ゼロトラストとは?仕組み、必要性について

ゼロトラストのイメージ図

働き方改革や2020年の感染症拡大の影響により、テレワークやリモートワークといった働き方は急速に普及しました。このような働き方は、オフィスから離れた場所で働くということもあって、クラウドサービスの利用も増えてきました。


しかし、新しい働き方や新しいサービスを導入するにあたり、課題となるのがセキュリティです。

従来のセキュリティ対策では、社内システムや機密情報を守ることが困難になっている事に加えて、コロナ禍の影響を受けて従来通りオフィスに出社して業務を行うケースと自宅でテレワークを行うケースが混在した「ハイブリッドワーク」が行われている実態からも、より複雑化した状態に対する新しいセキュリティ対策として「ゼロトラスト」に注目が集まっています。


そこで今回は、ゼロトラストの仕組みや必要性についてご紹介します。

1.ゼロトラストとは?

ゼロトラストは、「信頼できない」という意味で、アメリカの企業が2010年に提唱したセキュリティソリューションのことを指します。

ゼロトラストの考え方「全てを信頼しない」

ゼロトラストは、「全てを信頼しない」という考え方から、セキュリティ対策を行います。外部はもちろん、内部からのアクセスであっても、全てを疑い制御します。これは、「ハイブリッドワーク」によって複雑化した社内・社外からのアクセス増加といった昨今のセキュリティが直面する状態に非常にマッチした考え方といえるでしょう。

これまでのネットワーク・セキュリティ

ゼロトラストという考えができる以前のセキュリティ対策は、境界型セキュリティ、所謂「ペリメタセキュリティ」という方法が採用されていました。このペリメタセキュリティは、社内ネットワークは安全で外部ネットワークは危険という考えの基、内部と外部に境界線を引き、その境界線のみにセキュリティ対策を行うという方法です。社内ネットワークを許可された人は、どんな状況であっても信頼され、情報アクセスが許可されます。

ゼロトラストが注目されている背景

ところが、昨今では従来のペリメタセキュリティのように内部と外部の境界線を対策するだけでは、限界が来ていることが分かっています。そこで注目されているのが、全て信用できないという考えから対策を行うゼロトラストです。いくつかの背景をご紹介いたします。

1.クラウドサービスの利用増加

ゼロトラストの考えが広まったきっかけは、まずクラウドサービスの利用が増加したことが挙げられます。最近は、社内ネットワークだけではなくクラウドサービスを利用して、社内の情報資産の一部を外部で保管することが増えてきました。

クラウドサービスは、データの保管場所が外部となるため、社内と社外の境界線がなくなります。そのため、ペリメタセキュリティでは社内情報や機密情報などを守ることが難しくなりゼロトラストでのセキュリティ対策が注目されています。

2.テレワークの増加、ハイブリッドワークへの移行

働き方改革や感染病拡大予防などのBCP対策の一つとして、多くの企業でテレワークが導入されてきています。テレワークは、会社の端末を外部へ持ち出したり、社員が個人で所有する端末を利用したり、外部から社内システムにアクセスします。社内ネットワークと社外の境界線が曖昧になるため、従来のセキュリティ対策では運用できなくなります。

3.内部不正による情報漏えいが多発

近年、情報漏えいは外部からのサイバー攻撃によるものだけではなく内部の不正やヒューマンエラーによって、起きてしまう事件が多発しています。そのため、境界線内にあり安全圏とされていた社内のネットワークの管理や監視の重要性がより増しています。

2.ゼロトラストネットワークとは

ゼロトラストネットワークでは、どのようにして端末や社内システムなどを守るのでしょうか。ここでは、ゼロトラストネットワークの仕組みや対策について見ていきましょう。

仕組み

ゼロトラストネットワークは、社内ネットワークは安全であるという考えを捨て、社外ネットワークに対するアクセスと社内ネットワークで起こるトラフィックを検査します。

サーバーや情報資産など全てのアクセスに対して、セキュリティレベルをチェックし、それらが安全かどうか適切な通信がされているかなどで従来のペリメタセキュリティにとらわれないセキュリティを実現させます。

ゼロトラストネットワーク実現のための7つの要件

ゼロトラストには全部で7つの要件が存在します。これらの要件を満たすことで、ゼロトラストモデルを実現できるとされています。

7つの要件について対策例を用いながら解説します。詳細は、各項目をクリックいただくと表示されます。

社内ネットワークは端末ごとに承認を行い、未許可の端末はアクセスを拒否します。これは、従来のセキュリティでは、「社内ネットワークは安全、社外ネットワークは安心できない」といった考えに比べて、ゼロトラストでは「社内ネットワークさえも安全な場所ではない(信用しない)」という考えに基づいているからです。

社員が利用する機器を管理して、社内で管理しているデバイスのみアクセスを許可、または、セキュリティに関しても資産管理ソフトなどによってバージョン管理を行う事で、利用されているデバイスのセキュリティ状態を常に高い状態に維持します。

企業によって判断が分かれるものの、アクセス時のログインID・パスワードを期間ごとに変える事や、業務に必要な最小限のアクセス権しかもたせないといった考えもアイデンティティ・セキュリティの1つです。また一度認証が通った後も継続して認証を行う事もゼロトラストネットワークにおけるアイデンティティ・セキュリティの考え方です。

全てのシステムを監視(クラウドサービスの利用状況を可視化/制限)することで思わぬ脅威の侵入を防ぎます。具体的には、情報システム管理者が把握していないIaaSやPaaSを社員が導入・利用された場合に自動で検知し、利用者への警告、情報システム管理者への通知を行う事で、把握していないクラウドサービスによる損失を未然に防ぎます。

機密保持の監視と保護、内部情報の持ち出し、外的要因の情報漏洩の防止を行います。実際には社内におけるセキュリィ教育の実施を行う事で機密保持・内部情報の扱いについて、認識を高めるととともに、外部ツールなどによって機密情報の監視と保護、外的要因の情報漏洩防止を行います。

セキュリティ状態を可視化し、攻撃を受けた際は内容の検出や分析、対応を行います。ただし、現実的には社内リソースの問題や、近年のセキュリティ脅威は高度化しているために24時間365日体制ネットワークやデバイスの監視を行う(SOC「Security Operation Center」)企業に外部委託を行うケースが多くみられます。

セキュリティの監視・運用を効率的に行うためには自動化は避けて通れません。連携のとれた即応体制を実現するためにもワークフローやプロセスの自動化を行い、実際に問題が発生した場合は、デバイスの隔離、脅威を排除するための修復などのアクションを自動実行することで、問題発生時の素早い解決を実現します。

3.ゼロトラストの必要性・メリット・デメリット

これまで説明してきました背景や、考え方から、新しいセキュリティ方法として注目されている「ゼロトラスト」。導入する必要性や、利用するメリット・デメリットはあるのでしょうか。

今後も、テレワークなどの場所を選ばない働き方は普及し、それに伴いクラウドサービスの利用も増えていくでしょう。従来のままペリメタセキュリティで対策を行うことは、危険な状態です。情報漏えいやシステム停止による休業などを回避するためには、今後のセキュリティ対策としてゼロトラストが必要だといえます。

ゼロトラストのメリット

1.クラウドサービスも安心して利用できる

境界線が曖昧になり、セキュリティ対策が施せなかったクラウドサービスも、ゼロトラストでは有効に機能します。境界線を設けないため、クラウドサービスだけではなく、社内環境も守れるようにセキュリティを構築できるのは、ゼロトラストのメリットといえます。

2.働く場所に依存せず、安全に業務を遂行できる

ゼロトラストネットワークは許可された端末だけがアクセスできます。そのため、自宅やサテライトオフィス、喫茶店など場所を問わずどこでも安心してアクセスできます。

ゼロトラストのデメリット

1.コストがかかる

社内システムやアプリなどにアクセス許可したあとも、不審な動きや異常がないかなどをチェックしなければなりません。アクセス許可をした端末は、常に行動を監視する必要があるため、ランニングコストがかかります。

しかし、セキュリティを怠ると個人情報や機密情報が漏えいする恐れがあります。情報が漏えいしてしまった場合、大きな経済的、社会的損失を生みます。損害賠償を求められることがあり、ランニングコストよりも情報漏えいした場合の損失の方が大きくなります。

2.業務上は利便性が悪くなる場合もある

全てを信頼しないという点からアクセス制限などのセキュリティ対策により認証の回数が増え、業務上は利便性が悪くなってしまう場合があります。

4.ゼロトラストの導入・運用の注意点

導入時の注意点

ゼロトラストを社内に導入する際の注意点は「社内で運用するための体制づくり、社員1人1人のシステム認知」が挙げられます。ゼロトラストを導入する事で、よりパフォーマンスの高い働き方とセキュリティの両立が出来るといったメリットを伝えた上で、ゼロトラストの運用を円滑に進める必要があります。せっかく費用を投じて導入しても「複雑そうだ」「メリットが感じられない」「今まで閲覧できたサイトが参照できない」などの理由で利用されない、といった事には注意が必要です。

運用における注意点

運用時の注意点としては「業務上の効率性や利便性を失わないよう運用する」事が重要です。独立行政法人情報処理推進機構(IPA)「ゼロトラスト導入指南書」では、注意点の一例を下記の通り記載しています。

一例
  • どのような計画でゼロトラストを進めていくのかを策定し、定期的に見直しをかける
  • 日々導入当初は機能が正しく動いているのかを監視し、異常だけでなく正常な状態も確認する
  • 適用時には必ず運用から問い合わせがくるため、その対応の要員を配置する 運用部門に受け入れてもらえるよう運用部門へのメリットも含めて調整する
  • 範囲を拡大する際は、事前に運用部門と調整し、業務に支障がでないようにする範囲を拡大するときには、業務の重要度に合わせてポリシーの見直しも行う
  • 運用部署の業務ルールが変わった際にも、必要に応じてポリシーの見直しを行う (システム側だけでなく運用側の情報をキャッチし、見直す)

5.まとめ

今回は、ゼロトラストについてご紹介しました。

クラウドサービスの活用や、ハイブリッドワークや内部不正の増加などによりゼロトラストでのセキュリティ対策が広まっています。テレワークの導入によって働く場所がオフィスだけにとどまらず、アクセス元やアクセス先が社外になる場合も出てきました。そのため、社内と社外の境界線だけをセキュリティ対策しても意味をなしません。

全てを信用せずにアクセス制限を設けるゼロトラストは、今後セキュリティ対策として適応することが必要となるでしょう。

よくある質問

ゼロトラストとは?
ゼロトラストは、「信頼できない」という意味で、アメリカの企業が2010年に提唱したセキュリティソリューションのことを指します。詳細はこちらからご確認ください。
ゼロトラストのメリットは?
テレワークのセキュリティ対策にもなります。詳しくはこちらで紹介しています。
ゼロトラストのデメリットは?
デメリットの1つに、コストが挙げられます。詳しくはこちらで紹介しています。

ゼロトラスト導入に関するご相談・お問い合わせ

関連サービス
ゼロトラストセキュリティ運用サービス

ゼロトラストセキュリティ運用サービス

ゼロトラストセキュリティ運用サービスでは、拠点やモバイル端末から安全にインターネットにアクセスするためのネットワークサービス「Prisma Access」で使用するPanoramaに関して、JBサービス株式会社の認定ホワイトハッカーを中心としたセキュリティ専門家が運用を代行します。JBサービス株式会社は、Prisma Accessの導入から運用代行までサポートします。

詳しく »