DX時代に必要不可欠？ゼロトラストセキュリティはDXの大前提だった

近年注目されているセキュリティ対策に「ゼロトラストセキュリティ」があります。DXが推進されているなかで、ゼロトラストセキュリティは不可欠です。とはいえ、「なぜDX推進にゼロトラストセキュリティが必要なのか」と疑問をお持ちの方も多いのではないでしょうか。

今回はDX時代に必要不可欠と言われるゼロトラストセキュリティについて、さまざまな角度から解説します。本記事を通して、ゼロトラストセキュリティの内容やDX時代に求められる理由が分かるようになっていますので、ぜひ最後までご覧ください。

この記事の目次

1 ゼロトラストセキュリティはDXの大前提？
2 DX時代に対応した「ゼロトラストセキュリティ対策」の基本原則
3 DX時代におけるセキュリティのあり方
4 これまでのセキュリティ対策ソフトの落とし穴
5 なぜ今ゼロトラストセキュリティが必要？
6 よくある質問
7 まとめ

ゼロトラストセキュリティはDXの大前提？

冒頭でもお伝えしたように、企業においてDX化が進むと同時にゼロトラストセキュリティにも注目が集まっています。まずはゼロトラストセキュリティが注目されている理由を解説します。

DX時代に主流になったテレワークが背景

ゼロトラストセキュリティが注目され始めた背景には、テレワークの普及が挙げられます。働き方改革や新型コロナウイルス感染症の影響で、テレワークを導入する企業が増えました。

テレワークでは従業員が社内PCや自分のPCを利用して、オフィス以外の場所で仕事をします。その結果、オフィス以外の場所から社内の重要データやクラウドサービスにアクセスする機会が増え、より厳重なセキュリティ対策が必要となったのです。

テレワークで明らかになった従来セキュリティ対策の限界

テレワークの普及にともない、従来のセキュリティ対策における限界も見えてきました。従来のセキュリティモデルは「境界型セキュリティ」と呼ばれ、社内ネットワークと外部ネットワークに境界を設け、境界外からの攻撃をブロックする仕組みです。

クラウドサービスやモバイル端末の利用が一般化すると、境界内の攻撃には無防備な境界型セキュリティでは対策できないケースがあります。実際テレワークによりクラウドサービスの利用が増えた2020年代には、日本企業全体においてセキュリティインシデントの発生が多発しました。

VPNはもう終わり？脱VPNがうたわれる理由

テレワークの普及に伴い、脱VPNが叫ばれるようになりました。理由として挙げられるのが、VPN機器自体の脆弱性です。近年VPN機器の脆弱性をついたサイバー攻撃が発生しました。サイバー攻撃はVPN機器のアップデートで対応できましたが、導入している企業の対応が遅れ脆弱性が放置された現在も、VPNの課題として問題視されています。

また、テレワーク時に使用する端末のマルウェア感染後、VPNから社内ネットワークへ接続したことで、社内ネットワーク全体がマルウェア感染をする危険性があります。

他にもVPN接続は、動画や音声、クラウドなどとの相性が悪いです。いずれもテレワークでは不便さを感じる要因です。以上のさまざまな理由から脱VPNがうたわれています。

DX時代に対応した「ゼロトラストセキュリティ対策」の基本原則

ゼロトラストセキュリティを導入する場合には、まずはじめにNISTが発行する「ゼロトラストの7原則」を確認するとスムーズに進みます。こちらではゼロトラストセキュリティの基本原則を紹介します。

ゼロトラストにおける7つの基本原則

先ほども簡単にお伝えしたように、ゼロトラストセキュリティには7つの基本原則があります。日本ではゼロトラストセキュリティがこれから広く普及していく段階ですが、アメリカでは既に以下の基本原則に基づいて体系化されています。

データソースとコンピュータサービスは、全てリソースと見なす
「ネットワークの場所」に関係なく、通信は全て保護される
組織のリソースへのアクセスは、全て個別のセッションごとに許可される
リソースへのアクセスは動的なポリシーによって決定される
組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

これから、上記の7つの基本原則を詳しく紹介します。

①データソースとコンピュータサービスは、全てリソースと見なす

企業が保有するデータソース・業務用アプリケーション・クラウドサービスなど、データソース・アプリケーション・クラウドといったネットワークにアクセスできるデバイスはすべてリソースとみなします。ネットワークにアクセスするデバイスは、企業が保有するPCのみならず社用スマートフォン、個人所有のPCなども含まれます。

②「ネットワークの場所」に関係なく、通信は全て保護される

ゼロトラスセキュリティの考え方では、ネットワークへアクセスする場所に関係なく、セキュリティ要件を課します。そのため、社内からのアクセスに対しても社外からのアクセスと同等のセキュリティ対策を講じます。

③組織のリソースへのアクセスは、全て個別のセッションごとに許可される

企業のリソースへアクセスする際は、個別に認証や許可を求めます。例えば、過去にアクセスできたWebページであっても、仕様変更などのタイミングではアクセス許可を取り消します。

④リソースへのアクセスは動的なポリシーによって決定される

社内ネットワークにアクセスする際はIDやパスワードだけではなく、その都度ポリシーに従ったアクセス許可をすべきです。
ポリシーは、アクセス者がネットワーク内でどのような行動をとっているか等の環境的な属性で定められます。

⑤組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する

企業リソースへのアクセスが安全であるかを評価する前に、アクセスを希望するデバイスの信頼性を確認すべきとしています。規定のセキュリティレベルを保持するために、企業が保有するデバイスや個人が保有するデバイスなど、企業リソースへアクセスするデバイスを常に監視します。

⑥リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される

社内ネットワーク等の企業リソースへのアクセスは、一旦認証されてもそれ以降も厳格に評価されるべきとしています。また、ID・資格情報・資産管理システム・アクセス管理などには、厳格な認証方法として多要素認証が推奨されています。

⑦資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

情報資産に対するセキュリティの取り組み姿勢やアクセスリクエストなどのデータを収集して、分析することが求められます。そして、分析して得た知見からセキュリティポリシーを作成し、セキュリティ体制を強化すべきとされています。
企業の成長とともにセキュリティ状況も変化するため、常にアップデートが必要と考えると良いでしょう。

参照NIST SP800-207から見るゼロトラストの７原則を徹底解説！

従来のセキュリティとの明らかな違い

ゼロトラストセキュリティは、「全てを信用しない」という概念から対策します。7つの基本原則にもあったように、社内からのアクセスすらも信用せずに厳格な要件を課しているのです。この点が従来のセキュリティと大きく違います。

DX時代におけるセキュリティのあり方

DX推進はデータの活用がポイントであり、企業内に蓄積されたデータをもとに、合理的な企業活動が求められます。そのためデータを活用するうえで、企業独自のデータや情報の外部漏洩を避けなければなません。

しかし、従来型のセキュリティ対策では社内ネットワーク上の情報保護に重点を置くため、十分な効果が期待できません。理由はテレワークなどにより社外にネットワークが広がりつつあるからです。

社外にネットワークが広がっている場合、いくら社内ネットワークを厳重に保護しても一度不正な侵入を許せば情報漏洩につながります。よって、ネットワーク内外からのアクセスに同等の要件を課すゼロトラストセキュリティへの転換が必要です。

これまでのセキュリティ対策ソフトの落とし穴

DX時代に対応するうえで、これまでのセキュリティ対策ソフトでは対応が難しい場合も少なくありません。これまでのセキュリティ対策ソフトにおける落とし穴を以下の2点に絞って解説します。

モバイルネットワークやVPNにより、どの場所からでも社内ネットワークへの接続が可能
VPNの運用管理に多くの手間がかかる

モバイルネットワークやVPNにより、どの場所からでも社内ネットワークへの接続が可能

モバイルネットワークやVPNによって、社内ネットワークへのアクセスは場所を問わなくなりました。
これは社内ネットワークに接続する入口が増えたことを意味しており、不正アクセス等による情報漏洩のリスクが高まったといえます。加えてサイバー攻撃等が多様化し、これまでのウイルス対策ソフトでは対応しきれないケースが増えました。
モバイルネットワークやVPNのリスクを理解して相応の対策を講じなければ、安全な通信ができません。

VPNの運用管理に多くの手間がかかる

VPNはセキュリティ対策だけではなく、運用面や管理面の体制を整備する必要があります。まず導入時にすべきことが多いです。ハード面の準備のみならず、VPNの導入範囲を決めたり社内の運用ルールを設定したりソフト面での準備が必要です。

また、VPNにより場所を問わず社内ネットワークなどへの接続を可能にするには、高いセキュリティを維持するための設計や構築、運営管理が求められます。

VPNが構築できた後も利用する従業員から不具合等を相談されると、少ないリソースしか確保できない場合は対応しきれません。

なぜ今ゼロトラストセキュリティが必要？

ここまでの内容を踏まえ、なぜ今ゼロトラストセキュリティが必要なのかについて、以下の2つの観点から解説します。

DX時代に対応していくため
テレワークに対応するのに必要不可欠

ゼロトラストセキュリティを検討中の方は、それぞれ参考としてご覧ください。

DX時代に対応していくため

DXではIoT等のITシステムにおける利用範囲が広がり、これまで以上にセキュリティ要求を厳格にする必要があるからです。

また、モバイルデバイスの利用も一般的になり、社外から社内ネットワークへのアクセスが容易です。クラウドサービスの積極的な活用なども踏まえて、従来型のセキュリティでは不十分です。

そのため、より厳格な基準でアクセスを許可するゼロトラストセキュリティが求められています。

テレワークに対応するのに必要不可欠

テレワークでは生産性や作業効率向上の観点から、クラウドサービスを活用するケースが多いです。他にもWeb会議システムやチャットツールなど、さまざまなツールをコラボレーションして使います。

複数のツールを併用するとネットワークに接続できる入口が増えるため、サイバー攻撃の標的になりやすいです。そのためより堅牢なセキュリティが求められる状況といえます。そこでゼロトラストセキュリティのように厳格な認証要件を求める対策が必要です。

よくある質問

DX推進で必要とされるゼロトラストセキュリティについて、よくある質問を取り上げました。ゼロトラストセキュリティの始め方や理想について回答します。

Q1.DX推進のためにゼロトラストセキュリティ対策は何から取り組めば良いですか？

A.セキュリティに関するツールから導入しましょう。具体的には「EPP」や「SOAR」などが挙げられます。EPPは社内ネットワークにアクセスする端末のウイルス感染を防ぎます。また、SOARはセキュリティ業務の自動化を実現します。さまざまな種類のツールを組み合わせてゼロトラストセキュリティを構築しましょう。