わせた最適なセキュリティモデルの構築には専門家のアドバイスを取り入れたほうが確実です。

 

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

関連するナレッジ・コラム

残された攻撃の痕跡を追え! ~Post-Exploitationで起きていること~

残された攻撃の痕跡を追え! ~初期侵入の痕跡が残るデータソース~

【エバンジェリスト・ボイス】Threat Hunting ~リスクに強い組織を目指そう!~