ゼロトラストセキュリティとは、「何も信頼しない」ことを前提とする、ゼロトラストアーキテクチャを実現するための様々なシステムを使った対策のことです。テレワークの常態化やクラウドサービスの利用増に伴い、従来型の対策では対応しきれなくなったことから、企業の導入が増えている新しいセキュリティ対策の考え方です。
本記事では、ゼロトラストアーキテクチャの概要と実現するために必要な機能やソリューション、導入する際に注意したいポイントなどを解説します。自社のセキュリティ強化を検討しているなら、ぜひ参考にしてください。
ゼロトラストアーキテクチャとは
最初に「ゼロトラストアーキテクチャ」の概念や特徴について解説します。
ゼロトラストアーキテクチャとは
「ゼロトラスト」とは、Trust(信頼)が Zero(ゼロ)なので、「何に対しても信頼を与えない」という前提に立った、セキュリティ対策の考え方です。従来は社内システムが社内にあったため、社内と社外に情報の境界線(ファイアウォールなど)があり、社内→社外、社外→社内という、境界線を越える場合のリスク対策のみでもリスクが大きくありませんでした。
ところが、昨今の DX 化やリモートワークの拡大などにより、クラウドサービスの利用が増加し、会社の内と外という境界線の線引きが機能しなくなってきています。また、社内でも内部不正による情報漏えいのリスクも増え、このような背景から「ゼロトラスト」が注目されるようになりました。
ゼロトラストアーキテクチャの意味
「ゼロトラストセキュリティ」とは、クラウドを前提としたセキュリティを安全に実現するための「様々なシステムを使った対策」のことです。単一のセキュリティシステムや、特定の製品ジャンルのことではなく、多様なシステムを使って「ゼロトラストなセキュリティアーキテクチャを実現する」というのが、現状でのゼロトラストセキュリティの正しい意味となります。
具体的には、EDR や MFA、ID セキュリティ、CASB といった複数のシステムを組み合わせて、強固なセキュリティ対策を実現します。
ゼロトラストアーキテクチャの特徴
ゼロトラストアーキテクチャには、以下のような特徴があります。
脅威の被害の最小化を実現する
サイバー攻撃やシステム上における内部不正の発見は、初動対応が重要で正しく対処することで被害を最小限に抑えられます。ゼロトラストアーキテクチャは、クラウド上にある社内システムへのマルウェアや不正アクセスの侵入リスクを軽減する予防も取りつつ、脅威の被害の最小化も実現します。
代表的なソリューションが CASB(Cloud Access Security Broker)で、たとえば正しい ID とパスワードを使ってクラウドサービスへアクセスしてきたユーザーであってもログイン後も監視を継続します。その後も、通常と異なる不審な挙動やアクセス元の IP などを検査し正しいユーザーによる正しい操作かどうかを常に監視し内部不正や端末の乗っ取りによるサイバー攻撃の被害を防御します。
全てのアクセスに対して安全なネットワークを構築できる
ゼロトラストアーキテクチャには、ユーザーやデバイス機器、アクセス地点を問わず、全てのアクセスに本人認証を求める機能があります。これにより常にアクセス元ユーザーの操作を監視している状態となるため、不正アクセスのリスクを大幅に軽減できます。
こうした仕組みにより、デバイスやアクセス先、ネットワークにとらわれない安全なネットワークを構築できるのが、ゼロトラストアーキテクチャならではの特徴といえます。
ゼロトラストアーキテクチャが注目される理由
ここでは、ゼロトラストアーキテクチャが最近になって注目度が高まっている理由を解説します。
ビジネスの DX 推進
ゼロトラストアーキテクチャが注目される理由のひとつが、DX の推進です。政府はデジタル庁の創設や推進計画を制定し、国をあげた DX 化を急ピッチで進めています。ビジネスにおける DX 化が進むにつれ、業種・業態の境界線を越えてスピーディにビジネスを展開するために、社内外問わず様々な関係者が、クラウドサービスを通じて1つの IT 環境の中に入り交じるようになりました。
社内・社外の垣根がなくなり、従来のセキュリティ対策では対応しきれなくなったことから、ゼロトラストアーキテクチャの概念が必要になったのです。
クラウドサービスの利用拡大
社外からいつでもアクセスができ、導入・管理コストなどを抑えられることから、企業によるクラウドサービスの利用が増えています。クラウドサービスは、システムやアプリケーションが社内ネットワークの外にあり、コンプライアンスやセキュリティ確保のリスクが増大します。そのため、ゼロトラストアーキテクチャの対策が必要となったことが、その浸透・拡大に拍車をかけています。
リモートワークの常態化
新型コロナウイルスによる進んだリモートワークは、今や定着しつつあります。リモートアクセスが常態化し、社員のデバイスの多様化もあって、様々なリスクが増大しています。社外での端末利用によりセキュリティ境界がない環境で業務を行うことかは、サイバー攻撃の被害に遭いやすくなったことなどが想定され、これらの対策のために、侵入されることを前提としたゼロトラストアーキテクチャが注目されているのです。
ゼロトラストアーキテクチャ導入のメリット
ゼロトラストアーキテクチャを導入すると、どのようなメリットを得られるのでしょうか。
あらゆる場所・デバイスからのアクセスも安全
ゼロトラストアーキテクチャを導入すると、アクセスするデバイスやアクセス場所などにとらわれずに、安全なネットワークを構築できます。いつでも、どこからでもアクセスできることで、社員の柔軟な働き方を実現できます。これにより、ライフワークバランスや社員の満足度が向上し、業務効率化や生産性向上につながります。
より厳密なセキュリティシステムの実現
ゼロトラストアーキテクチャ導入の大きなメリットは、従来の境界型セキュリティに比べて、より堅牢なセキュリティシステムを構築できることです。アクセス権限の細分化など、認証と認可をより厳密にコントロールできるようになるので、一層厳しい情報管理が可能になります。
ゼロトラストアーキテクチャを実現するには
ここからは、ゼロトラストアーキテクチャを実現するために必要な機能や、導入すべきソリューションを解説します。
ゼロトラストアーキテクチャを実現する要素
ゼロトラストアーキテクチャを実現するために重要な機能としては、以下が挙げられます。自社で導入する際には、これらの機能が備わっているかを確認するようにしましょう。
ネットワークセキュリティ機能
従来のように社内ネットワークは安全と考えるのではなく、CASB やクラウドサービス標準の機能などを使って、クラウドサービスへのアクセスは常に監視できるようなシステムを構築しましょう。複数のクラウドサービスを利用する場合はセキュリティレベルを一定にすることができるので CASB がお勧めです。
デバイスセキュリティ機能
社外からネットワークにアクセスできるようになることで、それだけサイバー攻撃のリスクが増えることになります。そのため、社員が利用するすべての機器を管理して、許可されたデバイスのみアクセスを可能にすることで、リスクを回避しなくてはなりません。また、常時アップデートを行い、セキュリティ状態を常に最新にキープしておく必要もあります。
アイデンティティセキュリティ機能
ログイン ID やパスワードは、設定後も常に安全とは限りません。そのため、MFA(多要素認証)や、認証時に不審な挙動を検知するといった対策を行う必要があります。
ワークロードセキュリティ(CWPP)機能
クラウドサービスの進化に伴い、社員が使う VM、コンテナやサーバーレスといったシステムも監視・確認する必要も出てきました。CWPP サービスを活用すれば、社内の情報システム部門が把握していない仮想マシンやコンテナ、サービスを利用した場合の自動検知や通知ができるので、クラウド化が多い企業ではぜひ導入したい機能です。
データセキュリティ機能
このほか、データそのものを適切に管理・保存する必要もあります。DLP や IRM などで機密情報や内部情報の監視と保護、外的要因による情報漏えいを防止する機能を搭載したシステム等の導入で、セキュリティ強化を図りましょう。
セキュリティ状態の可視化と検証機能
また、SIEM などによりセキュリティ状態を可視化して、攻撃を受けた際の内容の検出や、分析・対応を行う体制も整備しておくようにしましょう。
セキュリティ運用の自動化を行う
セキュリティの監視や運用を効率的にかつ、継続的に行うには、セキュリティ運用の自動化も視野に入れておくようにしましょう。これにより、実際に問題が発生したときのデバイスの隔離や、脅威を排除するアクションが自動実行され、スピーディな解決を実現できます。
ゼロトラストアーキテクチャを実現するソリューション
ここまで説明してきた機能を備えたゼロトラストアーキテクチャの代表的なソリューションには、以下のものが挙げられます。
MFA(Multi-Factor Authentication、多要素認証)の導入
「MFA」とは、多要素認証のことで、ユーザーに本人確認のための要素を複数要求する認証方式のことです。二段階認証などで知られるように、ユーザー名とパスワードに加え、1つ以上の追加検証要素を要求します。これにより、なりすましを防ぎ、サイバー攻撃の最小化を図ります。
デバイス・サービスの利用認証を強化することで、ゼロトラストアーキテクチャを実現します。
EDR(Endpoint Detection & Response)の導入
「EDR」とは、組織内のネットワークに接続されているユーザーが利用する、パソコンやサーバーなどのエンドポイントからログデータを収集して、不審な挙動を検知したら迅速に管理者に伝え、管理者が対処するのを支援するソリューションです。
サイバー攻撃を阻止するだけでなく、攻撃者が組織内部に侵入した場合を想定して、迅速に検知・対応することで被害を最小化することが目的なので、急速に浸透しています。
SDP(Software Defined Perimeter)の活用
「SDP」とは、クラウドサービスおよびオンプレミスといった社内リソースにアクセスする際に、ソフトウェア(クラウドサービス)が関所のようにアクセスするユーザーやデバイスをすべてチェックし、制御と管理を行います。ユーザー認証やデバイス認証等を通じて、社内リソースへのアクセス制御を行うので、柔軟に制御ができ、サイバー攻撃によるビジネスリスクを低減します。
CASB(Software Defined Perimeter)の活用
CASB には様々な機能がありますが、ここではクラウドサービスへのアクセスを常時監視して、不審な挙動やいつもと異なる挙動を検出することで、ID/パスワードの漏えいや端末の乗っ取り、内部不正の被害を防ぎます。
ゼロトラストアーキテクチャ導入で確認すべきポイント
自社にゼロトラストアーキテクチャを導入する際に、注意したいポイントを解説します。
現状のセキュリティ環境を把握する
自社のセキュリティ環境を確認しておかないと、課題や導入すべきシステムが明確になりません。導入に際しては、まず現状を把握する必要があります。社内にセキュリティ担当部署や、その分野に精通した社員がいる場合は、必要なシステムやクラウドサービスを見極められるでしょう。社内に人材やノウハウなどのリソースが不足している場合は、IT 支援やソリューションサービスを提供している会社に依頼することも検討しましょう。
実現すべき項目の洗い出し
続いて自社のセキュリティ課題を元に、ゼロトラストセキュリティの実現のために不足している領域や実現すべき項目を整理してあるべき姿を設定します。そして、その中で優先順位を付け、対策を順次進めていくことをおすすめします。
必要なセキュリティ対策を精査する
課題や実現すべき項目を明確にしたら、それらに対応するクラウドサービスやシステムを決めていきます。導入にあたっては、効率的な運用ができる人材やリソース、体制づくりも必要となります。仮にこのような環境を整備できない場合は、セキュリティ分野をアウトソーシングする方法もあります。ゼロトラストアーキテクチャのソリューションの提供のほか、導入を支援する企業もあるので、必要であれば、これらの会社を利用することも検討しましょう。
導入コストを確保する
また、ゼロトラストアーキテクチャを構成するには、複数のセキュリティシステムの導入が必要となります。複数のセキュリティ対策システムを導入する必要があるため、導入コストの予算化も重要となります。
まとめ
ゼロトラストアーキテクチャは、従来型では脆弱でリスクが多かった企業のセキュリティ対策を、様々なシステムを活用して、堅牢かつ、リスクを最小化する対策の考え方です。デバイスやアクセス先、ネットワークにとらわれずに、安全なネットワークを構築できるのが特徴です。昨今のリモートワークの常態化や、クラウドサービス利用の増大などにより、この概念が注目されるようになりました。
ゼロトラストアーキテクチャを実現するには、EDR や MFA、CASB といった複数のセキュリティ対策を組み合わせて、強固なセキュリティ対策を構築します。自社に導入するには、事前に必要なセキュリティ機能を明確にして導入すべきソリューションを決め、同時に、運用する体制や環境整備が必要となります。自社にセキュリティ分野に詳しい人材やリソースが不足する場合は、これらを支援する会社にアウトソーシングする方法もあります。
SBテクノロジーは、ゼロトラストアーキテクチャを実現するソリューションを各種ご用意しております。様々な業種の豊富な導入実績を誇り、御社の状況や目的に合わせたシステムの導入を支援いたしますので、社内にセキュリティ専門の人材や設備が不足していても、安心してご利用いただけます。
また、弊社のマネージドセキュリティサービス(MSS)の活用により、コストや運用負担をかけずに、最大限のセキュリティ対策が実現します。リモートワークの定着やクラウド化などでセキュリティ強化を検討しているなら、SBテクノロジーの活用をぜひご検討ください。
