近年、「ゼロトラストセキュリティモデル」という考え方が注目を集めています。
本記事では、ゼロトラストセキュリティモデルの基本から具体的な要素を説明し、導入時に企業が直面する課題について解説していきます。
ゼロトラストセキュリティモデルの基本の考え方を理解したうえで、企業にとってどのようなメリットがあるのかを確認しましょう。
ゼロトラストセキュリティモデルとは、あらゆるアクセスにおいてユーザーやデバイスを信頼せず、常に認証・認可を行うというセキュリティモデルです。
従来の境界型セキュリティモデルでは、社内ネットワーク内は安全、外部ネットワークからは危険という考えに基づいて、ネットワークの境界を守ることでセキュリティを担保していました。
しかし現在では、クラウドやモバイルデバイスの普及により、社内外の境界が曖昧になったことで、境界を突破した攻撃や内部犯行などのリスクが高くなっています。
その現状を踏まえ、ゼロトラストセキュリティモデルが注目されているのです。
社内外を問わず、すべてのアクセスを「信頼できない」ものとして扱い、常に認証と認可を行うことで、データやシステムを防御することができます。
ゼロトラストセキュリティモデルの導入には、以下3点のメリットがあります。
内部も外部も信頼しないという前提のうえで、セキュリティを徹底的に強化することで、内部からの攻撃や情報漏洩を防ぐことができます。
ゼロトラストセキュリティモデルではセキュリティ対策が細かく分かれており、リスクも分散されるため、多層的なセキュリティ環境の構築を可能とします。
また、クラウドサービスとの連携がしやすく、ビジネスの柔軟性や継続性の確保に繋がるでしょう。
ゼロトラストセキュリティモデルとは、特定の技術やソリューションの名称ではなく、さまざまなセキュリティ技術を組み合わせて、企業のITシステム全体をカバーするセキュリティモデルです。
ここでは、ゼロトラストセキュリティモデルを以下の5つの要素に分類し解説します。
エンドポイントとなるPCやスマホ、タブレットなどの端末を管理し、脆弱性対策、侵入検知などを行い、健全性を維持するのがエンドポイントセキュリティです。
EPPやEDR、MDMなどが主要なソリューションとなります。
エンドポイントにおけるマルウェア対策ソフトウェア。リアルタイムでマルウェア等のサイバー攻撃を検出・駆除します。
アンチウイルスソフトウェアをEPPと呼ぶこともあります。
エンドポイントの脅威検知・対応プラットフォーム。EPPをすり抜けた攻撃を検知し、その後の対応を支援します。
不正アクセスや攻撃の手法を監視し、適切な対策を講じます。
モバイルデバイスの利便性を維持しつつ、業務端末としても利用できるよう、効率的なIT資産管理を行う仕組み。
業務アプリを配布する機能や、紛失時にリモートで業務データを削除するリモートワイプ機能も重要です。
ネットワークセキュリティは、ネットワーク内の通信を厳密に管理し、攻撃範囲を制限することを目的としています。
ネットワークセキュリティの具体的なソリューションを以下で説明します。
ZTNAとは、ユーザーやデバイスが企業ネットワークに接続する前に、認証や認可、暗号化などのセキュリティ要件を厳密に検証する機能です。
従来の VPNのようなネットワーク接続方式ではなく、特定のアプリケーションやサービスへのアクセスを細かく制御し、強固で安全なセキュリティを実現します。
SWGは、エンドポイントがインターネット接続を行う通信を対象に、不正なアクセスや危険なサイトからデバイスを守るためのソリューションです。
Webサイトやクラウドサービスとエンドポイントとの間で、やり取りするデータをチェックし、不正なWebサイトへのアクセスをブロックしたり、マルウェア感染を防止したりすることを可能とします。
CASBは、クラウドサービスへのアクセスを管理し、データの保護、アカウントの管理、コンプライアンスを実現します。
企業として認めていないデバイスやクラウド利用(シャドーIT)を制御し、許可しているクラウドの利用を可視化し情報漏洩や不正使用を防止します。
アクセスしようとしているユーザーが、間違いなく本人であるか判定するのが「認証」であり、目的のリソースへのアクセス可否やアクセス範囲、データへのアクセス権限を制御するのが「認可」です。
ID管理、多要素認証、シングルサインオン(SSO)などの手法を使って、認証・認可を行い目的のリソースにアクセスできるようになります。
アクセスするユーザーの認証を行ったうえで、正当な権限を持っているかどうかを確認し、必要な権限を付与するのがID管理です。
多要素認証は、ユーザーが複数の認証手段を提供することでアクセスを許可する仕組みです。
パスワードなどの「知識情報」、スマホなどの「所持情報」、指紋や顔などの「生体情報」のうち、2つ以上の要素を組み合わせて認証を行い、認証精度を高めます。
シングルサインオンは、一度の認証で複数のシステムにアクセスできる仕組みです。
ユーザーが複数のアプリケーションやサービスに個別に認証する必要がなくなり、利便性が向上します。
クラウドサービスを活用する企業が増える中、クラウド環境でのセキュリティも極めて重要です。
クラウドセキュリティでは、複数のクラウド環境管理、情報漏えいの防止、データの暗号化などを重要視する必要があります。
CSPMとは、複数のクラウド環境のセキュリティを統合的に管理するソリューションです。
CSPMを導入することで、マルチクラウド環境の利用状況を可視化し、設定ミスやインシデントが発生していないかを効率的に管理することができます。
DLPとは、機密情報を識別し、不正な持ち出しや外部への漏えいを防止するためのソリューションです。
DLPは、オンプレミス環境かクラウド環境にかかわらず、特定データの移動やコピーを自動検知し、遮断する機能が備わっており、細かな制御を可能にします。
クラウド環境でのデータは、保存時や転送時に強力な暗号化アルゴリズムを使用して暗号化されるべきです。
データが保存されたり転送される際に、万が一不正なアクセスがあっても、暗号化されたデータは保護され、無効な情報となります。
セキュリティ状況を可視化し、分析・自動化することで、セキュリティ運用の効率化を図り、迅速なセキュリティ対応を実現します。
ログの可視化やセキュリティインシデントのパターン分析、自動化された対策の導入によって、攻撃や異常な挙動に対する効果的な対策が実現されます。
SIEMは、セキュリティイベントやログデータを収集、監視、分析し、異常な活動を検出します。これにより、セキュリティインシデントへの早期対応が可能となります。
SOARはセキュリティイベントに対する自動化された対応を提供します。
これにより、セキュリティ管理者は定型的なタスクを自動化し、より高度な分析や対策に集中できます。
従来に比べ、ゼロトラストセキュリティモデルでは複数の製品やソリューションを導入することになるため、費用面や使い勝手、運用管理面での課題などが考えられます。
ゼロトラストセキュリティモデルを導入するには、ある程度の初期投資とランニングコストの増加が避けられません。
製品ライセンスや導入費用に加え、セキュリティ運用コストが発生するため、事前に算出しておき適切な予算を確保する必要があります。
複数の認証をパスしないとシステムにアクセスできず、アクセス可能な範囲も最小限に限定されます。
これは使い勝手がいいとは言えず、不便に感じるユーザーもいるかもしれません。
しかし、認証が強化されることでシングルサインオンができるようになったり、セキュリティの強度が上がって情報漏えいのリスクも低減し、ユーザーの生産性が上がるメリットもあります。
セキュリティ全体に対するユーザーの意識改革を含めた取り組みが求められます。
ゼロトラストセキュリティモデルでは、複数のセキュリティ製品やサービスを組み合わせて運用する必要があり、運用管理の複雑化が懸念されます。
また、既存システムとの連携も考えなくてはならず、多様なデバイスやアプリケーションも統合管理しなければなりません。
運用面での専門性が求められるため、従業員のトレーニングや体制の見直しを行い、効果的な運用を確保する必要が出てくるでしょう。
ゼロトラストセキュリティモデルは、あらゆるアクセスを常に信頼せず、認証認可を必要とする考え方です。
ただ、運用のためのリソース確保やコストなどを考えると、なかなかすぐに導入に踏み切れないということもあるのではないでしょうか。
そのようなときは、アウトソーシングという選択肢をぜひ検討してみてください。
NECネッツエスアイでは、ゼロトラストセキュリティ導入後のセキュリティ運用アウトソーシングも提供しています。
ゼロトラストセキュリティの導入検討において、NECネッツエスアイのセキュリティ運用アウトソーシングサービスをぜひご検討ください。
Sakanishi Kazuma
