ゼロトラストとは、従来のセキュリティ対策とは異なり、‟信頼(Trust)は、なし(Zero)”の文字通り、「何も信頼しない」という前提に基づくセキュリティの概念です。この概念を取り入れることで、組織におけるセキュリティを大幅に強化できます。
本記事では、ゼロトラストが注目される背景、ゼロトラストを構成する要素、導入におけるポイントなどについて解説します。
ゼロトラストとは
ゼロトラストとは、‟信頼(Trust)は、なし(Zero)”の文字通り、「何も信頼しない」という前提に基づくセキュリティの概念です。つまり、全てのネットワークアクセスを厳格に検証することで、セキュリティの強化を図る考え方のことを言います。
従来型セキュリティとの違い
従来のセキュリティ対策では、ネットワークを「内側」と「外側」に分け、その境界をファイアウォールなどのセキュリティ機器で区別することによって、外側からの攻撃を防ぐアプローチをとります。このようなセキュリティ対策は「ペリメータ(境界線)・セキュリティ」と呼ばれています。一方、ゼロトラストでは、ネットワークの内側も含めた全てを信頼できないものと見なし、全てのアクセスを検証することで攻撃を防ぐアプローチをとります。
なぜゼロトラストが注目されているのか
かつては、企業が守るべき情報資産やデバイスはネットワークの「内側」にのみ存在するという前提が成立していたため、ペリメータ・セキュリティが有効なセキュリティ対策として機能していました。しかし、現在はクラウドサービスの利用やテレワークの普及が進み、企業のネットワークを「内側」と「外側」に区別することが難しくなっており、ペリメータ・セキュリティだけではセキュリティを確保することが困難になっています。
そこで近年、ゼロトラストの概念に基づくセキュリティ対策が注目されています。
ゼロトラストを構成する要素
ゼロトラストでは、従来とはまったく異なるセキュリティ対策のアプローチをとるため、まずは対策すべきポイントを理解する必要があります。
本記事では、ゼロトラストの概念に基づくシステムのセキュリティ構成を「ゼロトラストモデル」とし、その要素を「ID管理」「デバイス管理」「ネットワーク制御」「インターネットサービスの監視」「情報漏洩防止」「監視・分析・運用の高度化」の6つに分類して、それぞれの要素の必要性と関連する技術要素について説明します。
1. ID管理
ゼロトラストの概念では、信頼できるネットワークは存在しないため、すべてのネットワークアクセスに対してそのアクセスが本当に正しいかどうかを厳格に確認するとともに、利用者の情報資産に対するアクセス権を必要最小限にとどめる必要があります。
一方で、企業で利用するアプリケーションやクラウドサービスが増加すると、個々のサービスごとにID管理をしていると利便性が損なわれることに加え、管理が煩雑になり、セキュリティ侵害のリスクが高まることから、これらの情報を一元的に管理する必要があります。
【関連する技術要素】
IAM(Identity and Access Management)
各種サービスにおける利用者のIDを一元的に管理し、利用者の認証や、データなどへのアクセスの認可を行います。IDaaS(ID as a Service)
IAMの機能をクラウドサービスとして提供します。
2. デバイス管理
テレワークの普及などにより、業務で利用するデバイスが外部からインターネット経由で社内ネットワークに接続される機会が増加しています。しかし、これらのデバイスに対するセキュリティ設定を利用者に任せると、設定誤りなどの不備が生じる可能性があります。このため、企業で利用する全てのデバイスを一元的に管理し、適切な設定が行われるようにする必要があります。
【関連する技術要素】
MDM(Mobile Device Management)
デバイスを遠隔で一元的に管理し、デバイスの機能やインストール可能なアプリケーションを制限します。EDR(Endpoint Detection and Response)
デバイスを監視してマルウェアなどによる不審な挙動を検出し、被害を最小限に抑えるための対応を支援します。
3. ネットワーク制御
社外から社内システムにアクセスする際のセキュリティ対策として、従来はVPNが使用されてきましたが、VPNの認証はネットワークの利用の可否のみであるため、攻撃者がVPNを突破して社内ネットワークに侵入した場合、攻撃者はさまざまな社内システムへアクセスが可能となってしまいます。このため、社内システムごとに認証・認可を行うことで、利用者のアクセス権限を必要最小限にする必要があります。
また、ゼロトラストの概念では、信頼できるネットワークは存在しないため、デバイスが接続されているネットワークの場所に依存することなく、すべての通信を保護する必要があります。
【関連する技術要素】
IAP(Identity-Aware Proxy)
利用者とオンプレミスのアプリケーション間の通信を仲介し、利用者がアプリケーションにアクセスするたびにIAMやIDaaSと連携して認証・認可を行います。マイクロセグメンテーション
管理するネットワーク内の各デバイスに対して、アクセス権限を細かく設定することで、特定のアプリケーションやデバイスへの厳密なアクセス制御を行います。
4.インターネットサービスの監視
企業が管理するデバイスをインターネット上の脅威から保護するためには、デバイスからWebサイトなどのインターネットサービスへの接続を監視・制御する必要があります。
また、企業のIT部門が統制・監視しないシャドーITには、セキュリティ対策が適用されないため、脆弱な状態になる可能性が高く、セキュリティ侵害につながる恐れがあります。このため、企業が利用するクラウドサービスなどへのアクセスを監視・制御し、シャドーITによるアクセスをブロックする必要があります。
【関連する技術要素】
SWG(Secure Web Gateway)
デバイスとインターネットとの間の通信を監視し、危険なWebサイトやマルウェアからデバイスを保護します。CASB(Cloud Access Security Broker)
デバイスとクラウドサービスの通信を中継し、クラウドサービスの利用状況の可視化やアクセス制御を行います。
5. 情報漏洩防止
ゼロトラストの概念では、信頼できるネットワークは存在しないため、データがどこにあろうと、その全てが安全とはみなされません。このため、保護すべきデータそのものに対するアクセスを監視・制御することで、情報漏洩を防止する必要があります。
【関連する技術要素】
DLP(Data Loss Prevention)
設定したルールに基づきデータの監視や制御を行い、不正操作による情報の流出や破壊を防止します。
6. 監視・分析・運用の高度化
サイバー攻撃は年々巧妙化しており、個々のデバイスやネットワーク機器から得られる情報だけでは脅威を検知することが困難になっています。そのため、システム全体から得られる、デバイス情報、アクセス対象、アクセス頻度など、さまざまな情報を統合的に分析し、人による監視では検知できないような脅威を正確かつ迅速に検知・対応することで、サイバー攻撃や内部不正によるセキュリティ侵害を防止する必要があります。
【関連する技術要素】
SIEM(Security Information and Event Management)
企業で管理するデバイスやネットワーク機器から出力されるログなどのセキュリティに関連する情報を一元的に集約・分析し、脅威の特定やその対応を支援します。
ゼロトラストのメリット
ゼロトラストモデルの導入による最大のメリットは、セキュリティレベルの大幅な向上が期待できることです。
従来のセキュリティ対策である境界という概念を取り払い、全てのアクセスを信頼しないことを前提としてセキュリティ対策を講じるため、たとえ外部から不正侵入された場合でも、アクセス可能な範囲は限定され、情報漏洩などの被害を最小限に抑えることができます。また、セキュリティに関する情報の一元的な集約・分析により、インシデントの検知・対応の迅速化が期待できます。
さらに、ゼロトラストモデルの導入には、セキュリティ管理の効率化やDXの推進といったメリットもあります。
ゼロトラストモデルでは、IDやデバイスを一元的に管理するため、従来、複雑になりがちであったセキュリティ管理を効率化し、セキュリティ担当者の負担を軽減することができます。また、クラウドサービスの活用がDXの推進に必要不可欠となる中、ネットワークの境界がないゼロトラストモデルは、新たなクラウドサービスの導入を後押しすることができます。
導入におけるポイントと注意点
ここでは、導入におけるポイントと注意点について解説します。
導入におけるポイント
ゼロトラストモデルは、単体の製品やソリューションを導入しただけで実現できるものではありません。上記に挙げた各要素を組み合わせて構築する必要があります。そのため、導入にあたっては、主要な要素から段階的に進めることが現実的です。
ゼロトラストモデルの導入には、いくつかのアプローチがありますが、既存の環境からゼロトラストモデルへの移行を想定した場合、まずは中核となる「ID管理」から導入して認証・認可の基盤を構築し、次に「デバイス管理」を導入することで、自社で利用するデバイスを漏れなく管理できるようにすることが、ゼロトラストモデルの土台作りとして優先すべき要素だと考えられます。
その他の要素については、各企業のネットワーク構成やクラウドサービスの利用状況などに応じて、どの要素を優先的に導入するかが変わってくるため、自社の環境を勘案した上で優先順位を決定することが望ましいと考えられます。
注意点
ゼロトラストモデルの技術要素を備えたソリューションは、多数のベンダーから提供されていますが、目先の課題解決のために個別にソリューションを導入すると、後に他のソリューションを導入する際、機能が重複したり、それぞれのソリューション間で情報がうまく連携できないなど、期待するセキュリティの効果が得られない恐れがあります。
そのため、ゼロトラストモデルの導入にあたっては、セキュリティ上の問題点や運用上の課題を十分に洗い出し、それらを解決するために目指すべきゼロトラストモデルの全体像をあらかじめ明確にすることをお勧めします。その上で、必要となる各ソリューションを選定し、計画的に導入を進めることが、システム全体として連携のとれたゼロトラストモデルの構築を行うために重要であると言えます。
製品紹介
ゼロトラストモデルを構成する製品には、以下のようなものがあります。
Microsoft Azure Active Directory
Microsoft社が提供するIDaaSソリューションです。他のMicrosoft社のゼロトラスト関連ソリューションとの親和性が高いことはもちろん、シングルサインオン、多要素認証、条件付きアクセスなどの機能を提供し、さまざまなSaaSアプリケーションなどの外部リソースへのアクセスをより安全に行うことができます。
Microsoft Entra ID (旧称 Azure Active Directory) | Microsoft Security
Zscaler Internet Access™ (ZIA)™
米国Zscaler社が提供するクラウド型のSWGソリューションです。URLフィルタリングやアンチウイルスなどの一般的なプロキシ機能に加えて、サンドボックスやファイアウォールなどの多層化されたセキュリティ機能を備えており、Web上のさまざまな脅威からデバイスを保護します。
Zscaler Internet AccessでインターネットとSaaSへの安全なアクセスを確保
Splunk Enterprise Security
米国Splunk社が提供するSIEMソリューションです。相関分析による脅威検出機能に加えて、インシデントに対する優先順位付け、インシデント対応の管理、リスクの格付け、カスタマイズ可能な画面表示機能などを提供し、迅速なインシデント対応を支援し、組織全体のリスクを軽減します。
Splunk Enterprise Security | 脅威インテリジェンスツール | Splunk
おわりに
ゼロトラストモデルを導入することで、利用者、デバイス、アプリケーション、データといったあらゆる観点においてアクセスを厳密に確認することが可能となり、従来のセキュリティ対策と比べて大幅なセキュリティ強化が期待できます。また、クラウドサービスの利用やテレワークの普及が進む現代のビジネス環境において、ゼロトラストモデルの重要性はますます高まっており、企業のセキュリティ対策としてゼロトラストモデルへの移行は、もはや必須と言えます。
ゼロトラストモデルへの移行には多くの段階を踏む必要がありますが、全ての要素を導入しなければ意味をなさないというわけではありません。たとえば、「ID管理」を導入するだけでも十分セキュリティを強化することができます。そのため、早期にゼロトラストモデルへの移行を計画し、段階的に導入に向けて取り組むことが重要です。
関連するITソリューション
パブリシティ
サイバーセキュリティの最新動向をタイムリーに発信~DIR SOC Quarterly~
※Microsoft、Azure、Azure Active Directoryは、米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です。