コロナ禍に伴うテレワークの急速な普及により、各社ネットワークのセキュリティについての課題が浮き彫りになってきています。その課題を解決に導くのが「ゼロトラスト」と呼ばれる概念です。

本記事では、ゼロトラストについて、メリットやデメリット、導入方法などを解説していきます。

ゼロトラストとは

ゼロトラストは、「社内外すべての通信を信頼しない」という考え方に基づくセキュリティの概念で、厳格なID管理と動的なアクセス制御によりセキュリティを担保します。

たとえばIDの内容により社内の限られた領域へのアクセスを許可したり、なりすましが疑われる場合にはアクセスを遮断したりといった対応をとっていきます。

従来の境界型のセキュリティモデルは信頼されたエリアからのアクセス・認可を省略するモデルでしたが、これでは一度アクセスを許可した端末・ユーザーや、信頼内部ネットワークでの脅威に対して防御ができません。

ゼロトラストセキュリティモデルにおいては、内部での脅威によるリスクを低減するためにリソースやデータへのアクセスを都度認証・認可することを基本としています。

ゼロトラストに関心が寄せられる背景

従来のセキュリティでは、外部からの通信を特にリスクの高いものと判断し、危険性のある通信を検知・排除してきました。しかし、昨今のコロナ禍に伴うテレワークの普及などにより、社内の通信についてもリスクがあると認識されてきています。

そこで、社内と社外で通信を区別しない「ゼロトラスト」の考え方が広まりました。ゼロトラストの考え方と同時に、パソコンやサーバーが攻撃されてしまった際に、その影響範囲をなるべく抑え、早期に復旧させる「サイバーレジリエンス」の考え方も注目されています。

サイバーレジリエンスの詳細については、「サイバーレジリエンスとは?その導入ポイントや必要な機能について解説!」にて解説していますので、あわせて参考にしてください。

ゼロトラストの事例について興味がある方は、「ゼロトラストの導入事例 各社はこのように導入している」をご覧ください。

ゼロトラストを導入することのメリット

ここからは、ゼロトラストの導入によるメリットをみていきましょう。

社内ネットワークへ柔軟にアクセスできる

ゼロトラストを導入していると、セキュリティをある程度担保できるようになるため、いつでもどこでも柔軟に社内ネットワークへアクセスできるようになります。

このことから自社のテレワーク導入を加速でき、家庭の事情で辞職せざるを得なかった社員なども継続して勤務することが可能です。またオフィス以外の場所でも勤務できるようになるため、通勤時間も短縮できます。

不正アクセスの可能性を抑えられる

これまではシステムがIDやパスワードのみの認証だったため、サイバー攻撃の標的になりやすかったのですが、多要素認証などで認証基盤を強化すれば、攻撃を受けたとしても突破されにくい仕組みの構築が可能です。

特に社内のシステムやクラウド上にあるシステムを社外から使用する際に有効で、複数の要素で認証を実施することにより不正アクセスの可能性を低減できるのです。

境界型セキュリティで防げない脅威にも対処できる

ゼロトラストは、全通信の認証を実施するため、社内の不正な通信も防ぎやすくなります。境界型のセキュリティシステムは社外と社内の間で防御をするだけでしたが、ゼロトラストの概念を導入することにより、内部での不正などにもある程度対処していけるようになります。

ゼロトラストの実現には課題もある

これまでゼロトラストの考え方には大きなメリットがあることをお伝えしてきましたが、ゼロトラストの導入は容易ではありません。その導入にあたっての課題を順番にみていきましょう。

自社に適した商品・サービスの選定

昨今では、各社から様々なゼロトラスト関連のソリューションがリリースされていますので、自社の課題や業務特性を適切に把握したうえでサービスを選ぶ必要があります。

場合によってはフルスクラッチで、一からのゼロトラスト関連の仕組み構築を検討することも必要です。構築ベンダー選定の際にも、自社の課題に対して最適なソリューションを提供するベンダーを選びましょう。

ゼロトラストの構築に要するコスト

ゼロトラストには新しい仕組みが多く、導入にあたっても相応のコストを要します。また一般的な情報システムと同様に、導入した後もシステムの運用業務が少なからず発生するので、運用担当者の負荷を極力抑えられるように運用設計も含めて導入を進める必要があります。

セキュリティの強化による利便性の損失

ゼロトラストによるセキュリティ強化は利便性とトレードオフの関係にあり、特に通信ごとの認証によって業務の利便性の面では大きく負荷が増えていきます。

既存業務にどの程度ゼロトラストを導入するかは、業務フローと照らし合わせながら検討しましょう。

ゼロトラストをどのように導入していくか

ゼロトラストの導入にあたって、まずはゼロトラストアーキテクチャの定義から確認していきましょう。米国国立標準技術研究所が発行しているNIST SP800-207では、ゼロトラストアーキテクチャの基本的な考え方は以下の通りと説明されています。

  • すべてのデータソースとコンピューティングサービスをリソースとみなす
  • ネットワークの場所に関係なく、すべての通信を保護する
  • 企業リソースへのアクセスは、セッション単位で付与する
  • リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
  • すべての資産の整合性とセキュリティ動作を監視し、測定する
  • すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
  • 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

これらの基本的な考え方を元に、自社にあったゼロトラストモデルを検討していくことがポイントです。

ゼロトラストを成り立たせる仕組み

最後にゼロトラストを成り立たせる仕組みについて、一つずつみていきましょう。

エンドポイントセキュリティ

「エンドポイント」とは、末端の機器(PC、サーバー、スマートフォン、タブレットなど)を指します。これらの機器についてのセキュリティ対策が「エンドポイントセキュリティ」です。

ウェブルートのエンドポイントセキュリティソリューションについては「Webroot® Business Endpoint Protection」をチェックしてみましょう。

ウェブルートの総合セキュリティプラットフォームについてはこちらをチェックしてみましょう。

エンドポイントセキュリティの詳細については、「エンドポイントセキュリティ導入でビジネス環境を整える!その重要性やメリット・注意点、サービスの選び方について」にて解説していますので、あわせて参考にしてください。

MFA(Multi-Factor Authentication)

MFAは多要素認証のことです。認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証します。

SASE(Secure Access Service Edge)

SASEは、ネットワークとセキュリティの複数機能を包括的にクラウドから提供するフレームワークで、デバイスや利用者のロケーションに依存しないセキュリティを提供できます。

SOAR(Security Orchestration, Automation and Response)

SOARは、セキュリティ運用を自動化・効率化するツールのことです。インシデント管理機能、インシデント対処の自動化、脅威の自動検知などの機能があります。

CASB(Cloud Access Security Broker)

CASBは、従業員とクラウドサービスとの通信を監視し、外部サービス利用の可視化や制御を実施することです。データを電子媒体に書き込ませないなど、ローカルでのセキュリティポリシー適用と組み合わせて運用します。

ゼロトラストの導入で安全性の高い通信を

ゼロトラストの概念を取り入れることで、昨今のテレワークをはじめとする社内ネットワークの課題に対応できます。コストや利便性の損失など考慮すべき点はあるものの、ゼロトラストの持つメリットは大きいといえます。

ゼロトラストの導入で安全性の高い通信をしていきましょう。