近年、サイバー攻撃の脅威はますます高度化・複雑化しています。
従来のセキュリティ対策では、ネットワークの境界を守ることで情報資産を保護するという考え方が主流でしたが、境界を突破した攻撃や内部犯行などのリスクが高まっています。
このような状況下で、注目を集めているのが「ゼロトラストセキュリティ」です。
ネットワークの内部と外部を区別することなく、あらゆるアクセスを信頼せず常に検証するゼロトラストセキュリティモデルについて、解説していきましょう。
従来のセキュリティ対策とは、ネットワークの境界を守ることでセキュリティを担保する境界型セキュリティと呼ばれる考え方です。
ファイアウォールやIPS/IDSなどのセキュリティ機器を導入して、外部からの不正アクセスを防ぐことを目的とした方式のことを指します。
従来の境界型セキュリティには、以下の課題があります。
境界型セキュリティでは、社内はすべて安全、社外は危険という考え方のもと、境界部分を厳密に防御しようというものです。
しかし近年では、働き方の変革やデジタル化の推進によって、リモートワークの導入やクラウドサービスの活用が進み、ネットワークの境界がどんどん曖昧になってきています。
そして、社内外の境界が曖昧になることで、境界型セキュリティの効果が低下しているのです。
外部からの侵入や脅威だけでなく、内部からの攻撃にも対処しなければなりません。
内部からの攻撃とは、社内に侵入したマルウェアからの攻撃や、社内にいる従業員によって行われる悪意のある行為のことを指します。
境界型セキュリティ対策として設置した、ファイアウォールやIPS/IDSなどのセキュリティ機器の内側に入られてしまうと、社内システムへの侵入や機密データの盗難、漏えいなどの被害を受けてしまいます。
内部攻撃に対応できない従来の境界型セキュリティでは、非常にリスクが高いといえるでしょう。
サイバー攻撃はますます巧妙になり、従来のセキュリティ対策だけでは対処できない状況も増えています。
たとえば、ゼロデイ攻撃は、セキュリティ上の脆弱性を突いて行うものであり、対策は困難です。
また、標的型攻撃は、特定の企業を狙って組織的に行われるもので、これも境界型セキュリティ対策だけでは、防御は難しくなります。
サイバー攻撃はどんどん高度化・巧妙化しており、従来のセキュリティ対策だけですべてを防御することは不可能と言わざるをえません。
これらの課題を踏まえて、ゼロトラストセキュリティの導入が求められています。
境界型セキュリティの課題を踏まえたゼロトラストセキュリティとは、あらゆるリソースへのアクセスを信頼せず、常に認証と認可によってアクセスを制御するという考え方です。
ゼロトラストセキュリティを提唱したフォレスター・リサーチ社は、2022年に発表した「The Definition Of Modern Zero Trust」で、ゼロトラストセキュリティの基本的な概念は以下3点だと紹介しています。
ゼロトラストセキュリティの考えは、内部と外部のネットワークの区別なく、すべてのリソースが信頼されていない前提となります。
そのうえで、接続の都度、認証認可を行うことで、外部からの攻撃だけでなく、社内に潜んだ脅威にも対処することが可能です。
社内ネットワークに接続している従業員やデバイスであっても、常に認証と認可によってアクセスを確認することになり、内部は安全であるという従来のセキュリティモデルの考え方が、ゼロトラストセキュリティでは変わることになります。
ユーザー、端末、ネットワーク、アプリケーションといったリソースすべてに対して、常に認証認可を行い、アクセス検証を厳格に行います。
これによって、社内外を問わず、セキュリティリスクを抑える対策をとることができるようになり、その結果、より強固なセキュリティを実現するのです。
ゼロトラストセキュリティは、単一のセキュリティ対策に頼るのではなく、認証、アクセス制御、データ保護など、多層的なセキュリティ対策を実施するのも特徴の一つです。
これにより、一つのセキュリティ対策を突破されても、他のセキュリティ対策で被害を防ぐことができます。
ファイアウォールなどの境界型セキュリティ対策を活用しつつ、エンドポイントセキュリティや認証認可などの技術を組み合わせて、多角的な防御を実現します。
企業は、なぜ今、ゼロトラストセキュリティの対策を求められているのでしょうか。
その大きな要因から、3つお話します。
従来は、社内ネットワーク内にいれば、信頼できるユーザーやデバイスとして扱われていました。
しかし、リモートワークの普及により、社外から接続するデバイスが増え、従来の境界型防御だけでは、すべてのデバイスの制御や管理が困難になります。
そのため、社内外を問わずすべてのユーザーやデバイスを信頼せず、常に認証と認可によってアクセスを制御するゼロトラストセキュリティの導入が求められるのです。
クラウドやSaaSの利用が一般的になることで、企業の情報資産やシステムが社外に配置されることも増えてきます。
社内ネットワーク内だけを管理する従来の境界型防御では、外部の情報資産を守ることはできません。
社外に位置する情報資産を安全に保護するためにも、ゼロトラストセキュリティの導入が必須と言えるでしょう。
企業は、情報セキュリティに関するコンプライアンス強化のニーズが高まっています。
コンプライアンスとは、法令や規制などのルールを遵守すること。
情報セキュリティに関するコンプライアンスでは、情報資産を適切に保護することが求められます。
以下のようなコンプライアンス要件を満たす手段の中の1つとして、ゼロトラストセキュリティが活用されています。
| PCI DSS | クレジットカード情報の保護に関する国際基準 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントシステムに関する国際規格 |
| NIST SP 800-53 | 米国連邦政府の情報セキュリティに関するガイドライン |
企業が、ゼロトラストセキュリティを導入することで、以下のようなメリットが考えられます。
ゼロトラストセキュリティは、サイバー攻撃に対する強力な対策となります。
継続的に監視を続けることで、異変を早期に検知し、迅速な対応を取ることができます。
企業にとっては、サイバー攻撃のリスクを最小限に抑え、ビジネスの信頼性と継続性を確保することにつながります。
企業は、機密情報の漏えいリスクを極力抑えることができます。
ゼロトラストセキュリティの厳格なアプローチにより、すべてのアクセスは認証と認可に基づいて管理され、機密情報の流出を未然に防ぐことが可能となります。
これにより、重要なビジネス情報や個人データが外部に漏れるリスクを最小限に抑えることができるのです。
ゼロトラストセキュリティの導入により、従業員が異なる場所から安全にアクセスできる環境を提供できるようになります。
これにより、企業は従業員に多様な働き方を実現することができるようになり、高い生産性のもと、ワークライフバランスを実現することができます。
本記事では、ゼロトラストセキュリティが、近年の高度化したサイバー攻撃に対応するためのセキュリティモデルであることを解説しました。
ゼロトラストセキュリティの導入メリットとは、サイバー攻撃や情報漏洩のリスクを抑え、社員の多様な働き方に対応することができることです。
ただ、ゼロトラストセキュリティの導入といっても、何から手を付けていいかわからない企業の方も多いかもしれません。
重要なのは自社の環境や課題に合わせて導入を進めていくことです。
NECネッツエスアイでは、お客様のセキュリティ対策の現状を踏まえ、最適なゼロトラストセキュリティの環境をご提案いたします。
ゼロトラストセキュリティの導入やセキュリティ運用など、まずはご相談ください。
Sakanishi Kazuma
