お役立ち資料
Introduction
従来のセキュリティ対策の考え方は、ファイアウォールに守られた社内ネットワークのなかを守る「境界型セキュリティ」が主流でした。ところが近年は、リモートワークが普及し、クラウドサービスの利用も増えてきました。
そのため、社内ネットワークのなかを守るだけでは、社外で使用するデバイスなどを守れません。そこで必要とされているのが、ゼロトラストの考え方です。
この記事では、ゼロトラストとは何か、必要とされる背景、実現のためのソリューション、NISTが定める7つの原則などについて解説します。
目次
ゼロトラストとは?
ゼロトラストとは、セキュリティ対策において、信頼(トラスト)を何に対しても与えない(ゼロ)という考え方です。
ここでは、ゼロトラストとはどのような考え方なのかをご説明します。
利用者やデバイスをつねに監視・確認する、ネットワークセキュリティの考え方
企業などのセキュリティ対策を考える際、社内ネットワークの内側は信頼できる空間で、外側は信頼できないと区別するのが普通でした。このような従来のセキュリティ対策の考え方を「境界型セキュリティ」と呼びます。
しかし、リモートワークが普及し、タブレット端末などを社外にもち出す働き方が増えました。ネットワークの内側だけでなく、外側も守る必要があるため、従来の境界型セキュリティだけでは守れない部分が増えてきたのです。そこで生まれたのが、社内ネットワークの内側も外側も、どちらも信用すべきではないという「ゼロトラスト」の考え方です。
政府 CIO 補佐官等ディスカッションペーパーの『政府情報システムにおけるゼロトラスト適用に向けた考え方』によると、ゼロトラストは以下のように定義されています。
ゼロトラスト
利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定、常に監視・確認する次世代のネットワークセキュリティの考え方
社内ネットワークの枠にとらわれず、各デバイスをつねに監視・確認する必要があることがわかります。
では、具体的にどのレベルでセキュリティ対策を講じる必要があるのでしょうか。NIST(米国国立標準技術研究所)の『ゼロトラスト・アーキテクチャ』によると、ゼロトラスト・アーキテクチャは、以下のような考え方のもとで設計・展開するとされています。
1.すべてのデータソースとコンピューティングサービスをリソースとみなす
2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスは、セッション単位で付与する
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5.すべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7.資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
これらの考え方については、後ほどNISTが定めるゼロトラストの7原則でご説明します。
▽あわせて読みたい▽
>>ゼロトラストとは?定義や課題、実践アプローチについて解説のページへ
VPNにおける課題
社外から社内ネットワークにアクセスする際は、共用回線よりも安全性の高い、VPN接続(仮想専用通信網)が広く利用されてきました。
しかし、VPNによる運用には課題もあります。テレワークやクラウドサービスが普及したことでトラフィックが増加し、VPNの通信品質が低下しています。また、VPNの脆弱性を狙ったサイバー攻撃も増えており、問題視されているのです。
このようなVPNの課題も踏まえて、ゼロトラストの導入を検討するべきでしょう。
ゼロトラストが注目されている背景
ゼロトラストの考え方が注目されはじめている背景には、クラウドサービスの普及や働き方、デバイスの多様化などさまざまな点があります。
ここでは、ゼロトラストがなぜ注目されはじめたのか、その背景についてご説明します。
クラウドサービスの普及
社内に専用サーバーやソフトウェアなどを用意するのではなく、クラウド上のサービスを利用する企業が増えてきました。社内システムやファイルサーバー、社内で使用するアプリケーションなども、クラウド化が進んでいます。
しかし、社内ネットワークのなかだけを守る、従来の境界型セキュリティの考え方では、クラウドサービス利用時のセキュリティ対策が不十分です。社外のクラウドサービス利用についてもセキュリティを担保できる、ゼロトラストの考え方が必要といえます。
働き方やデバイスの多様化
近年では、リモートワークを主体とした働き方が増え、利用するデバイスもタブレット端末やスマホなど多様化が進んでいます。その結果、社内ネットワークのなかを守るだけでは、セキュリティ対策として不十分になりつつあります。
内部不正リスクの増加
もち運びしやすいタブレット端末や、スマホなどを利用するケースが増えた結果、社員によるデバイスのもち出しなども起こりやすくなりました。内部不正による情報漏洩のリスクが増大し、社内ネットワークのなかも安全とはいえなくなっています。
DX推進
多くの企業がDXを推進するなかで、社内システムのクラウド化やリモートワークの普及、デバイスの多様化などが急激に進んでいます。その結果、上記でご説明したように、従来の境界型セキュリティの考え方だけでは、社内のセキュリティを守れなくなりつつあります。DXを推進するためには、ゼロトラストによるセキュリティ対策が必要不可欠といえるでしょう。
ゼロトラストを導入するメリット
企業や組織のセキュリティ対策に、ゼロトラストの考え方を導入することで、従来の対策よりも多くのメリットを得られることがあります。
ここでは、ゼロトラスト導入のメリットについてご説明します。
場所を問わず、安全なネットワーク環境を構築できる
従来の境界型セキュリティの考え方だと、社内ネットワークのなかなど一定の範囲内しか守れません。一方、ゼロトラストの考え方では、どのエリアも信用しないというポリシーのもとで対策を行うため、場所を問わず安全な環境を構築可能です。
セキュリティレベルが向上する
ゼロトラストの考え方では、1セッションごとに複数の要素を組みあわせた認証を実施するなど、セキュリティレベルの向上が期待できます。また、アクセス権限のポリシーをより厳密に設定できるようになり、情報管理の精度が高まるというメリットもあります。
セキュリティ管理が効率化される
セキュリティレベルの設定などをクラウド上で一元的に管理するため、管理作業が効率化されます。また、社内ネットワークのなかだけでなく、遠隔地の拠点のセキュリティ管理も可能です。
ゼロトラストを導入する際に行うべきこと
ゼロトラストの導入時に行うべきことがあります。せっかく導入してもセキュリティレベルがあがらない、うまく機能しないなどが起きないよう、導入前に知っておくべきことをご説明します。
優先順位を決めてから導入を進める
ゼロトラストに対応したセキュリティ製品は多く、どれを選ぶべきか、どの機能から導入すべきかを検討する必要があります。その際は、最初からすべての機能を導入するのではなく、優先順位を決めて優先度の高いものから導入しましょう。社内の運用方法なども検討して、少しずつ運用していくことをおすすめします。
ID管理を強化する
管理者権限をもつIDと、アクセス権限のみのIDを厳密にわけるなど、ID管理の強化も重要です。社員の誰もがフルアクセスできるIDをもつような管理方法だと、内部不正を簡単に実行できてしまい、セキュリティ対策の意味がありません。
多要素認証を導入する
認証要素がIDとパスワードの一組のみなどの場合、一度認証が破られてしまうと、不正アクセスを防げません。そのため、生体認証やワンタイムパスワードなど、複数の認証を組みあわせる必要があります。
行動履歴を記録・精査する
対象となるデバイスのアクセス履歴などを記録し、いつでも精査できる状態にしておく必要もあります。記録をつねに分析することで、不審なアクセスを早期に特定でき、不正アクセスなどを未然に防ぐことが可能です。
ゼロトラスト実現のために必要なソリューション
ゼロトラストをとり入れたセキュリティ対策の実現のために、必要なソリューションについてご紹介します。
ユーザー認証
ユーザー認証は、どのようなシステムやアプリケーションにも必須といえる機能です。代表的なソリューションとしては、以下のようなものがあります。
・IDaaS:クラウド上で認証情報の管理を行うサービス
エンドポイントセキュリティ
ネットワークの末端にあるパソコンや、タブレット端末などのエンドポイントを保護するための、以下のようなソリューションも必要です。
・EDR(Endpoint Detection and Response):エンドポイントを監視する
・EPP(Endpoint Protection Platform):エンドポイントをマルウェア感染から守る
EDRについてはこちらもご覧ください。
>>EDRとは?その必要性や機能、製品の選び方について解説しますのページへ
>>エンドポイントセキュリティとは?重要な理由、対策のポイントや事例を紹介のページへ
ネットワークセキュリティ
ネットワーク内のアクセス権限設定やセキュリティ確保のための、以下のようなソリューションも必要です。
・SWG(Secure Web Gateway):不正なサイトへのアクセスを遮断する
・SDP(Software Defined Perimeter):接続可否を判断する
クラウドセキュリティ
クラウドサービスの利用時に必要な、以下のようなソリューションもあります。
・CASB(Cloud Access Security Broker):クラウドサービスの利用状況を可視化・制御する
・CSPM(Cloud Security Posture Management):クラウドサービスの安全性を確認する
▽あわせて読みたい▽
>>クラウドのセキュリティで知っておくべきリスクと対策についてのページへ
SOC監視
24時間365日体制の監視や、インシデントが発生した際に対応を行う、SOC(Security Operation Center)も必要です。各種機器の監視、ログ分析、サイバー攻撃を受けた際の影響範囲の特定などを行います。
関連サービスについて
NISTが定めるゼロトラストの7原則
NIST(米国国立標準技術研究所)の『ゼロトラスト・アーキテクチャ』によると、ゼロトラスト・アーキテクチャは、以下のような7つの原則のもとで設計・展開するとされています。それぞれの原則についてご説明します。
①すべてのデータソースとコンピューティングサービスをリソースとみなす
社内ネットワーク内などだけを対象とするのではなく、すべてのデータやデバイスをリソースとみなします。たとえば、社外にもち出したノートパソコンやスマホなどです。また、企業内のリソースにアクセスする、個人所有のデバイスなどが対象になる場合もあります。
②ネットワークの場所に関係なく、すべての通信を保護する
社内ネットワークへのアクセスだけを監視するなど、ネットワークの場所に限らず、すべての通信を保護します。たとえば、社内から外部への通信が安全とは限らず、それも含めて、すべての通信の機密性と安全性を保護する必要があります。
③企業リソースへのアクセスは、セッション単位で付与する
企業内のリソースへのアクセスは、1セッション単位で付与します。たとえば、一度認証を行い、それ以降のアクセスのやりとりは安全なので、認証を行わないなどのやり方では不十分な場合があります。
④リソースへのアクセスは、動的ポリシーにより決定する
組織は、保持するリソースやそのユーザーが誰であるか、各ユーザーのアクセス権限などを定義してリソースを保護する必要があります。その際の許可ポリシーは、状況により動的に設定します。
⑤すべての資産の整合性とセキュリティ動作を監視し、測定する
基本的に、すべての資産は信頼されないものとして扱います。継続的にデバイスやアプリケーションの状態を監視して診断を行い、必要に応じて修正を行う必要があります。
⑥すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
すべてのリソースに対して、アクセスの取得、脅威のスキャンなどを行い、信頼性を継続的に評価します。ただし、セキュリティレベル、可用性、コスト効率などのバランスを考慮したポリシーを決定する必要もあります。
⑦資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
資産に対するセキュリティ態勢、ネットワークのトラフィック、アクセスリクエストのデータなどのデータを収集・分析します。そして、その分析結果をポリシーの設定や実施、改善に活用する必要があります。
情シス特化型運用支援サービスのご紹介
お客様の情報システム部門を“守りの情シス”から“攻めの情シス”へ変革する「情シス特化型運用支援サービス」の紹介資料です。
DX全盛のいま、人手不足や仕組不足の課題から解放され、効率的な経営資源の活用を目指す“守り”から“攻め”への改革が情報システム部門に求められています。
SHIFTは、情報システム部門が行う業務の大半を占める定常・運用業務を可視化・効率化し、本来行うべき内製開発支援や中期経営計画など、経営活動や知的生産性の高い業務に集中していただくための支援を行います。
お客様の情報システム部門を“守りの情シス”から“攻めの情シス”へ変革する「情シス特化型運用支援サービス」の紹介資料です。
DX全盛のいま、人手不足や仕組不足の課題から解放され、効率的な経営資源の活用を目指す“守り”から“攻め”への改革が情報システム部門に求められています。
SHIFTは、情報システム部門が行う業務の大半を占める定常・運用業務を可視化・効率化し、本来行うべき内製開発支援や中期経営計画など、経営活動や知的生産性の高い業務に集中していただくための支援を行います。
ダウンロード
まとめ
この記事では、ゼロトラストとは何か、必要とされる背景、実現のためのソリューション、NISTが定める7つの原則などについて解説しました。
リモートワークやクラウドサービスなどの普及により、企業内のセキュリティ対策の考え方にも変化が生じています。従来は、社内ネットワークのなかだけが守られていればよいという、境界型セキュリティの考え方でした。しかし、これでは、社外にあるデバイスやクラウドサービス利用時などのセキュリティを守れません。そこで必要とされているのが、社内ネットワークの内側であっても信用しないという考え方の、ゼロトラストセキュリティです。
SHIFTのセキュリティソリューション導入支援では、お客様の環境にあわせたゼロトラスト・アーキテクチャの作成やソリューションをお選びします。既存ツールや製品の導入対応だけではなく、お客様の環境にあったソリューションをご提案いたします。ゼロトラスト環境導入において、もっとも重要なID管理・認証・認可に関する経験豊富なコンサルタントが多数在籍しておりますので、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
関連サービスについて
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
