多くの企業にとってセキュリティへの脅威が増大する中で、注目を浴びているのが「ゼロトラスト」という考え方です。
これは、2010年にフォレスター・リサーチ社によって提唱された概念で、伝統的なセキュリティアプローチである「社内は安全、社外は危険」という考え方を根本から見直すものです。
この記事では、ゼロトラストの基本概念に加えて、具体的な実装方法や留意すべきポイントについて、分かりやすく解説します。
ゼロトラストは、ネットワーク内にあるリソース(ユーザーやサーバー、デバイスなど)のすべてを信頼せず、接続のつど安全性を検証し、社内外の脅威に対応するというセキュリティの考え方です。
従来のセキュリティ対策は、”社内ネットワークは安全で社外ネットワークは危険”という考え方が一般的で、内と外の境界を厳密に監視・制御しようというものでした。
境界部分にファイアウォールやIPSなどのセキュリティ機器を設置することで、外部からのサイバー攻撃を遮断することを目的としており、これを境界型防御と言います。
しかし、近年の働き方改革やハイブリッドワークの普及により、社内ネットワークに接続されていない端末や、社外に持ち出された端末から社内システムにアクセスする機会が増えています。
また、クラウドサービスの利用拡大により、社内外の境界が曖昧になってきて、境界型防御では十分なセキュリティ対策が難しくなってきました。
このような背景を受けて、近年注目されているゼロトラスト。
境界型防御の限界に対応するために、すべてのリソースを信頼せず、疑ってかかるというセキュリティアプローチです。
ユーザ、端末、ネットワーク、アプリケーションといったリソースすべてに対して、常に認証認可を行い、アクセス制御を厳格に行うことが特徴です。
これによって、社内外を問わず、セキュリティリスクを抑える対策をとることができるようになります。
ゼロトラストを提唱したフォレスター・リサーチ社では、2022年に「The Definition Of Modern Zero Trust」(最新のゼロトラストの定義)を発表しています。
この定義を紐解くと、ゼロトラストの基本的な概念は以下3点であるといえます。
ゼロトラストでは、内部と外部のネットワークの区別なく、すべてのリソースが信頼されていない前提となります。
そのうえで、接続のつど認証認可を行うことで、外部からの攻撃だけでなく、社内に潜んだ脅威にも対処するセキュリティ対策を実現することが可能。
内部は安全である、という従来のセキュリティ前提が、ゼロトラストでは変わることを理解しましょう。
ゼロトラストでは、信頼しないという前提のもと、認証と認可を組み合わせ、すべてのアクセスの検証を行います。
ユーザーやデバイスの身元が正しいのかを確認し、必要なアクセス権限を付与することで、アクセス検証を行い、より強固なセキュリティを実現するのです。
ゼロトラストでは、単一のセキュリティ対策に頼るのではなく、認証、アクセス制御、データ保護など、多層的なセキュリティ対策を実施します。
これにより、1つのセキュリティ対策を突破されても、他のセキュリティ対策で被害を防ぐことができます。
ゼロトラストを実現するための実装方法のことを「ゼロトラストセキュリティ」といいます。
ゼロトラストセキュリティは、多層的なセキュリティ対策を実施することで、あらゆるアクセスを検証し、セキュリティ強化を実現します。
ただ、これは単一の技術や製品を導入するだけで対応できるものではなく、複数の機能やソリューションを組み合わせて実現するものです。
ここでは、ゼロトラストセキュリティの主な機能5点について、説明します。
アカウント管理では、ユーザー認証の強化やアクセス権の制御を行うことで、不正アクセスやデータ漏洩を防ぎます。
多要素認証やIPアドレス制限、ロールベースアクセスコントロール(RBAC)などの技術を活用して、アクセス管理を実現します。
ネットワークセキュリティは、ネットワークトラフィックの可視性とセキュリティを確保するための重要な要素です。
ファイアウォール、インターネットゲートウェイ、仮想プライベートネットワーク(VPN)などの技術を使用して、ネットワーク内の通信を制御し、悪意のあるトラフィックをブロックします。
エンドポイントセキュリティは、パソコンやスマートフォン、タブレット端末などのエンドポイントを保護するための対策を指します。
エンドポイントとしてのデバイスそのものや、エンドポイントに保存している情報を、さまざまな脅威から守るためのセキュリティ対策を、エンドポイントセキュリティといいます。
ゼロトラストセキュリティでは、アプリケーションやデータの保護も重要なセキュリティ対策の要件となります。
アプリケーションレベルのセキュリティ制御やデータ暗号化、アクセスコントロールの実施など、アプリケーションとデータへのアクセスを厳密に制限します。
これにより、機密情報を不正アクセスから守ります。
リアルタイムでアクセス状況と通信内容を常に可視化し、不審な動きや異常な通信を検出・分析することも、ゼロトラストセキュリティ対策には必要となります。
異常を検出した際は、即座に管理者に通知を行うなどの対応が求められますが、プロセスを自動化することで、迅速なセキュリティ対策も可能となるでしょう。
ゼロトラストセキュリティは、すべてのアクセスを信頼せず、常に認証認可を行うセキュリティモデルであることは、前述の通り。
この考え方を理解せずに対策を進めてしまうと、従来の境界型防御と同じように、不正アクセスやデータ漏洩のリスクが高まってしまいます。
ゼロトラストセキュリティにおいて、必ず実施すべき対策は、以下の3点です。
パスワードのみで認証を行うのではなく、IDとパスワードに加えて、生体認証やOTP(One Time Password)などを組み合わせた認証を行うことで、不正アクセス対策を実現します。
とくに多要素認証では、パスワードに加えて、指紋認証や顔認証などの認証要素を組み合わせることで、なりすましやアカウント乗っ取りなどのリスクを低減できます。
エンドポイントは常に脅威にさらされています。
デバイスそのものを守るという観点で、エンドポイントセキュリティ強化のために、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)の導入は必須といえるでしょう。
EPPはデバイスにアンチウイルスソフトウェアの機能を提供し、マルウェアやウイルスからの保護を強化します。
EDRはエンドポイントがマルウェアに感染してしまったことを直ちに検知し、管理者への通知を行います。
外部からの攻撃を防ぐだけではなく、内部の人間が不正アクセスできないようにする仕組みも必要となります。
SWG(Secure Web Gateway)は、怪しいWebサイトへのアクセスをブロックしたり、マルウェア感染を防止したりすることを可能とする機能を持ちます。
また、さまざまなクラウドサービスへのアクセス管理には、CASB(Cloud Access Security Broker) を活用することも有効です。
CASBには、SaaSクラウドサービスを利用する際のセキュリティを提供する機能があります。
SWGやCASBを効果的に活用して、インターネット接続時のアクセス検証を厳密に行い、機密情報漏えいのリスク低減を目指しましょう。
ゼロトラストセキュリティは、従来の境界型防御では防ぎきれない高度化したサイバー攻撃に対して、有効な対策となります。
例えば、社内ネットワークに侵入された場合でも、ユーザーやデバイスの認証と認可を厳密に行うことで、不正アクセスの拡大を防ぐことができます。
また、ネットワークやデバイスを常に監視することで、万が一侵入されても、データの流出を防ぐための対策を打つことが可能となります。
今後は、ゼロトラストセキュリティを実現するための技術やサービスの進化が進むと考えられます。
例えば、クラウドの活用やモバイルデバイスの普及により、従来のように社内外の境界を明確にすることがますます難しくなるため、ゼロトラストセキュリティへの移行はさらに進むはずです。
また、AIや機械学習などの技術により、脅威の可視化や分析がより高度化され、ゼロトラストセキュリティの運用が効率化されていくでしょう。
本記事では、ゼロトラストセキュリティの基本的な考え方を理解し、実施すべき対策を確認したうえで、今後の展開を解説しました。
ゼロトラストセキュリティは、高度なサイバー攻撃や不正アクセス、データ漏洩の脅威に対する強力なセキュリティ対策となります。
クラウドやAIの進化により、このセキュリティアプローチは今後ますます重要となるでしょう。
企業は、ゼロトラストセキュリティの基本概念を十分理解し、必要な対策を実施することで、セキュリティを強化し、デジタル環境での安全性を確保するための一歩を踏み出すべきです。
とはいえ、一からスタートすると費用もコストもかかりますし、どう始めれば良いかわからないという企業様もいらっしゃると思います。
そのような方にぜひおすすめしたいのが、サイバーセキュリティ/ネットワークのセキュリティベンダーへの相談、もしくはアウトソーシングサービスの利用です。
この記事を提供しているNECネッツエスアイは、ゼロトラストセキュリティに関する深い知見とセキュリティ対策の多くの実績を持ちます。
何から始めれば良いかわからない、どのようなソリューションを導入すれば良いかわからないというご相談に応じ、強力にサポートいたします。
また、サイバーセキュリティ対策自体を、アウトソーシングで請け負うことも可能です。
これらに関してご興味をお持ちでしたら、まずはお気軽にお問い合わせください。
Sakanishi Kazuma
