ゼロトラストネットワークとは?仕組みやメリットデメリットについて徹底解説

これまでのセキュリティ対策は、特定の領域を完全に防御することで、外部からの攻撃を遮断する方法が主流でした。しかしクラウドコンピューティングの活用が進み、あらゆる所からコンピュータのリソースが使われるようになった現在、このようなセキュリティ対策では十分な対応と言えなくなりつつあります。

そこでクラウド時代の新しいセキュリティモデルとして「ゼロトラストネットワーク」が注目を集めています。ゼロトラストネットワークとはコンピュータやネットワークの構成に依存しない新しいセキュリティ技術を指す言葉です。今回はゼロトラストネットワークの概要について徹底解説します。

ゼロトラストネットワークとは

ゼロトラストネットワークとは、アメリカの調査会社フォレスターリサーチ(Forrester Research)の調査員キンダーバーグ氏により提唱された次世代のネットワークセキュリティの概念のことです。

ゼロトラストネットワークでは「社内は安全である」という前提の下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼロトラスト)ことを前提として、全てのデバイスのトラフィックの検査やログの取得を行う」という性悪説に基づいたアプローチを採用しています。

ゼロトラストネットワークが提案された背景には、2010年前後に重大なセキュリティ侵害や情報漏えいが多発したという事実があります。これは従来のセキュリティ対策では不十分である証拠であるとして、今後のセキュリティ対策の方向性を抜本的に変える必要があると、キンダーバーグ氏は主張しています。

ゼロトラストネットワークの仕組み

ゼロトラストネットワークでは、まず「全てを信頼しない」ことからスタートします。具体的な例として「アクセス認証」を取り上げましょう。ゼロトラストネットワークでは外部からのアクセスに対して、毎回セキュリティレベルをチェックして安全が確認できたデバイスのみにアクセスを許可します。例えば以下の様な観点でセキュリティレベルをチェックします。

  • アクセスしてきたデバイスが社内で登録されている端末であるかどうか
  • デバイスにインストールされているセキュリティ対策ソフトの定義ファイルが最新かどうか
  • デバイスにマルウェアが感染していないかどうか
  • 外部に漏洩しているIDを使用していないかどうか

このような項目をアクセスがあるたびに毎回自動で確認します。

ゼロトラストネットワークの実装ではネットワークの分割が重要になってきます。つまりデータの種類や用途に応じて、ネットワークを分割し、各ネットワークの境界においてセキュリティ対策を施すことが重要です。「何を守り、それはどこにあるのか」という対象を整理して、各境界においてアクセスの制御を施し、脅威への対策をとることが必要です。

また、ユーザが使うデバイスなどエンドポイントの対策も重要です。最近では社外からスマートフォンやノートパソコンを使って、オフィス外部のネットワークからアクセスするケースが増えてきました。これらのアクセスを社内からのアクセスであると見なして対策を取ることや、エンドポイント自身の自衛手段を持つことも必要不可欠です。

ゼロトラストネットワークのメリット

ネットワークの境界だけを防御するこれまでのセキュリティ対策では不十分であることが、認識された結果として、ゼロトラストネットワークの普及が進みつつあります。特にクラウドコンピューティングなどセキュリティ対策を施すための境界が曖昧な環境において、ゼロトラストネットワークは有効に機能します。

クラウドベースで構築されたゼロトラストネットワークは、クラウド環境と社内環境の双方に対して境界を設けずにセキュリティを確保できるように設計されます。さらにゼロトラストネットワークでは最小アクセス権の原則に従うことで、「必要な人に必要なだけのアクセス」を実現できます。営業部門の従業員には営業に必要なデータとアプリケーションの権限を付与し、技術部門の従業員には技術開発に必要なデータとアプリケーションに対して権限が付与されるといった具合です。

クラウドコンピューティングの発展はパソコンだけでなくスマートフォンやタブレットなどを含めた様々なデバイスによる資源の活用も見込まれています。

社内においてファイアウォールとセキュリティ対策ソフトを導入するだけでは守り切れない情報や資源を、ゼロトラストネットワークの導入により、防御可能になる点がゼロトラストネットワークの最大のメリットと言えるでしょう。

ゼロトラストネットワークのデメリット

ゼロトラストネットワークでは「信頼できるモノ」と「信頼できないモノ」を区別する必要があります。しかしここで区別する「信頼性」は不変なものではないことを押さえる必要があります。

一度信頼できると判断されたものは、無条件に信頼できるものであるわけではありません。完璧なセキュリティが存在しないのと同様に、ゼロトラストネットワークにおいても完全に信頼できると判断できるものはありません。どのようなモノであっても、セキュリティ上のリスクは残存するものであり、信頼できると判断されたものの残存リスクと向き合う必要があることが、ゼロトラストネットワークのデメリットの1つと言えるでしょう。

さらに、全てを信頼しないという立場から、社内から外部サイトへのアクセスの制限、外部からの社内へのアクセス制限、添付ファイルの禁止など、これらはわかりやすいセキュリティ対策ですが、業務を遂行するにおいて利便性を大きく損なうことになります。

従来からセキュリティ対策には安全性と利便性が相反するというデメリットがありましたが、ゼロトラストネットワークに導入により、そのデメリットが強く表出する可能性があります。既存環境との共生を図りながら、より効果的に導入できるかどうかが、ゼロトラストネットワークの鍵だと考えられます。

ゼロトラストネットワークの今後

ゼロトラストネットワークの普及のカギの1つとして、「動的なポリシーの設定」があげられます。例えば同じデバイスを使って、社内のリソースにアクセスする場合、社内からのアクセスの場合は無条件で許可をし、社外からのアクセスの場合は2段階認証を要求するといったものです。

デバイスの所在地や状態を確認し、ポリシーを動的に変化させる技術として機械学習(AI)の活躍も期待できます。ポリシーの作成は通常複雑になりますが、アクセスした場所やデバイスの種類などを学習させることで、「安全な状態」をAIに学習させることもできるでしょう。

ゼロトラストネットワークは概念としては数年前からあるセキュリティモデルですが、ようやく現実的なレベルで実装されはじめました。これからのAIやソフトウェアの発達とともに、ゼロトラストネットワークが進化することが期待できます。

まとめ

国内においては2018年ごろからゼロトラストネットワークの重要性が高まり始めました。この背景にはクラウドの業務活用の伸展と働き方改革の推進が関わってきています。

つまり、会社内だけで仕事をするのではなく、自宅などの社外での業務が推奨されるようになったのです。アクセス元もアクセス先も社外に存在するようになり、これまでの「境界を防御する」という考え方が意味をなさなくなりつつあるのです。

このような流れを受けて、ゼロトラストネットワークは構築されますが、その実現方法は様々です。自社においてゼロトラストネットワークの導入を検討する際には、ベンダーが提供している製品やサービスの内容をしっかりと把握することが重要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?