ゼロトラストとは?仕組みや必要性について徹底解説
ゼロトラストに向けた対策や導入を進める企業が増えています。
これからのネットセキュリティにおける主流になると考えられており、オフィスワークだけでなくテレワークなど多様化する働き方改革にも貢献します。
ここでは、ゼロトラストが導入される理由や特徴、従来のセキュリティとの違いなどについて解説してきましょう。
ゼロトラストとは?
最近になって注目されているゼロトラストは、実は2010年にアメリカのForresterResearch社によって提唱されたのが始まりです。
ゼロトラストは会社の情報や財産ネットワークにアクセスするユーザー、使用されているデバイス、接続元ロケーションなどを「すべてを信頼しない」を前提とするセキュリティシステムです。社内と社外を区別することなく必要に応じて認証手続きを求めたり、リアルタイムでのアクセス状態を監視することで安全を確保します。
従来のオフィスワークを前提にしたセキュリティでは難しいテレワークなどの働き方の多様化にも対応する他、サードパーティが提供するクラウドサービスの活用も可能、またフリーランスを始めとする社外の人材を活用するといった柔軟なプロジェクトに寄与します。
また日本政府も対応を急いでおり「政府情報システムにおけるゼロトラスト適用に向けた考え方」を公表するなど積極的な姿勢を見せています。
ゼロトラストが注目されている理由・背景
2019年12月から2023年まで世界的に流行した新型コロナ対策が、ゼロトラスト導入のきっかけです。日本政府は入院患者急増による医療リソースの逼迫を防ぐため、通勤やオフィス内での感染リスクを軽減する対策としてテレワーク導入を推進しました。
コロナウイルス対策としては有効性を期待されたテレワークでしたが、その一方でセキュリティ上のリスクが増大しました。
一般社団法人JPCERTコーディネーションセンターによると2020年2月のセキュリティインシデントの報告が1,800だったのに対して、テレワーク導入が進んだ10月には5,500へと拡大するなど、セキュリティ上のリスク増大が確認されています。
これがきっかけとなり、「すべてを信頼しない」ゼロトラスト・セキュリティーの導入の必要性が認識されました。
ゼロトラストの仕組み
内外を区別せず「なにも信頼しない」が、ゼロトラストの核心といえるでしょう。
従来のセキュリティは勤務するオフィスを安全な内部ネットワーク、危険な外部ネットワークと定義した上で互いの境界にファイアウォールを始めとするセキュリティシステムを構築するもので「境界型セキュリティ」と呼ばれています。
ゼロトラストはネットワークの内外で区別せず、ネットワーク・ユーザー・デバイス・ロケーションの全てを危険とみなすと同時に、全てに対して安全確認を求めます。
具体的には、アクセスしているユーザーが本人であるか、使用しているデバイスが許可されているか、アプリケーションの脆弱性やウイルスやマルウェアなどの感染していないことの確認、不審な操作がないなどに加えてネットワークの安全性にまで及びます。
ゼロトラストは安全であると確認できない限り危険とみなし、デバイスをネットワークから隔離するセキュリティシステムです。
ゼロトラストに関する記事はこちらもチェック!
ゼロトラストモデルを実現のために
「何も信用しない」ゼロトラストモデルの性能をこれからのネットセキュリティは、従来型の境界型セキュリティとは違った考え方やシステムを持ちます。
ここではゼロトラスト実現のために知っておくと役立つ知識を解説していきましょう。
エンドポイントセキュリティ
従来の境界型セキュリティと大きく異なるのが、ゼロトラストのエンドポイントセキュリティです。
ネットワークに接続したデバイスやネットワーク機器などを対象にしており、特にパソコンやスマホ、プリンターやサーバーが代表的です。
このエンドポイント間の通信を暗号化するとともに、重要な情報やリソースにアクセスするさいは安全性と認証を確認します。
これにより情報漏えいリスクやマルウェアなどによる悪意あるアクセスを防止できます。
ネットワークセキュリティ
エンドポイントからインターネットを利用する際のアクセスを制御します。具体的には、ユーザーのアクセス先を設定することでそれ以外のサイトやサービスを利用できなくします。
業務に必要なクラウドサービスやサイトは利用できますが、ゲーム・アダルト・動画・ショッピングなどの業務に関係のないサイトへのアクセスを禁止することで悪意あるサイトを開いたり、ウイルスに感染するリスクを防止できます。
クラウドセキュリティ
サードパーティーが提供するクラウドサービスも制御の対象にできます。
テレワークでは、会社が許可していないクラウドサービスを利用する「シャドーIT」が増加しました。そのためセキュリティ上のリスクに加えて障害の発生によるデータの損失や外部漏洩、他のサービスに切り替え難くなるロックインなどの課題が浮き彫りになりました。
これらへの対策として、様々なクラウドサービスの中から会社側が利用して良いサービスやアプリケーションを指定することで様々なリスクを軽減できます。
セキュリティ監視・運用
ゼロトラストの監視・運用は24時間365日です。1年を通して休むことなくサイバー攻撃の検知と分析を行うとともに、トラブルに対応できる専門チームがサポートします。
様々なセキュリティインシデント対応の一元化に加えて、障害発生時の復旧も必要ですし、事故対応や被害状況や範囲の調査、再発防止対策までが運用に含まれます。
またセキュリティ監視では信用スコアが採用されており、ユーザー・デバイス・ロケーション・アクセス時間・認証を関連付けることで誤検知を防ぎます。
デバイスセキュリティ
業務に使用する各種機器を指定するのが、デバイスセキュリティです。会社側が使用を認めるパソコンやスマホなどを指定して、それ以外のデバイスを使用できなくします。
これによりセキュリティリスクのある私用パソコンやスマホを使えなくなるので、マルウェアやウィルスの感染を防止できます。
加えて業務用デバイスのバージョンやアプリを最新状態に保ち常にセキュアな状態を維持できます。
アイデンティティセキュリティ
企業によって判断が分かれるのが、アイデンティティセキュリティの特徴です。
一定期間ごとにパスワードやログインID、PINを変更するといった基本的なものから社員の役割や区分ごとにアクセスできる情報を制限するといった権限管理、一度認証が成功しても一定時間ごとに再認証を求めるものも含まれます。
アクセス権限が大きすぎると業務とは関係のない高度な情報へのアクセスをしたり、トラブルを起こすリスクが高まるため、業務内容に適した最小アクセス権限にするのが基本です。
ワークロードセキュリティ
現在進行系のセキュリティにおける課題を可視化するのが、ワークロードセキュリティです。社員のクラウドサービス利用状況を可視化することで脅威の早期発見につなげ、想定していないような被害を抑止します。
たとえばクラウドサービス内のアプリであるIaaS/PaaSを社員が勝手に導入したり利用したさいに素早く検知できるので、業務で知り得た情報をコピペして持ち出すといった行為を抑制できます。
クラウドサービスの提供する情報を把握したり、新しく登場したサービスを把握せずともリスクを制御できるのが特徴です。
データセキュリティ
主に機密保持と監視、内部情報持ち出しの検知と阻止、外的要因による情報漏洩を防止します。
社員教育も同時に行うことで安全性を高められるため、セキュリティシステムのみに依存せず人材育成にも力を入れることが求められます。特に機密情報や内部情報の扱い方について手続きやリスクを社員に認識させる必要があります。
また間違ったり意図しない形でデータの取り扱いを防いだり、内部不正によって意図的に流出させられるような事態を抑止します。
ゼロトラストのメリット
セキュリティレベルを落とすことなく、多様な働き方を実現できます。
特にクラウドサービスを中心とするサードパーティーのアプリケーションを利用できる他、様々なプロジェクトで非正規雇用や非正社員、フリーランスなどの人材を採用したり、テレワークやSOHOなど場所に依存しない働き方に対応できるため、全国に拠点を持つ大手企業ほどメリットを感じられるでしょう。
セキュリティ面においては、エンドポイントやネットワークなどの制御対象を明確化できるのでシステム投資の計画も立てやすくなります。
ゼロトラストのデメリット
24時間365日ずっとアクセスを監視するため、その都度検証や認証を行い許可や制限を判断することから運用負担が増大する可能性を指摘できます。
また幹部や社員のアクセス権限を定めるため、業務内容・役割などの区分を設けなければなりません。アクセス権限を最小構成にすることがセキュアな環境に直結するため、導入直後は業務に必要な情報にアクセスできないといったトラブルも発生します。
まずは厳し目のアクセス権限を設定して業務の進展に合わせて調整するのが一般的です。
境界型セキュリティから移行するさいは運用体制を見直す必要があるため、境界型セキュリティと比較したり、併用するといった運用も検討しておくとよいでしょう。
テレワーク拡大によるゼロトラストの必要性
新型コロナ対策として導入が加速しテレワークは、多様な働き方の一部として認知され恒久的なワークスタイルとなりました。
大手企業を中心に場所を選ぶことなく安全に便利に働けるテレワークのためのIT投資が拡大しており、それに合わせてゼロトラストの必要性も高まっています。子育てや介護などライフワークバランスを実現するのにも貢献すると同時に、企業にとって社員の定着率アップを期待できます。
年々拡大するネット犯罪への対策という点も導入される理由です。休むことなくリアルタイムで監視する高度なセキュリティにより、ネットワークやユーザーの操作内容、デバイスやアプリケーションなどのプログラムまで幅広く監視、もし攻撃の可能性があると判断すれば即座に端末のアクセス権を制御して隔離できるため、情報漏洩などの防止に効果を発揮します。
テレワーク拡大のきっかけとなった新型コロナのような感染症発生時に威力を発揮する他、災害リスクにも備えられるのも導入が加速する理由です。
多様な働き方をセキュアな通信を実現するゼロトラストは、これからの日本で求められているテレワークに加えて、フリーランスや非正社員や非正規雇用を始めとする外部人材の活用に大きく寄与します。
テレワークにおいてゼロトラストに注目が集まる3つの背景
安全性・通信環境・サイバー攻撃への対処が求められるテレワークでは、従来のネットワークセキュリティでは不十分になりつつあります。
ここではゼロトラストが注目を集める背景を解説しましょう。
(1)境界型セキュリティーの限界
テレワーク導入以前では、オフィス勤務で完結していたため境界型セキュリティーで十分だと考えられていました。安全な内部と危険な外部の間にファイアウォールなどの機器を設置すれば、多くの脅威に対処できたからです。
しかしテレワーク導入後は、危険と定義する外部から仕事をしなければならないため、境界型セキュリティーの限界が指摘されています。加えてテレワークでは私用デバイスを使用したり、クラウドを独自に使って仕事をするワーカーも増加、それによるリスク増大に対処できなくなったのも、ゼロトラストへ注目が集まる理由です。
境界型セキュリティーはオフィス内で完結する業務環境においては高い安全性を確保できますが、外部環境で仕事をするテレワークでは安全性を保つには限界があります。
(2)VPNが現状のテレワーク環境に合わない
テレワーク環境の構築で真っ先に採用されたのが、認証・暗号化・トンネリング技術を持つVPN(仮想専用線)です。VPN経由することで情報漏えいリスク軽減に大きく貢献する他、オフィス内にいるように勤務できます。
しかし通信速度が回線品質に依存するため、テレワーク環境が極端に悪化することがありました。例えば業務中に極度の通信遅延が発生したり、途中で途切れてしまったり、アクセスしようとしても混雑してつながらないといったトラブルも珍しくありません。
特に業務に使用するアプリの数や処理速度、送受信するデータが多くなるほど遅延するなどの課題が指摘されています。ウイルスに感染している業デバイスでVPNを利用すると社内全体が、ウイルスに感染するリスクもあります。このような理由が、セキュアなゼロトラストに注目が集まる理由です。
(3)高度化・多様化するサイバー攻撃
インターネットは、常に悪意ある攻撃者によるリスクにされされており、最新のセキュリティ対策が求められます。
年々高度化・多様化するサイバー攻撃の中には、個人や集団だけでなく国家と連携したとみられるものや企業スパイによる被害も増えており、予断を許さない状況です。また従来からの脅威であるメールやウェブサイト、ファイル共有、外部ストレージやSMSなどを利用したマルウェアなどから情報とリソースを守る必要があります。
そのような厳しいセキュリティ環境においてゼロトラストは、大きな役割を果たします。
ネットワーク・デバイス・ユーザー・アプリケーション・ロケーション・操作や挙動をリアルタイムで監視し認証を求めることで、あらゆるスタイルのサイバー攻撃に備えられます。
また役割と区分に応じたアクセス権限を定めることで、内部関係者による情報漏洩にも対処できます。