次世代セキュリティ「ゼロトラスト」とは? 概念や仕組み、導入を分かりやすく解説
企業や行政機関に情報セキュリティの対策強化が求められる昨今、新たなセキュリティモデルとして、「ゼロトラストセキュリティ(以下、ゼロトラスト)」が注目されています。従来の境界型セキュリティに代わるモデルとして、ウィズコロナを考慮した新しい働き方に対応するセキュアな環境を構築できる点が評価されているのです。この記事では、ゼロトラストが注目される背景や従来モデルとの違い、システム構築のポイントなどをそれぞれ解説していきます。
「ゼロトラスト」とは
ゼロトラストとは、米調査会社Forrester Research社のアナリストだったジョン・キンダーバグ氏が、2010年に提唱した次世代ネットワークセキュリティの概念で、「何も信頼しない(ゼロトラスト)」ことを前提に、社内システムの検査などを試みようとする方法です。
ゼロトラストは米国立標準技術研究所(NIST:技術や産業、工業などに対して規格標準化を行う政府機関)が掲げたセキュリティ原則を踏襲しており、こうして考え出されたサイバーセキュリティの設計図は「ゼロトラストアーキテクチャ」と呼ばれます。
境界型セキュリティ「ペリメタモデル」との違い
そもそもゼロトラストモデルと、従来の境界型セキュリティ「ペリメタモデル」はどのように異なるのでしょうか。一般的にペリメタモデルでは、“社内ネットワークは安全で、社外ネットワークは危険”とした考えを元にしています。企業が監視・管理できる内部ネットワークと、外部ネットワークの境界を定義し、ファイアウォールなどの壁を設置。外部からやってくる脅威に対して、その都度対処するといったセキュリティモデルです。
ペリメタモデルに対し、ゼロトラストモデルでは“完全に信頼できるものは何もない”といった思想が根本に存在しています。この理由の一つには、企業を取り巻くネットワーク環境が複雑化したことで、企業の内部ネットワークと外部ネットワークの定義そのものが曖昧になったことが挙げられます。また、オフィスなど企業の監視・管理下にある物理的空間で働くといった前提が、働き方改革や新型コロナウイルス感染症などの影響により崩れ、運用ベースでのセキュリティの限界がきていることも大きな理由の一つです。
ゼロトラストが注目される背景について
ゼロトラストが注目される背景には、情報セキュリティ事故の増加などが挙げられます。
株式会社東京商工リサーチが発表した調査「上場企業の個人情報漏えい・紛失事故」(上場企業とその子会社が対象)によると、2019年に公表された情報漏えいや紛失事故は86件(66社)で、漏えいした個人情報は903万1,734人分でした。また、2012年~2019年の累計事故件数は685件で、社数では372社。この数は、全上場企業(約3,700社)の約1割に匹敵する数だといいます。流出件数は累計8,889万人で、単純計算すると日本人口の約7割の個人情報が漏えい・紛失したことになります。
また、働き方改革や新型コロナウイルス感染症などの対策として導入が進むテレワークの増加も、ゼロトラストが注目される要因です。従来は、企業内に構築されているネットワーク環境から会社のシステムにアクセスしていましたが、テレワークが増えた昨今では、社外のネットワーク環境から会社のシステムにアクセスする機会が増えています。外部のネットワーク環境は悪質なマルウェアやランサムウェアなどの危険を孕むため、従来型のセキュリティではすべてに対処しきれません。このような社会的背景などから、今後もゼロトラストへの注目度は高まるでしょう。テキストテキストテキストテキスト
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティのメリットは、大きく分けて「情報漏えいリスクの軽減」「認証の利便性が向上」「テレワーク・分散型オフィス環境にフィット」の3つが挙げられます。では、それぞれのメリットについて具体的に解説していきます。
情報漏えいリスクの軽減
ゼロトラストセキュリティでは、ペリペタモデルよりも、情報漏えいのリスクを一層軽減できると言われています。これまで説明したように、“何も信頼しない”といった思想がゼロトラストモデルの大きな特長です。社内や社外の従業員、また、社内ネットワークや社外ネットワークなど内外の区別によらず、すべてを脅威の対象としてシステムを運用するためセキュリティレベルは格段に向上します。
認証の利便性が向上
従来のセキュリティモデルのパスワード設定では、使い回しを禁止にしたり、複雑で長いパスワード設定が必要だったりと、従業員にかかる負担が大きい運用となっていました。しかし、ゼロトラストセキュリティはシングルサインオンや多要素認証など新しい方式に対応でき、個々が複雑なパスワードを設定したり運用したりする必要がなくなるため、利便性が一層高まります。
テレワーク・分散型オフィス環境にフィット
従来型のセキュリティではオフィスなどを増やす場合、仮想VPNアプライアンスや回線整備といった複雑なシステムの構築が不可欠でした。しかしゼロトラストは、セキュリティシステムそのものがクラウドベースです。拠点の場所や数を問わずスピーディーにセキュリティ環境を整えることが可能です。したがってテレワーク環境や、拠点を複数構える分散型オフィス環境にフィットするセキュリティモデルであると言えるでしょう。
ゼロトラストモデルが抱える課題
同時に、ゼロトラストモデルにも課題が存在します。すべてを脅威とみなし信頼性を判断するため、アクセス認証や権限の付与といった作業が多発してしまう可能性があるのです。こうした作業が増えてしまうと、業務に負担がかかるのはいうまでもありません。
そもそも、ゼロトラストセキュリティが判断する「信頼性」は流動的なものです。現段階で信頼できるユーザーであったとしても、その先は何の保証もありません。アクセスに使われたIDやパスワードが“本当に本人が利用したのかどうか”は、高度なセキュリティ技術と言えど、完璧に判断することは難しいでしょう。
ゼロトラストセキュリティの実現に向けて
ゼロトラスト(ゼロトラストセキュリティ)と聞くと、こうした名前のシステムが存在すると思われるかもしれません。しかし冒頭で説明したように、これらはあくまでセキュリティに関する一つの新たな考え方。つまり、ゼロトラストセキュリティと呼ばれるシステム自体は存在していないのです。では一体、何がゼロトラストセキュリティを実現するものとなるのでしょうか。ここでは、ゼロトラストの要となるソリューションや手法などについて具体的に解説していきます。
ゼロトラストの実現に不可欠な「EDR(Endpoint Detection and Response)」
「EDR(Endpoint Detection and Response)」とは、エンドポイント(ネットワークに接続されたPCやタブレット、スマートフォンなどの端末)の操作や挙動を監視し、検知した脅威へ対策を講じるエンドポイント保護製品です。マルウェアやランサムウェアといった悪質なプログラムによる被害を最小限に抑えるため、これらを一早く検知し、スムーズに除去するほか、サイバー攻撃の原因調査などにも役立ちます。
昨今のEDRは、SaaS型(クラウドで提供されるソフトウェア)で提供されるサービスも増えており、大掛かりな設備がいらず、導入も非常にスムーズ。また、最新のセキュリティを担保するためのアップデートなどにも素早く対応しています。
クラウドサービス運用の要「CASB(キャスビー)」とは
「CASB(Cloud Access Security Broker:キャスビー)」とは、米ガートナーが2012年に提唱したセキュリティの概念です。ユーザーとクラウドサービスの間にコントロールポイントを設置し、利用状況をチェックし制御することで、強固なセキュリティ体制を構築できるという考え方です。また、これらを実現するためのセキュリティソリューションを指すケースもみられます。
エンドポイントを守るEDRとは異なり、CASBは主にクラウドサービスに関する利用状況の可視化や、不正な挙動の検知などに特化しています。
昨今のセキュリティ事故は、従業員によるクラウドサービスへの不正アクセスなども要因となっており、こうした不正アクセスを可視化し遮断するCASBは、クラウドサービスの安全な運用に大きく貢献できるでしょう。
シーイーシーでは、エンドポイントやクラウドに潜むセキュリティリスクの脅威から身を守るセキュリティソリューション「Cyber NEXT」を提供。システムの設計から構築 、運用までを、専門集団がトータルでサポートしています。また、CASBをサブスクリプション(月額定額制)で利用できる「マネージドCASB」も提供しています。
多要素認証によるPCセキュリティの強化
EDRやCASBに加え、ゼロトラストセキュリティを補完するソリューションとして、多要素認証によるPCセキュリティの強化が挙げられます。この多要素認証とは、認証の3要素「知識情報(パスワードやPINコードなど)」「所持情報(ICカード)」「生体情報(指紋や声紋、静脈など)」のうち2つ以上を組み合わせた認証方法。パスワードのみによるセキュリティチェックが危ぶまれる中、非常に注目される手法の一つです。
シーイーシーでは、こうした多要素認証を活用するセキュリティソリューション「SmartSESAME PCログオン」を提供。お客様のさまざまなセキュリティ対策の要望にお応えしています。
ゼロトラストセキュリティの構築についてはシーイーシーにご相談を
「ゼロトラスト」に関する理解は深まりましたでしょうか。リモートワークの導入などによってセキュリティリスクが高まる昨今、これらシステムの見直しはあらゆる企業にとって死活問題になるでしょう。
シーイーシーでは、ゼロトラストセキュリティを構築するに当たって必要になるノウハウや、ソリューションをご提供しています。「ゼロトラストの具体的な構築方法が分からない」「自社のネットワーク環境で導入できるのか不安」など、さまざまな悩みをお聞かせいただけると幸いです。
関連サービス情報
クラウドサービスへの通信を可視化し重大インシデントを防止する「マネージドCASB」
ICカードや生体認証でPCセキュリティを強化「SmartSESAME PCログオン」
信頼できるSOCを選ぶ
ーシステムインテグレーターのSOCをお勧めする3つの理由ー
SOCを選定する際のポイントとは?
多くの企業・組織では、セキュリティ運用の一部をSOC(Security Operation Center)事業者に委託するケースが一般的になりつつありますが、「期待した効果が出ない」などネガティブな意見も耳にします。 セキュリティ運用に失敗しないためにも、委託元の信頼に足るSOC選びが重要です。内容
- はじめに
- SOC選定前の2つの考察ポイント
- SOC選定時の10のチェックポイント
- システムインテグレーターのSOCを推奨する3つのメリット