クラウドコンピューティングの活用が進み、あらゆる場所からコンピュータのリソースが使われるようになりました。便利な一方で、今までのセキュリティ対策では十分と言えなくなりつつあります。
そこで、クラウド時代の新しいセキュリティモデルとして「ゼロトラスト」が注目を集めています。今回はゼロトラストについて徹底解説します。
ゼロトラストとは
ゼロトラストとは、ネットワークの境界に依存しないセキュリティの概念です。「社内ネットワークは安全」と前提せず、全ての端末・通信を監視し安全性を検証します。社内からのアクセスも検証するため、内外全ての脅威に対策できる新たな考え方です。
ゼロトラストと従来型セキュリティ対策の違い
従来型セキュリティ対策は、ファイアウォールに代表される「境界型防御」です。社内ネットワークへのログイン認証をクリアすると、その後も「安全なユーザー・端末である」と評価されます。つまり、一度でも境界内部へ入り込めば、内部不正やマルウェアの拡散ができるわけです。
対するゼロトラストは、全ての通信・端末を信頼しません。社内からのアクセス要求であっても、毎回検証し内部からの攻撃を予防します。境界内部へ侵入した脅威にも対応できる仕組みが、従来型セキュリティ対策と異なる点です。
ゼロトラストが注目される背景と理由
そもそも、なぜゼロトラストが注目されているのでしょうか。主な背景と理由を3つに分けて説明します。
クラウドサービスの普及
クラウドサービスの利用は便利な反面、企業の情報資産が「ネットワークの外側」に置かれている状況を生みました。境界型防御が守れるのは、社内ネットワークの内側にあるデータのみです。クラウドに保存されたデータは常に境界の外側にあるため、ゼロトラストの考えが重要視されています。
テレワークの拡大
テレワークの環境下では、社用デバイスおよびデータが社内ネットワークの外側に存在します。さらに、セキュリティ対策が不完全な私用PCを業務利用することで、社内ネットワークに脅威が侵入するリスクも上がるでしょう。データや端末の位置にかかわらず、エンドポイントを個別に監視・保護する仕組みが求められています。
社外との共同作業・情報共有の増加
近年の企業や組織は、他社と共同作業する機会が増えました。たとえば、効率的に情報共有するために、オンラインストレージに直接アクセスしてもらう場合があります。相手の要望により、新たにコミュニケーションツールを導入するケースもあるでしょう。クラウドサービスの利用増加に繋がり、境界型防御による保護が難しくなるわけです。
ゼロトラストのメリット・デメリット
ゼロトラストは次世代のセキュリティ対策となり得ます。ただし、メリットばかりでなくデメリットも存在します。具体的なメリットとデメリットを見てみましょう。
メリット
ゼロトラストを構築するメリットは、情報漏洩リスクの低減です。全ユーザーに対し最小限の権限しか与えないため、社員ごとにアクセスできる領域は限られています。不正侵入した攻撃者も同様で、閲覧可能なデータは限定的です。
また、常にログを収集しているため、インシデントの検出および原因特定も迅速になります。素早い初期対応により、被害の拡大を抑えられるでしょう。
こうしたセキュリティ体制の向上により、クラウドサービスや社員の私用デバイスを安全に利用できます。リモートワークも積極的に推進できるので、社員の多様な働き方も実現可能です。
デメリット
一方のデメリットは、ゼロトラスト導入にあたって費用と対応時間がかかる点です。既存のセキュリティ対策を見直し、ゼロトラストに対応した製品を検討しなくてはなりません。
加えて、導入後の監視範囲は全端末・全通信に及びますので、セキュリティ担当者の作業が増えます。必要に応じ、運用体制の増強が必要です。
また、セキュリティ設定が厳しすぎると、利便性を損ねる可能性があります。たとえば、ゼロトラスト製品の一種「SWG」はURLフィルタリング機能がありますが、設定によっては業務上必要なWebサービスにアクセスできなくなります。社員の業務効率を落とさない適切な設定が重要です。
ゼロトラストの注意点
ゼロトラスト製品によっては、これまでの境界型防御とは使い勝手が大きく変わる場合があります。中でも、ユーザー認証が強化されるため、不満を感じる社員も現れるでしょう。ゼロトラストの意義や導入の理由を説明し、社員に理解してもらう必要があります。
さらに、導入後は定期的な設定見直しが求められます。デメリットで述べたような過剰なセキュリティ設定にならないよう、安全性と利便性を両立できる設定への調整が重要です。
ゼロトラストの今後
境界型防御からゼロトラストへシフトする企業は、今後増えていくと考えられます。これからの時代、従来の境界型防御のみで自社の情報資産を守るのは困難です。内部不正や進化するサイバー攻撃に対応するには、境界に頼らず脅威を排除できるゼロトラスが求められます。
また、クラウドサービスの利用が一般化した現代で、境界型防御を維持するためだけに利用を禁止するのは現実的ではありません。テレワークを含む多様な働き方を実現できれば、人材獲得競争にも優位に立てるでしょう。
ゼロトラストの概念は数年前からありますが、ようやく現実的なレベルで実装されはじめました。これからのソフトウェアの発達による、ゼロトラストソリューションのさらなる進化が期待されます。
よくある質問
ゼロトラストに関するよくある質問3つにお答えします。
ゼロトラストの仕組みは?
ゼロトラストの仕組みは、製品によって大きく異なります。おさらいすると、ゼロトラストとは「全てを信頼しない」概念を指すのであって、1つの製品を指すわけではありません。複数の製品や技術を組み合わせて「全ての端末や通信を監視・検証する体制」の実現が、ゼロトラストの目指すところです。
ゼロトラストモデルを実現するには?
ゼロトラストモデルの実現には、現状では複数の製品の導入が必要です。EPPやEDRなどの「エンドポイントセキュリティ」、SWGやSDPといった「ネットワークセキュリティ」、CASBに代表される「クラウドセキュリティ」などの製品が求められます。ただし、全て導入すれば良いわけではなく、企業ごとの環境に適した製品を選びましょう。
ゼロトラストへシフトするまでのセキュリティ対策はどうすれば良い?
基本の情報セキュリティ対策を実施し、定期的に見直しましょう。何から始めれば良いかわからないのであれば、経済産業省の「中小企業のサイバーセキュリティ対策」のページを参考にしてみてください。なお、現状の対策が適切なのかわからない場合、脆弱性診断の利用を検討してみてください。
まとめ
国内では、2018年ごろからゼロトラストの重要性が高まりました。背景には、クラウドの業務活用の伸展と働き方改革の推進が関わっています。
つまり、会社内だけで仕事をするのではなく、自宅などの社外業務が推奨されるようになったのです。アクセス元もアクセス先も社外に存在するようになり、これまでの「境界を防御する」考え方が意味をなさなくなりました。
ゼロトラストの構築方法は様々です。自社にゼロトラスト導入を検討する際は、ベンダーごとの製品やサービス内容をしっかりと把握することが重要です。