近年、企業におけるセキュリティリスクは高まりつつあります。その中で、ゼロトラストはセキュリティ対策の考え方として多くの企業から注目されています。ゼロトラストを自社のセキュリティ対策に導入した場合、どのような効果が期待できるのでしょうか。
この記事では、ゼロトラストについて理解を深めたい人に向けて、ゼロトラストとは何か、注目される背景、具体的な製品の導入方法などについて解説します。自社でゼロトラストを導入する際の参考にしてください。
ゼロトラストとは何か?
ゼロトラストがどのようなセキュリティ対策であるかが理解できていなければ、自社にあったセキュリティ対策かどうかを判断できません。ここでは、ゼロトラストの概要を解説します。
「性悪説」を前提にしたセキュリティ
ゼロトラストには、「ゼロトラストネットワーク」「ゼロトラストセキュリティ」「ゼロトラストモデル」などの呼び名があります。このことからもわかるとおり、ゼロトラストには明確な定義がありません。
ゼロトラストとは、アメリカのリサーチ会社である Forrester Research 社が発案したセキュリティ対策の考え方です。これまでのセキュリティ対策では、社内で使用するローカルネットワークを内側とし、それ以外のネットワークを外側として境界線上で対策をしていました。
一方、ゼロトラストは性悪説を前提にしたセキュリティ対策を行うという考え方です。つまり、セキュリティの脅威を前に、ネットワークに内側も外側も存在しないということを示しています。
ローカルネットワーク内の安全は従来までの認識
ゼロトラストは、ローカルネットワークは安全だという考え方に警鐘を鳴らしています。従来、ローカルネットワークは安全であるといった前提のもとで、いかに外部からのセキュリティリスクに万全な対策を練るのかが重要とされてきました。しかし、近年ではローカルネットワークへの侵入を許してしまえば手立てがないことが問題視されています。
また、内部不正による情報流出の発生件数も増えており、今となってはローカルネットワーク内も安全とは言い切れない状況に直面しています。そのため、ネットワークを内と外で分けない考え方のゼロトラストが受け入れられるようになりました。
ゼロトラストを前提にしたセキュリティ対策を見直す企業が増えている理由とは
セキュリティの脅威が高まる中、ゼロトラストの考え方に沿ったセキュリティ対策を講じる企業が増えています。おもに、以下の3つの理由が挙げられます。
企業におけるクラウド化
膨大なデータの保管や管理が可能、導入が簡単といった理由から、クラウドサービスを利用する企業が増加傾向にあります。ただし、クラウドサービスのデータセンターは外部のサーバー上にあるため、実際のところはローカルネットワーク内外の境界線が曖昧な状況です。
従来のローカルネットワーク内は、安全という前提のもとでセキュリティ対策を講じています。そのため、自社のセキュリティの安全性はクラウドサービスのセキュリティ対策に一任しているといえるでしょう。万が一、データセンターで不正アクセスが発生すれば、ローカルネットワーク内にも侵入されるリスクが高まります。
内部不正による情報の外部流出
これまでのセキュリティリスクは、主に第三者による不正アクセスやサイバー攻撃でした。しかし、近年では内部不正による情報漏えいが問題視されています。内部不正とは、社員や関係者によって、会社の機密情報などの情報資産を外部に流出させる不正行為を指す言葉です。
自社には不正行為をする社員はいないという思い込みで内部不正に対する対策を怠れば、内部不正が起こってしまっては企業側の大損害は免れないでしょう。セキュリティ対策は起きてからではなく、未然に防ぐことが重要です。
テレワークにおけるネットワーク利用の増加
近年、働き方改革や感染症対策、ダイバーシティーの実現などの影響もあり、これまでとは異なる働き方の受け入れが必要とされています。その中の一つがテレワークの導入です。テレワークの実施により、社員は自宅からでも社内のネットワークを容易に利用できるようになりました。
その反面、ローカルネットワークと外部のネットワークとの境界線はさらに複雑化し、明確なラインを引けなくなっています。多様な働き方を認める施策が社内ネットワークを利用するリスクを高めてしまいました。
ゼロトラストネットワークによる認証の構造
ゼロトラストネットワークを導入した場合、どのようにセキュリティを強化できるのか、認証の構造について解説します。
信用スコア(信頼度)が高いユーザー・デバイスのみがアクセスできる
一般的なゼロトラストネットワークは、2段階の認証と認証の評価とで評価する仕組みです。最初の段階では、ユーザーやアプリケーションに対する認証が実施されます。例えば、アクセスが許可されているユーザーなのか、ウイルスに感染していないかなどの検証です。この段階ではじかれてしまった場合、次の認証段階へ進めません。
次の段階では、デバイスに対する認証が行われた後に、最終的な認証結果が信用スコア(信頼度)として評価されます。信頼が高いと判断されたユーザーやデバイスが、特定の情報やデータにアクセスできます。
ゼロトラストを理解する上で覚えておきたい用語
自社でゼロトラストを導入する上で、「エンドポイント」や「境界型セキュリティ」の用語を理解しておく必要があります。ここでは、用語の意味やゼロトラストとのかかわりについて詳しく解説します。
エンドポイント
エンドポイントとは、パソコンをはじめスマートフォンやタブレットなどの端末を指します。従来のセキュリティ対策上では、エンドポイントもローカルネットワークの一部として考えられていました。そのため、外出先で社内パソコンを使用して社内ネットワークを利用することもローカルネットワーク内という認識が一般的でした。
しかし、ゼロトラストを前提にしたセキュリティ対策を行う場合、そもそもネットワーク上で境界線は存在しないため、エンドポイント自体の信頼度は低くなります。そのため、エンドポイントごとにアクセス認証を行う必要性が求められています。
境界型セキュリティ
境界型セキュリティとは、社内ネットワークと社外ネットワークとの間に境界線を設け、社外からのアクセスを制限するといったセキュリティを強化して対策する考え方のことです。近年でも、多くの企業のセキュリティモデルとして広く利用されています。
社内ネットワークへのアクセスが許可されたユーザーやデバイスは、信用できるとお墨付きをもらって内部の情報を自由に閲覧できます。境界型セキュリティの代表的なものは、ファイアウォールや VPN(バーチャル プライベート ネットワーク)、プロキシサーバーなどが挙げられます。
企業がゼロトラストの考え方を取り入れるべき理由
ゼロトラストを前提にしたセキュリティ対策を見直すには、従来の境界型セキュリティの考え方を一新しなければなりません。より高いセキュリティ対策を実施するためには、システムの構築に時間やコストが必要です。しかし、それ以上にゼロトラストの考え方を取り入れるべき理由があります。
それは、社内と社外で境界を設けず、デバイスごとに管理できることです。万が一、社内ネットワークにウイルスが侵入しても、被害を最小限に抑えられるよう対策を施せます。また、クラウドサービスなどの外部のサーバーを利用する場合の対策としても有効です。
ゼロトラストにおけるセキュリティ課題
ゼロトラストの考え方を取り入れたセキュリティ対策を行うためには、いくつかの課題が残ります。まずは、いかにしてエンドポイントを保護し、管理していくのかという点です。ゼロトラストではネットワークに境界は存在しないため、エンドポイントごとにアクセス制限を設ける必要があります。これにより、エンドユーザーの利便性が低下する可能性もあります。
さらに、複数の認証や通信の暗号化を実行するなどの理由により回線が混雑し、パフォーマンスの低下につながるケースも少なくありません。
ゼロトラストの実現に向けて重要になる3つのポイント
ゼロトラストの実現方法は1つに限定されるものではありません。社内で利用するシステムのほか、ネットワーク構成についても考慮する必要があります。ここでは、ゼロトラストの実現に向けた重要ポイントを3つ解説します。
すべての通信アクセスを監視する
ゼロトラストの実現には、すべての通信アクセスに対して疑いをもって制限するといった前提を理解する必要があります。そのためには、段階を追ったセキュリティ対策を実施しなければなりません。例えば、ID やアクセスごとに信頼できないと検知し、アラートが発生した場合に備えた対策が不可欠です。
検知やアラートへの対策スピードが早いほど被害範囲を限定でき、システムの一部を停止させるだけで事業を継続できます。
ログを記録する
ゼロトラストの実現には、すべてのログを記録して検証する必要があります。ログは、管理システム内に不法に侵入されていないかを検知する際に用いる、実際に社内データが流出してしまった事後の分析に役立つなどの活用方法がある重要な情報です。
例えば、社内データに接続したデバイスや位置情報、ユーザー属性、インストールしたアプリケーションなどの取得情報を検証し、その結果がログとして記録されます。複数のログの分析により、第三者による攻撃なのか、内部不正なのかなどを絞り込むことも可能です。
アクセス権限の付与は必要最低限に絞る
ゼロトラストの考え方をセキュリティ対策に活かすなら、必要最低限の人数に絞って必要なアクセス権限を与えると良いでしょう。社内の関係者なら誰でもアクセスできるという緩い管理手法よりも、管理がしやすくなります。万が一、情報漏えいなどが発生した場合でも、まず社内での権限付与を行った社員を中心に原因を探れるなど、迅速な状況把握や管理が行えます。
まとめ
ゼロトラストは性悪説を前提にした考え方で、従来の境界型セキュリティでは限界があることを提言しています。企業におけるクラウド化やテレワークの導入などにより、社内ネットワークと社外ネットワークの境界線は曖昧になっています。ゼロトラストの実現によって、セキュリティ対策をこれまで以上に強化しましょう。
「Microsoft 365 E5 Security」は、マイクロソフト社が提供するセキュリティ対策を包括的に管理・提供するソリューションです。セキュリティの鍵となる ID を起点にセキュリティ機能を提供し、検知を強化しています。侵入を前提として、被害を最小限に留める設計が特長です。セキュリティツールのライセンスコストや運用負荷を下げ、トータルで発生するコストの削減が可能です。
