2021.11.01

ビジネス

ゼロトラスト・セキュリティって?意味や必要性を解説

クラウドサービスの利用増加やテレワークの普及、日々巧妙化していくサイバー攻撃を防いでいくために、企業のセキュリティ対策が見直されるようになってきています。
そこで注目を集めているのが、「ゼロトラスト・セキュリティ」と呼ばれる新たなコンセプトのセキュリティ対策です。

今回は、ゼロトラスト・セキュリティに焦点を当て、その意味や必要性、メリット・デメリットなどについて詳しく解説していきます。

デバイス管理やセキュリティ対策のお悩み、
MDM導入で解決しませんか?
【 ただいま無料相談実施中! 】

ゼロトラスト・セキュリティとは?

 

ゼロトラストセキュリティとは、データに対するアクセスを「すべて信頼しない」ということを前提にしたセキュリティ対策です。

そもそもゼロトラストという用語は、直訳すると「zero:何もない」「trust:信頼する」という意味が組み合わさってできた用語であり、2010年にアメリカのマーケット調査会社のForester Research社により提唱されました。

ゼロトラストの考え方は、従来のセキュリティのような、社内ネットワークは安全・社外は危険であるといった境界線に捉われず、すべてのアクセスにセキュリティ上の危険があると考え、データにアクセスごとに認証を実施し、データ自体のセキュリティを保証するといったものです。

つまり、社内ネットワークへのアクセスがある度に「端末へウイルスが感染していないか」「社内システムに登録している端末のアクセスか否か」このようなことをチェックすることがゼロトラストの考え方となります。

従来のセキュリティモデルとの違い

多くの企業では、境界型セキュリティモデルと呼ばれるパスワードによる認証を行うことで、情報の漏えいや改ざんなどを防止してきました。境界型セキュリティとは、社内・社外とのネットワークやインターネットに明確な境界を引くことで、信用評価が行われ、一度信用できる評価を受けたデバイスは、その後も安全であると評価される仕組みです。

そのため、社内の許可されたデバイスなど一旦境界の内側に入ってしまえば、自由に行動することができます。言うならば、たとえマルウェアが端末内に侵入したとしても自由に行動できることから、悪意のあるサイバー攻撃に対して対策が取れないということになります。

一方、ゼロトラストモデルは、たとえ社内からのアクセスであっても、都度信用評価を行うため、境界の内部に侵入したサイバー攻撃などもすぐに発見し防御することができます。
さらに、ユーザごとに最小限の権限しか付与しない「最小権限の原則」という考え方に基づき、脅威のリスクを最小限に抑えられることもゼロトラストモデルの特徴と言えるでしょう。

ゼロトラスト・セキュリティが広まる理由

 

近年、多くの企業にてゼロトラスト・セキュリティが注目され始めた理由とは、どのようなことが挙げられるのでしょうか。

テレワークの普及

近年、働き方改革やコロナ禍の影響により、一気にテレワークを導入する企業が増加しています。

テレワークの場合、自宅のインターネットや公共のWi-Fiを利用して、PCやタブレットなどの端末から社内システムにアクセスすることになります。そうした場合、ネットワーク上、社内・社外の境界がなくなり、境界型セキュリティの効果が薄れることになります。そうした状況を打破する新たなセキュリティ対策の手法として、ゼロトラスト・セキュリティへの注目が高まっています。

ゼロトラスト・セキュリティが広まりつつある理由には、このようなテレワークの普及も要因の一つとなっています。

クラウドサービスの利用

インターネットなどのネットワークを経由して提供するクラウドサービスの利用が増加していることも、ゼロトラスト・セキュリティ拡大の理由の一つとして挙げれらます。

これまで、社内システムを運用している多くの企業では、システムに対してセキュリティ対策を実施することで情報の漏えいや改ざんなどの脅威から社内システムを守ってきました。
しかし、クラウドサービスへ移行すると、クラウド上に重要なデータがすべて保管されるようになります。これは便利な一方で、マルウェアなどのサイバー攻撃にも非常に遭いやすくなります。

そのため、こうしたクラウドサービスの利用においても、外部からの脅威をいかに防御できるかといったことが重要になってきています。そうした観点からも、ゼロトラスト・セキュリティの考え方は、現代に求められたものだと言えるでしょう。

内部からの情報漏えい

これまでは、顧客情報や事業に関する重要なデータなどは、社内システムに保管することが一般的であり、社内システムを守るために講じられる境界型セキュリティはとても強力なセキュリティ対策でした。

しかし最近では、社内システムの利用者に成りすまして内部に侵入するケースや、利用者の端末にマルウェアを侵入させて、社内システムへ攻撃を行うといったケースが増えてきています。
そのため、従来のような境界型のセキュリティ対策では、対処することが難しい状況です。

内部からの情報漏えいを防ぐためには、社内と社外で切り分ける境界型セキュリティ対策ではもはや対処しきれなくなっているのです。こうした状況からも、境界型セキュリティ対策から、ゼロトラスト・セキュリティへのアップデートがより必要となってきています。

デバイス管理やセキュリティ対策のお悩み、
MDM導入で解決しませんか?
【 ただいま無料相談実施中! 】

ゼロトラスト・セキュリティのメリット

 


では、ゼロトラスト・セキュリティの持つメリットとは、具体的にどのようなことが挙げられるのでしょうか。おもに3つのメリットをご紹介します。

より強固なセキュリティ体制の実現

ゼロトラスト・セキュリティのメリットは、境界型セキュリティ対策と比べると、より強固なセキュリティ体制を実現できる点と言えます。

ゼロトラスト・セキュリティは、巧妙かつ複雑なマルウェアなどのサイバー攻撃からのリスクを最小限に抑えた上で、クラウドサービスや社外の端末などを利用することが可能となります。

そのため、セキュリティ面において不安視されるクラウドサービスなども、安全に利用できるなど、利便性を持ちつつ強固なセキュリティ体制を構築できます。

複雑な設定が不要

ゼロトラスト・セキュリティを実施すると、VPNやファイアウォールの導入や運用にあたり、複雑な設定がいらないといったメリットがあります。

従来のような境界型セキュリティ対策の導入や運用などの設定は、非常に複雑です。しかしゼロトラスト・セキュリティは、設定もシンプルかつソリューションの導入だけでセキュリティ管理をシンプルにすることができます。

どこからでもアクセスが可能に

社内・社外問わず、どの端末からでも情報にアクセスできる点も、ゼロトラスト・セキュリティのメリットの一つです。
境界型セキュリティの場合、社内・社外でしっかり境界を設けるため、社内の機器やネットワークなどはアクセスできるものの、社外や認証されていない機器等のアクセスは基本的に認められていません。

一方、ゼロトラスト・セキュリティであれば、ネットワークや端末ごとにサーバー攻撃からの脅威があるか否かを都度確認することができます。ちなみに、社内・社外のネットワークの境界を引くものではないので、社内はもちろん社外の機器・ネットワークからでも情報にアクセス可能となります。

これにより、自宅から手持ちのPCを使用して社内にアクセスするテレワークなども手軽に行えるようになります。

ゼロトラスト・セキュリティのデメリット

 

ゼロトラスト・セキュリティは、上記のメリット以外にも注意しておくべきデメリットも存在します。

費用がかかる

ゼロトラスト・セキュリティを構築するには、導入や運用にかかる費用がある程度かかることは理解しておく必要があります。そのため、セキュリティ対策を実施する上でコストをかける部分とかけない部分をしっかり見極めておくことが重要と言えます。

こうすることで、得られる効果とコストが釣り合い、納得のいく効果を実感できるでしょう。ゼロトラスト・セキュリティを構築する際は、セキュリティ対策に大きく効果を感じられる部分にコストをかけるようにしましょう。

業務効率に影響がある場合も

ゼロトラストは、「何も信用しない」というコンセプトのもと講じられるセキュリティ対策ですが、少し捉え方を間違ってしまうと業務効率に影響が出るケースもあるので注意が必要です。

たとえば、クラウドはいまいち信用できないからと、クラウドサービスを一切利用しなければ、安全面では問題ないにしても、業務の生産性や利便性を損なうことになってしまいます。さらに、外部へ漏えいしてもとくに問題のないような情報に対して、セキュリティ対策を徹底してしまうと業務の非効率化につながることもあります。

ゼロトラスト・セキュリティを実施する際は、重要なデータのみを重点的に対策することで、業務効率化を図るように試みることも、企業の導入においては重要なポイントです。

ゼロトラスト・セキュリティおける7つの基本原則

 

ここまでは、ゼロトラスト・セキュリティの概念やメリット・デメリットについて解説してきました。では具体的に、どういったことを基本としてゼロトラスト・セキュリティを実現していけばよいのでしょうか? その考え方は様々ありますが、ここでは2020年8月に米国国立標準技術研究所(NIST)が発行したレポート「NIST SP 800-207ゼロトラストアーキテクチャ(ZTA)」に記載されたガイドラインをもとに、以下の『ゼロトラストにおける7つの基本原則』をご紹介したいと思います。

原則1.データソースとコンピュータサービスは、全てリソースと見なす
原則2.「ネットワークの場所」に関係なく、通信は全て保護される
原則3.組織のリソースへのアクセスは、全て個別のセッションごとに許可される
原則4.リソースへのアクセスは動的なポリシーによって決定される
原則5.組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
原則6.リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
原則7.資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

これらの基本原則を踏まえ、理想的なゼロトラストとは以下と提言しています。

  • 全リソースへのアクセスの認証と認可がリクエストごとに動的に決定される

  • 全てのリソースの状態が、その判断に用いられる

  • 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている

引用:米国立標準技術研究所(NIST)レポートより

ゼロトラスト・セキュリティを実現するには

 

ここまでの解説を踏まえて、企業でゼロトラスト・セキュリティを実現するには、どのようにしていけばよいのでしょうか。具体的な対策をご紹介します。

アクセス管理・モニタリングの徹底

まずは、クラウド上にてアクセス管理やモニタリングなどのセキュリティ対策を実施することが重要です。
クラウドサービスを利用すると、サイバー攻撃に遭った端末は、感染が一気に広がるリスクがあります。そのため、端末ごとにどのクラウドへアクセスしているのか管理した上で、クラウドの挙動をモニタリングすることが必要不可欠と言えます。

これらを実施することで、不審な挙動やどの端末が影響を受けたのかを速やかに発見し、スピーディに対処することができるため、サイバー攻撃の脅威リスクを抑えることが可能です。クラウドサービスを利用している企業は、セキュリティ対策を強化するためにも、アクセス管理とモニタリングの徹底を行いましょう。

エンドポイント(端末)ごとへのセキュリティ対策

ゼロトラストセキュリティの概念は、データに対するアクセスを「すべて信頼しない」という考え方のもとに作られており、アクセスに応じて都度、エンドポイント(端末)を確認することで安全性を保つセキュリティ対策です。

しかし、より強固なセキュリティを実現するためには、エンドポイント(端末)ごとへのセキュリティ対策を講じることが重要と言えます。これを実施していないと、インターネット上に存在する未知のマルウェアやランサムウェアなどの脅威に侵入され、端末内の情報漏えいや改ざんなどにつながるリスクも大いにあります。

そのため、社内データやクラウド上だけでなく、端末ことへのセキュリティ対策も講じていく必要があるのです。

まとめ

 

今回は、ゼロトラスト・セキュリティの考え方やその必要性、メリット・デメリットなどについて詳しく解説してきました。近年では、クラウドサービスの利用やテレワークなども一気に広がりを見せてきている一方で、従来のセキュリティ対策では通用しにくい状況になってきています。テレワークやクラウドの利用を積極的に導入したいと検討する企業は、ぜひ今回ご紹介したゼロトラスト・セキュリティを進めてみてはいかがでしょうか。