掲載日:2024/02/09
『ゼロトラスト』は従来の情報セキュリティに関する考え方に代わって、新たに提唱されている概念です。スマートフォンの普及やリモートワークの増加などの影響によって、情報セキュリティに対する考え方も大きな転換期にあるといえるでしょう。
この記事では、『ゼロトラスト』の基本的な考え方や情報セキュリティを高めるためのポイントを解説します。
『ゼロトラスト』とは
『ゼロトラスト』とは何か、基本的なポイントを解説します。
『ゼロトラスト』の概要
『ゼロトラスト』とは、信頼(Trust)を何に対しても与えない(Zero)という前提に立ったセキュリティ対策の考え方を指します。1994年にスティーブン・ポール・マーシュ氏が提唱したネットワークセキュリティに関する考え方です。
2020年8月に公表されたNIST(米国国立標準技術研究所)の定義によれば、『ゼロトラスト』はネットワークが侵害されているときでも、情報システムやサービスにおける各リクエストを最小限に留め、アクセス判断するときの不確実性を最小化するために設計されたものだとされています。
従来の情報セキュリティ対策では、社内から社外へといった情報の境界線を越えるときにのみリスク対策を行っていればよいものでした。しかし、昨今ではテレワークの拡大で社内/社外という境界を設けて対策するのが困難になっており、情報漏えいのリスクが高まっています。そのため、企業はリスクの発生を未然に防ぐため、情報セキュリティに対する考え方を時代に応じて対応させる必要があります。
『ゼロトラスト』における安全性の確認
『ゼロトラスト』において、情報セキュリティの安全性を確認する観点として、次のようなものが挙げられます。
・許可や権限を与えたユーザーからのアクセスであるかの確認
・通常とは異なる場所からのアクセスでないかの確認
・不審な振る舞いが見られないかの確認
・利用しているクラウドサービスなどにリスクがないかの確認 など
近年は特定の企業をターゲットとしたサイバー攻撃などのリスクが高まっています。そのため、社内・社外にかかわらず、どのようなデバイスからのアクセスであっても安易に信用せず、きちんと認証を行う仕組みを整えることが重要です。
『ゼロトラスト』の必要性
従来の情報セキュリティ対策は、VPN接続やファイアウォールなどによって、社外からのアクセスを制御する方式が一般的でした。しかし、これまでの方式ではサイバー攻撃の被害に遭って、社内ネットワークに侵入されてしまうと全ての情報にアクセスされるという脆弱性を抱えています。
さらに、セキュリティが手薄な企業を経由して、より強固なセキュリティを備えた企業を攻撃するサプライチェーン攻撃と呼ばれる事案も発生しています。リモートワークが定着してきた現在の状況において、個人の意識だけに頼るのではなく、企業として『ゼロトラスト』の考えに基づいた対策の実行が求められるでしょう。
『ゼロトラスト』の7つの原則
『ゼロトラスト』の基本的な考え方は、NISTが公開している「SP800-207 Zero Trust Architecture」に以下の7つの点が記されています。
1. すべてのデータソースとコンピューティングサービスをリソースと見なす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスをセッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
『ゼロトラスト』の全てが新しい考え方というより、サイバーセキュリティに対する長年の積み重ねの結果ともいえるでしょう。NISTが定義する7つの理念は、『ゼロトラスト』に関する世界的な共通認識となりつつあるので、しっかりと押さえておくことが重要です。
『ゼロトラスト』を導入するメリット・デメリット
『ゼロトラスト』を導入することで、どのようなメリットやデメリットがあるのかを解説します。
あらゆる場所からアクセス可能
『ゼロトラスト』の考えに基づいた情報セキュリティ対策を行っていくことで、デバイスやアクセス先などにとらわれない安全なネットワークの構築を実現できます。そのため、従業員の多様な働き方を推進することにつながり、業務の効率化や生産性の向上に結びつくでしょう。
より厳密な情報管理が実現する
『ゼロトラスト』を推進していけば、アクセスの許可や認証といった部分をより厳密に管理できます。アクセス権限を細分化すれば、情報漏えいのリスクを減らすだけでなく、万が一漏えいした場合 も原因の早期特定や被害の最小化、早期復旧にもつながりやすいでしょう。
さまざまな通信の管理が必要になる
『ゼロトラスト』のデメリットとして挙げられる点は、さまざまな通信の管理が必要になることです。従来の方式であれば、社内ネットワークにアクセスされる通信を一元管理できましたが、『ゼロトラスト』ではそれが難しくなります。
『ゼロトラスト』の考えに基づいたセキュリティでは、アクセスのすべてで認証を行うということや常時監視が必要なため、時間やコストがかかるのがデメリットです。2段階認証や多要素認証など安全性の高い認証方法によってセキュリティが強化される一方で、ログインまでに手間がかかるといった 点もデメリットとして挙げられます。
『ゼロトラスト』を推進するときのポイント
『ゼロトラスト』の考えに基づいたセキュリティ対策を推進するために、ここでは、SBテクノロジーが提供しているソリューションの紹介と導入時に抑えておきたいポイントについて解説します。
『ゼロトラスト』に対応するためのソリューション
実際にSBテクノロジーで提供しているソリューションとして、次のものが挙げられます。
・EDR
・セキュアWebゲートウェイ
EDR(Endpoint Detection and Response)とは、PCなどでセキュリティインシデントの検出と対応を行うための技術を指します。従来のアンチウイルスソフトウェアやファイアウォールなどとは違い、EDRではエンドポイントでの不正なアクティビティや侵入をリアルタイムで監視できるため、問題の早期発見と対応が可能になります。
また、セキュアWebゲートウェイ(Secure Web Gateway)は、ネットワークトラフィックの監視と制御を担うソリューションです。ウェブフィルタリング・マルウェア対策・アクセス制御・データロス防止といった機能を備えており、従業員がインターネットを安全に利用するための環境を整えられます。
導入時に気をつけておきたいポイント
ソリューションの導入時に気をつけておきたい点として、ID管理の強化が挙げられます。IDとパスワードによる認証の仕組みを整えたとしても、必ずしも適切なユーザーがアクセスしているとは限りません。
そのため、使用するデバイスの管理も含めて、自社で使用するものを漏れなく管理していくことが『ゼロトラスト』を推進していくためには重要です。また、脅威をいち早く検知するために、ユーザーのアクセス状況や行動履歴などをチェックしやすい体制を整えておくことも必要です。
『ゼロトラスト』を推進するために、セキュリティ上の問題点や運用における課題などを洗い出し、未然にリスクを軽減させる取り組みを行ってみましょう。
『ゼロトラスト』を導入するステップ
『ゼロトラスト』の考え方に基づいた仕組みを導入するときは、基本的なステップを押さえておくとスムーズです。どのような手順で取り組めばよいかを解説します。
ID管理の強化
まずは、システムにアクセスする際に使用するIDの管理を徹底することが重要です。アクセス権限を管理システムや人事システムなどと連携させて、新入社員や退職者のID登録・削除を自動的に行える仕組みを整えてみましょう。
デバイス管理の強化
次に、使用するデバイスの管理も強化する必要があります。前述のEDRなどのソリューションを活用し、通常とは異なる不審な動きを自動的に検出して、デバイスの動作を停止・通信を遮断できる体制を整備しましょう。
ネットワークセキュリティ対策
アクセスのたびに利用者のデバイスを確認するシステムを、アイデンティティー認識型プロキシといいます。これによって、VPNでの社内ネットワークへのアクセスから、『ゼロトラスト』への置き換えが可能です。
セキュリティ運用
デバイスからのアクセス解析を行い、異常を検知できる仕組みであるSIEM/SOARを導入してみましょう。SIEM/SOARの導入によって、乗っ取りが行われるリスクや不正アクセスなどを素早く検知することが可能になります。
『ゼロトラスト』を推進するには、さまざまなリソースが必要になる部分もあるため、一気に環境を整えようとすると負担を感じることもあるでしょう。そのため、現在の環境を使用しつつ、優先度の高いものから少しずつ変更していくことも大切です。
まとめ:『ゼロトラスト』の基本を押さえ、情報セキュリティを強化しよう
企業を狙ったサイバー攻撃は年々増加しており、場合によっては事業活動に大きな影響を与えるケースもあります。従来の情報セキュリティ対策だけでは十分に対応しきれない部分があり、時代に対応した対策が求められています。
『ゼロトラスト』は信頼(Trust)を何に対しても与えない(Zero)という前提に立ったセキュリティ対策の考え方です。サプライチェーン攻撃などのサイバー攻撃に対応する考え方として注目されています。
また、リモートワークの普及によって、オフィス以外の場所でも業務を行う機会が増えたため、より一層強固なセキュリティ対策が求められているといえるでしょう。『ゼロトラスト』は今後よりスタンダードになると考えられるため、ポイントをしっかり押さえておくことが大切です。