働き方改革に伴いリモートワークを選ぶ人が増えています。また、出張などを理由に、外部から企業データにアクセスする人もいるでしょう。場所を選ばずに社内データにアクセスできるのは便利な一方で、セキュリティ面のリスクが懸念されます。ここでは、新しいセキュリティモデルとして注目されてきた「ゼロトラストセキュリティ」の考え方、メリット・デメリットなどについて説明します。

ゼロトラストセキュリティとは?

ゼロトラストセキュリティモデルは2010年にフォレスター・リサーチ社が提唱した、これまでの境界型セキュリティを否定する新しいセキュリティアーキテクトのモデルです。働き方改革やデジタルトランスフォーメーション(Digital transformation)への取り組みにより企業のネットワーク構成が大幅に変わってきた現代において、最も注目される考え方となりました。
ゼロトラストセキュリティは、その名の通り全てのアクセスを信頼しない(zero trust)という考えを基盤に構成されます。LAN内で行われるやりとりすらも、都度そのユーザ、デバイス、フローを信頼せず、通信が発生する度に検証を行い、接続許可を判断します。これにより、社内と社外のネットワークの境界線が曖昧になってしまっても、または巧妙化したマルウェアに境界線内の侵入を許してしまったとしても、水際で必要なセキュリティ対策を講じる事が出来るというわけです。

従来のセキュリティモデルとの違い

セキュリティ対策の大定番というと、外部から社内ネットワークを守るFirewallやIPS、IDSを想像する方が多いでしょう。社内ネットワークと外部ネットワークの境界に、セキュリティの壁がある状態です。従来の境界型セキュリティのアーキテクトモデルは、社内ネットワークとインターネット、そして不特定多数にアクセスさせる社外公開用サーバを設置するDMZ(非武装地帯)と3つの領域で構成することで、安全な領域と危険な領域をしっかりと区別し、その境界でセキュリティを講じて徹底して社内ネットワークに不正アクセスを持ち込まないというのが基盤となっています。
出張時や在宅勤務への対応については、VPN接続時に検証がかかった後、認証を受けることで社内ネットワークに入れるようになります。

ゼロトラストセキュリティネットワークアクセス(ZTNA)とは?

ZTNAは、これまでお話したゼロトラストセキュリティモデルに則ったセキュリティソリューションのことです。ユーザからのアクセス要求が発生する度にユーザのアイデンティティや端末のセキュリティ状態が検証され、予め定義されたポリシーに基づいて要求されたアクセスが動的に許可される仕組みです。

ゼロトラストセキュリティが注目されている理由とは

クラウドネイティブな働き方が浸透するにつれ、境界型セキュリティに以下のような課題が浮上しました。

通信回線やVPN網への高負荷問題

社外で働く従業員を”境界線内”に入れる為にリモートでVPNにアクセスさせる必要があります。
これまでは出張時など、一部の人を対象に期間限定的にリモートVPNを使う事が主流でしたが、現在は社外で働く従業員の人数が増えている為、VPN網へかなりの負荷がかかります。
それに加えて、社内ネットワーク内の従業員も、商談や社内会議をオンラインで実施したりと、クラウドサービスの利用が増えていますので、インターネット回線への負荷も急増しています。

シャドーITのセキュリティリスク問題

自社でセキュリティ管理が出来ない私用PCやタブレットの使用、また利用を許可していないアプリの使用をする事でウイルス感染のリスクは高まります。社員教育で使用制限をかけるのには限界があり、企業は今、シャドーITへの対策を求められています。

管理が行き届かないネットワークからのアクセス問題

自宅ネットワークや公共のコワーキングスペース等は自社でそのセキュリティレベルを確認、管理する事が出来ません。サイバー犯罪者は、セキュリティの甘い自宅ネットワークのWi-Fiルータから従業員のデバイスにリーチをかける術を既に実行しています。シャドーIT対策と共にこちらも無視できない課題でしょう。

VPNを経由することでの通信遅延問題

ロケーションを選ばない働き方は、本来業務効率向上を目的として推進されるべきですが、VPNを経由することで単純に目的地(アクセス先)へ遠回りのルートになってしまいます。
通信遅延が発生すると業務効率が落ちるというだけではなく、従業員がストレスを感じ、それがシャドーITを後押しする要因になりかねません。

侵入したマルウェアを止められない問題

境界型セキュリティは一度認証を受けて社内ネットワークに入れれば、その先要求したものすべてにアクセスできてしまう特徴がある為、万が一マルウェアが社内ネットワークに侵入してしまった際の初速を止められず、大きな被害に繋がりかねません。

これらの課題をクリアする為に、境界型セキュリティに成り代わって登場したのがゼロトラストセキュリティですので、脚光を浴びるのは必然ですね。

IT企業におけるゼロトラスト・セキュリティの取り組み

ゼロトラストセキュリティへの舵を切らねばと思っても、完全に脱VPNをするというのはなかなかハードルが高いと感じている企業も少なくないと思います。
そんな中、Googleは、「BeyondCorp」と題して過去10年にわたり独自のやり方でその取り組みを続けてきました。BeyondCorpは全世界10 万人以上のGoogle社員の利用実績が裏付けしたゼロトラストセキュリティのGoogle版モデル(=Google流の実現方法)といえるでしょう。これから起業するような経営者の方々は最初からBeyondCorp Enterpriseでネットワークを組むのも選択肢の一つかもしれません。

※BeyondCorp Enterprise...BeyondCorpに則って作られたGoogleのソリューション

ゼロトラストセキュリティのメリット・デメリット

ゼロトラストセキュリティは現代のネットワーク構築に必要不可欠な要素です。一見メリットしかないように感じますが、たかだかここ十数年で広がった新しい考え方に過ぎません。

故に、ゼロトラストに関する各ベンダーのソリューションが発展途上であることや、導入コストが高いこと、そもそもやりたい事を全て1つのソリューションで対応できるというベンダーが登場していないことが現時点でのデメリットになるのではないでしょうか。
前述した通り、いざ導入を検討すると「既存の境界型ネットワークの代名詞であるVPNを撤廃する事は出来ない」という結論に行きつく企業も多くあります。
そうなると、どこまでを残しどこからを刷新するか判断するスキルとノウハウが情シス担当には必要です。
そして、ゼロトラストネットワークを構築する為には、既存ネットワークの脆弱箇所の把握や重要情報の定義設定が出来ることが前提になります。これらが足枷となり、いまだゼロトラストモデルについての調査や検討に着手すらできていない企業も少なからずあるでしょう。そのような企業は、境界型ネットワークにもゼロトラストネットワークにも知見があるベンダーに相談してみてください。
ICT見える化サポートについて詳しく知りたい方はこちら
脆弱性診断サービスについて詳しく知りたい方はこちら

ゼロトラスト・セキュリティの仕組みとは

ゼロトラストセキュリティは、デバイス・OS・ネットワーク・ユーザといったあらゆる観点で通信が発生する度に、毎回検証と許可を実施するというセキュリティモデルであり、社内ネットワーク内に潜む脅威にも高いセキュリティ能力を発揮すると期待されています。
そして、このゼロトラストモデルを実現させる為には、満たすべき7つの要件が存在します。

ゼロトラスト・セキュリティおける7つの要素

クリアすべき7つの要素を以下にご紹介します。

デバイス

会社が管理する端末であるかどうか、適切なパッチ管理がされているかどうか、マルウェアに侵されていないかどうかなど、デバイスのセキュリティを検証します。

ネットワーク

通信が発生する度にエンドポイントとアクセス先のネットワークのセキュリティがポリシーをクリアしているかどうか、またどのユーザをどのネットワークにアクセスさせるかの制御など、ネットワークにおけるセキュリティを検証します。

データ

機密情報を整理し、利用の監視とデータ保護、従業員による内部情報の持ち出し、外的要因による情報漏洩の防止を行います。

アイデンティティ

アクセス時のログインID・パスワードを期間ごとに変える事や、必要最小限のアクセス権しか付与しないという運用が大事です。退職者のID削除、異動者のアクセス権管理も疎かにしてはいけません。また一度認証が通った後も継続して認証を行う事もゼロトラストネットワークにおけるアイデンティティ・セキュリティの考え方です。

ワークロード

モバイルやPCから使う全てのアプリケーションの利用を可視化し制御することでワークロードのセキュリティを担保します。

可視化と分析

デバイスやユーザー、ネットワーク、アプリケーションのセキュリティ状態を可視化し、アクセスさせていいのかを判断する為都度分析することでゼロトラストを一貫させます。

自動化

上記の要素を全て自動化させることで、連携のとれた即応体制を実現させます。有事の際には、デバイスの隔離、脅威を排除、修復などを自動実行することで、問題発生時の素早い解決を実現します。

ゼロトラスト・セキュリティ導入のポイントや注意点

ゼロトラストネットワークに変更しなければと思い立っても、すぐに構築できるものではありません。
1から構築するのでは人的コストも金銭的コストもはかり知れませんし、体制が整ってもポリシーの見直しや社員のセキュリティ教育など、専門的なスキルとノウハウを駆使しなくてはゼロトラストは運用できません。
では、既存の境界型セキュリティからどうやってゼロトラストセキュリティにシフトしていけばいいのでしょう。前提として忘れずにいたいのは、境界型セキュリティが”使えない”のではなく”足りていない”だけだという事です。境界型セキュリティでは一度認証を得られれば、その後の動きに検証はかかりません。「継続的な検証と認証」のように従来のセキュリティでは対応しきれなかった部分に焦点を当て、徐々にゼロトラストセキュリティを実現させていくのが良いでしょう。

ゼロトラスト・セキュリティ実現に利用できるソリューション例

ゼロトラストモデルを構成する為にデバイス・ネットワーク・データ・アイデンティティ・ワークロード・可視化と分析・自動化の7つの要素が必要だと前述しました。それらの要件に合致したソリューションを検討し、導入していくことで徐々に静的境界線に依存しないセキュリティ体制を構築することができます。いくつかを例として挙げていきましょう。あくまで例ですので、これがすべてと思わず、ひとつの参考にしてみてください。

ID 管理の強化(IDaaS、FIDO認証、CASBなど)

従来のID+パスワードによる認証だけではなりすましのリスクが払拭出来ません。IDaaS(Identity-as-a-Service)で多要素認証を加えID管理を強化したり、使用デバイスやアプリケーションのセキュリティ状態(パッチ管理はされているか等)によるアクセス制御でセキュリティをより堅牢にしたいです。
各アプリケーションへのアクセス制御については、CASB(Cloud access security broke)でクラウドサービスの利用状況を可視化するなどしてこれまで以上に細かく動的に設定を行いたいですね。

デバイス管理の強化(EMM、EDRなど)

利用者(ID)とアクセス権を正しく検証できる仕組みが出来た後は、デバイスの管理です。近年はフィッシング詐欺メールやマルウェアを含んだ標的型攻撃メールの被害が増加傾向にあることや、ローカルブレイクアウトやシャドーITにより企業が用意した適切なセキュリティ網を通らない通信が発生してしまっている点から、最後の砦になり得るエンドポイントセキュリティは非常に注目を浴びています。
モバイル管理において以前から存在したものはMDM(Mobile Device Management)がありましたが、それにMAM(Mobile Application Management)の機能が合わさったものがEMMです。会社支給モバイルがある企業においてはMDMさえあれば良いと思いますが、BYOD(Bring Your Own Device)を採用している企業であれば、端末にインストールしたアプリケーションの管理を行えるのでEMMを推奨します。
また、EPP(Endpoint Protection Platform)だけではマルウェア被害を100%回避する事は出来ないとして、インシデント発生後の被害の抑え込みに重点を置いたEDR(Endpoint Detection and Response)もこれからのセキュリティ対策には必要でしょう。

ネットワークセキュリティの強化(ZTNA、SWG、SDPなど)

保護された社内ネットワークからだけではなく、管理の行き届かない外部のネットワークからも企業の重要情報にアクセスしてくる働き方になっています。ZTNA(Zero Trust Network Access)やSDP(Software-Defined Perimeter)でVPNをクラウド化し、必要なユーザに必要な時だけ動的に通信経路を用意することで、VPN機器や管理が及ばない従業員の自宅ネットワーク等の脆弱性をターゲットにさせずに安全な社内通信を確立する他、従来より社内と社外で起こる通信の番人であったプロキシサーバをSWG(Secure Web Gateway)に置き換え(または多層防御的に追加し)シャドーITを含む全ての通信を監視・制御する対策なども有効だと思います。

運用の自動化(SIEM、SOC、SOARなど)

ゼロトラストセキュリティへの取り組みは、従来の情シス人員だけでは対応しきれない可能性が高いです。より情報セキュリティに特化した知識が必要であったり、既存の担当者に知識があったとしても単純にリソースが不足すると予想されます。インシデント発生時に、原因を調査する為に膨大なログを読み解く時間とスキルが用意できるでしょうか。
また原因を特定するのと同時並行で(もしくはそれより前に)被害を抑える為の初動を起こさないといけませんし、食い止めた後は再発防止を検討しなければなりません。これらに対応できる人材育成は容易ではなく、人員不足が日本全体で喫緊の課題と謳われています。そこで外部サービスで足りない部分を埋めていきます。ログ管理についてはSIEMで可読性を高め、SOAR(Security Orchestration Automation and Response)で速やかなインシデント対応を実行し、SOC(Security Operation Center)でPDCA(というよりOODA)を回し、よりセキュリティを強化していくイメージです。

まとめ

ゼロトラストセキュリティは、デバイス・OS・ネットワーク・ユーザといったあらゆる観点で認証・確認作業を実施するセキュリティのアーキテクトモデルです。それぞれのデータやアプリケーションを個別に保護することで、高いセキュリティ能力が発揮されると期待されています。社内と社外の境界線を取り払ってしまうゼロトラストネットワークは、リモートワークなど柔軟な働き方に必要不可欠となっています。
企業は、ゼロトラストを導入するかどうか?ではなく、どのようにゼロトラストを導入するかどうか?のステージにいると言っても過言ではありません。

この記事に関連するお役立ち資料はこちら

Google Workspace 、 Microsoft 365 の導入者も必見! コロナによりクラウド利用が急増 これからのネットワーク構成に欠かせない「ゼロトラストネットワーク」

テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス