デバイス活用マガジン「モビナビ」

多くの企業では、境界型セキュリティモデルと呼ばれるパスワードによる認証を行うことで、情報の漏えいや改ざんなどを防止してきました。境界型セキュリティとは、社内・社外とのネットワークやインターネットに明確な境界を引くことで、信用評価が行われ、一度信用できる評価を受けたデバイスは、その後も安全であると評価される仕組みです。

そのため、社内の許可されたデバイスなど一旦境界の内側に入ってしまえば、自由に行動することができます。言うならば、たとえマルウェアが端末内に侵入したとしても自由に行動できることから、悪意のあるサイバー攻撃に対して対策が取れないということになります。

一方、ゼロトラストモデルは、たとえ社内からのアクセスであっても、都度信用評価を行うため、境界の内部に侵入したサイバー攻撃などもすぐに発見し防御することができます。
さらに、ユーザごとに最小限の権限しか付与しない「最小権限の原則」という考え方に基づき、脅威のリスクを最小限に抑えられることもゼロトラストモデルの特徴と言えるでしょう。

ゼロトラスト・セキュリティが広まる理由

近年、多くの企業にてゼロトラスト・セキュリティが注目され始めた理由とは、どのようなことが挙げられるのでしょうか。

テレワークの普及

近年、働き方改革やコロナ禍の影響により、一気にテレワークを導入する企業が増加しています。

テレワークの場合、自宅のインターネットや公共のWi-Fiを利用して、PCやタブレットなどの端末から社内システムにアクセスすることになります。そうした場合、ネットワーク上、社内・社外の境界がなくなり、境界型セキュリティの効果が薄れることになります。そうした状況を打破する新たなセキュリティ対策の手法として、ゼロトラスト・セキュリティへの注目が高まっています。

ゼロトラスト・セキュリティが広まりつつある理由には、このようなテレワークの普及も要因の一つとなっています。

クラウドサービスの利用

インターネットなどのネットワークを経由して提供するクラウドサービスの利用が増加していることも、ゼロトラスト・セキュリティ拡大の理由の一つとして挙げられます。

これまで、社内システムを運用している多くの企業では、システムに対してセキュリティ対策を実施することで情報の漏えいや改ざんなどの脅威から社内システムを守ってきました。
しかし、クラウドサービスへ移行すると、クラウド上に重要なデータがすべて保管されるようになります。これは便利な一方で、マルウェアなどのサイバー攻撃にも非常に遭いやすくなります。

そのため、こうしたクラウドサービスの利用においても、外部からの脅威をいかに防御できるかといったことが重要になってきています。そうした観点からも、ゼロトラスト・セキュリティの考え方は、現代に求められたものだと言えるでしょう。

内部からの情報漏えい

これまでは、顧客情報や事業に関する重要なデータなどは、社内システムに保管することが一般的であり、社内システムを守るために講じられる境界型セキュリティはとても強力なセキュリティ対策でした。

しかし最近では、社内システムの利用者に成りすまして内部に侵入するケースや、利用者の端末にマルウェアを侵入させて、社内システムへ攻撃を行うといったケースが増えてきています。
そのため、従来のような境界型のセキュリティ対策では、対処することが難しい状況です。

内部からの情報漏えいを防ぐためには、社内と社外で切り分ける境界型セキュリティ対策ではもはや対処しきれなくなっているのです。こうした状況からも、境界型セキュリティ対策から、ゼロトラスト・セキュリティへのアップデートがより必要となってきています。

ゼロトラスト・セキュリティのメリット

では、ゼロトラスト・セキュリティの持つメリットには、具体的にどのようなことが挙げられるのでしょうか。主に以下の３つのメリットをご紹介します。

より強固なセキュリティ体制の実現
複雑な設定が不要
どこからでもアクセスが可能に

より強固なセキュリティ体制の実現

ゼロトラスト・セキュリティのメリットは、境界型セキュリティ対策と比べると、より強固なセキュリティ体制を実現できる点と言えます。

ゼロトラスト・セキュリティは、巧妙かつ複雑なマルウェアなどのサイバー攻撃からのリスクを最小限に抑えた上で、クラウドサービスや社外の端末などを利用することが可能です。

そのため、セキュリティ面において不安視されるクラウドサービスなども、安全に利用できるなど、利便性を持ちつつ強固なセキュリティ体制を構築できます。

複雑な設定が不要

ゼロトラスト・セキュリティを実施すると、VPNやファイアウォールの導入や運用にあたり、複雑な設定がいらないといったメリットがあります。

従来のような境界型セキュリティ対策の導入や運用などの設定は、非常に複雑です。しかしゼロトラスト・セキュリティは、設定もシンプルかつソリューションの導入だけでセキュリティ管理をシンプルにすることができます。

どこからでもアクセスが可能に

社内・社外問わず、どの端末からでも情報にアクセスできる点も、ゼロトラスト・セキュリティのメリットの1つです。
境界型セキュリティの場合、社内・社外でしっかり境界を設けるため、社内の機器やネットワークなどはアクセスできるものの、社外や認証されていない機器等のアクセスは基本的に認められていません。

一方、ゼロトラスト・セキュリティであれば、ネットワークや端末ごとにサーバー攻撃からの脅威があるか否かを都度確認することができます。ちなみに、社内・社外のネットワークの境界を引くものではないので、社内はもちろん社外の機器・ネットワークからでも情報にアクセス可能となります。

これにより、自宅から手持ちのPCを使用して社内にアクセスするテレワークなども手軽に行えるようになります。

ゼロトラスト・セキュリティのデメリット

ゼロトラスト・セキュリティは、上記のメリット以外にも注意しておくべきデメリットも存在します。

費用がかかる
業務効率に影響を与える場合もある

費用がかかる

ゼロトラスト・セキュリティを構築するには、導入や運用にかかる費用がある程度かかることは理解しておく必要があります。そのため、セキュリティ対策を実施する上でコストをかける部分とかけない部分をしっかり見極めておくことが重要と言えます。

こうすることで、得られる効果とコストが釣り合い、納得のいく効果を実感できるでしょう。ゼロトラスト・セキュリティを構築する際は、セキュリティ対策に大きく効果を感じられる部分にコストをかけるようにしましょう。

業務効率に影響がある場合も

ゼロトラストは、「何も信用しない」というコンセプトのもと講じられるセキュリティ対策ですが、少し捉え方を間違ってしまうと業務効率に影響が出るケースもあるので注意が必要です。

たとえば、「クラウドはいまいち信用できない」と言ってクラウドサービスを一切利用しなければ、安全面では問題ないにしても、業務の生産性や利便性を損なうことになってしまいます。さらに、外部へ漏えいしてもとくに問題のないような情報に対してセキュリティ対策を徹底してしまうと、オーバースペックとなり業務の非効率化につながることもあります。

ゼロトラスト・セキュリティを実施する際は、重要なデータのみに絞って重点的に対策を行い、業務効率化を図るよう試みることも企業の導入においては重要なポイントです。

ゼロトラスト・セキュリティおける7つの基本原則

ここまでは、ゼロトラスト・セキュリティの概念やメリット・デメリットについて解説してきました。では具体的に、どういったことを基本としてゼロトラスト・セキュリティを実現していけばよいのでしょうか？　

考え方はさまざまですが、ここでは2020年8月に米国国立標準技術研究所（NIST）が発行したレポート「NIST SP 800-207ゼロトラストアーキテクチャ（ZTA）」に記載されたガイドラインをもとに、以下の『ゼロトラストにおける7つの基本原則』をご紹介します。

原則１．データソースとコンピュータサービスは、全てリソースと見なす
原則２．「ネットワークの場所」に関係なく、通信は全て保護される
原則３．組織のリソースへのアクセスは、全て個別のセッションごとに許可される
原則４．リソースへのアクセスは動的なポリシーによって決定される
原則５．組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
原則６．リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
原則７．資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

これらの基本原則を踏まえ、理想的なゼロトラストとは以下と提言しています。

全リソースへのアクセスの認証と認可がリクエストごとに動的に決定される
全てのリソースの状態が、その判断に用いられる
全てのリソースの機器や通信が保護され、状態が可視化によって監視されている

引用：米国立標準技術研究所（NIST）レポートより

つまり、外部内部に関わらず「何も信頼しない」ことを前提に、セキュリティ対策を行うことが重要です。ゼロトラストではすべてをリソースとみなし、アクセスが保護されます。

ゼロトラスト・セキュリティの構成要素

ゼロトラスト・セキュリティを実現するために必要な要素は、以下の5つです。

ID統制
デバイス統制・保護
ネットワークセキュリティ
データ漏洩防止
ログの収集・分析

1つずつ特徴を解説します。

ID統制

ID統制は、ゼロトラスト・セキュリティを実現するためにもっとも重要な要素です。「信頼できるネットワークは存在しない」というゼロトラストの考え方において、誰がリソースにアクセスしようとしているのかを常に管理して、認証・認可を⾏うことが必要なためです。ゼロトラスト・セキュリティを実現するには
管理に不備があった場合は、機密ファイルが閲覧されたり持ち出されたりする可能性があり、重大なインシデントにつながります。
しかし個別でIDの管理を⾏うと、運用担当者の負担が⼤きいです。負担が増えれば、適切な管理ができなくなるリスクが考えられます。そのため、IDの管理はできるだけ統制するのが大切です。

デバイス統制・保護

現代社会では、リモートワークなどの多様な働き⽅が推奨されている一方、パソコンやスマートフォンのようなデバイスがサーバー攻撃を受けるリスクが高まっています。
したがって今まで以上にセキュリティの強化に注力する必要があるため、デバイス統制・保護が必要です。またリモートワークは、外部と内部のネットワークに境目の壁を作る「境界型防御」と比べると、デバイスに対して適切なセキュリティ対策がしにくいといわれています。
確実に対策したいのであれば、以下の方法を実施しましょう。

管理が必要なデバイスの洗い出しと保護
ユーザーの居場所に関わらずデバイス統制が取れる環境の構築

またゼロトラストは、資産にアクセスするデバイスが組織の管理下にあることや、認証・認可時に適切な設定が⾏われているかどうかのチェックも必要です。

ネットワークセキュリティ

外部から内部環境にアクセスする際、VPNを使⽤しているケースは多いでしょう。しかし近年、VPN 装置をターゲットに内部のネットワークへ侵⼊するケースが増えています。
VPNはネットワークに対するアクセス認証を⾏いますが、⼀度攻撃を受けると内部ネットワークのさまざまな機器にアクセスが可能になります。
またSaaSの普及により、すべての通信が内部ゲートウェイを通過すると、通信量の増加で遅延が起こる点も課題です。
解決策としては、内部ゲートウェイを介さず直接サービスにアクセスする「ローカルブレイクアウト」と呼ばれる方法があります。
しかし、ゼロトラストは「すべての通信は保護されるべき」という考え⽅のため、ローカルブレイクアウトに対してもセキュリティ対策を行わなければなりません。また、組織が把握していないSaaSの利⽤も課題です。

データ漏洩防止

ゼロトラストでは、すべてのデータをリソースと考えて保護対象にしているため、攻撃者によるデータの持ち出しや閲覧を防ぐ対策が必要です。
またデータ漏洩の防止対策は、⼈為的なミスにも効果があります。

ログの収集・分析

ゼロトラストの概念には、以下の項目が存在します。

すべての資産の整合性とセキュリティ動作を監視して、測定する
ネットワークのインフラストラクチャと通信の現状について、可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する

内部環境を構成する機器のログの収集・分析を行えば、サイバー攻撃の早期発見・対応が可能です。また、恒久的な対策を検討できるため、より良いIT環境の構築ができます。

ゼロトラスト・セキュリティを実現する具体的な対策例

ここまでの解説を踏まえて、企業でゼロトラスト・セキュリティを実現するには、どのようにしていけば良いのでしょうか。具体的な対策をご紹介します。

アクセス管理・モニタリングの徹底

まずは、クラウド上にてアクセス管理やモニタリングなどのセキュリティ対策を実施することが重要です。
クラウドサービスを利用すると、サイバー攻撃に遭った端末は、感染が一気に広がるリスクがあります。そのため、端末ごとにどのクラウドへアクセスしているのか管理した上で、クラウドの挙動をモニタリングすることが必要不可欠と言えます。

これらを実施することで、不審な挙動やどの端末が影響を受けたのかを速やかに発見し、スピーディに対処することができるため、サイバー攻撃の脅威リスクを抑えることが可能です。クラウドサービスを利用している企業は、セキュリティ対策を強化するためにも、アクセス管理とモニタリングの徹底を行いましょう。

エンドポイント(端末)ごとへのセキュリティ対策

ゼロトラスト・セキュリティの概念は、データに対するアクセスを「すべて信頼しない」という考え方のもとに作られており、アクセスに応じて都度、エンドポイント(端末)を確認することで安全性を保つセキュリティ対策です。

しかし、より強固なセキュリティを実現するためには、エンドポイント(端末)ごとへのセキュリティ対策を講じることが重要と言えます。これを実施していないと、インターネット上に存在する未知のマルウェアやランサムウェアなどの脅威に侵入され、端末内の情報漏えいや改ざんなどにつながるリスクも大いにあります。

そのため、社内データやクラウド上だけでなく、端末ことへのセキュリティ対策も講じていく必要があるのです。

ゼロトラスト・セキュリティの関連ツール

ゼロトラスト・セキュリティを実現するためのサービスには、さまざまなものがあります。

今回は、7つのツールを紹介します。

IDaaS

IDaaSは、クラウドを介してさまざまなサービスのログインを集約して管理します。主な機能は、以下のとおりです。

ID管理
ID認証・認可
シングルサインオン
多要素認証
ログ管理

ID管理は、ID情報の追加や変更・削除などを一元管理できます。ID認証・認可はIDの発行や管理だけでなく、IDごとに制限を設けて条件を満たした場合のみ、必要なアクセスを許可する機能です。
シングルサインオンは、独立した複数のシステム・サービスを一度のユーザー認証のみで利用可能にします。
インターネットへのログイン時に、2つ以上の方法を組み合わせて認証することを「多要素認証」と言います。IDaaSは多要素認証が簡単です。
ログ管理は、利用履歴やアクセス状況などを記録して確認できます。

以下で主な製品を紹介します。

GMOトラスト・ログイン

画像引用元：GMOトラスト・ログイン

GMOトラスト・ログインは、GMOインターネットグループが提供するサービスです。以下3つの特徴があります。

一元管理で簡単に使用できる
豊富なオプションと連携機能がついている
安全性が高く安心のセキュリティを備えている

EDR

EDRは「Endpoint Detection and Response」の略称です。エンドポイントとは、パソコンやスマートフォンなどのデバイスを指します。デバイスの状況を監視し、不審なアクセスの検知や対処を行います。
EDRの機能は、デバイスの操作記録の監視です。記録の監視により、サイバー攻撃や情報漏洩などの行動を検知しやすくなります。

以下で主な製品を紹介します。

Symantec Endpoint Security

画像引用元：Symantec Endpoint Security

Symantec Endpoint Securityは、SB C&S株式会社が提供するサービスです。以下3つの特徴があります。

業界最高レベルのエンドポイントセキュリティを備えている
組織内の権限を守るAD脅威保護機能を搭載している
より多くの標的型攻撃を検出できる

IAP

IAPは「Identity Aware Proxy」の略称で、ユーザーとアプリケーションの通信を仲介するシステムです。主な機能は、以下のとおりです。

コネクター
エージェント
認証基盤（IAM）連携

コネクターは、IAPとオンプレミスアプリケーションの通信を中継するサーバーを指します。エージェントを利用すると、Webアプリ以外のアプリケーションにもIAP経由でアクセスできる可能性があります。
IAPには認証・認可機能がありません。しかしIAMを連携すれば、ユーザーの所属部署・役職などを判別してアクセス制限ができます。

以下で主な製品を紹介します。

F5 BIG-IP Access Policy Manager

画像引用元：F5 BIG-IP Access Policy Manager

F5 BIG-IP Access Policy Managerは、株式会社日立システムズが提供するサービスです。以下9つの特徴があります。

Identity Aware Proxy（IAP）
ID連携とSSO
セキュアなリモートおよびモバイルアクセス
Webアクセスを保護および管理
APIの保護
認証をオフロードおよび簡素化
デスクトップ仮想化デリバリ
一元的な管理と導入
パフォーマンスと拡張性

CASB

CASBとは、クラウドサービスの利用や監視や適切なセキュリティ対策を指します。主な機能は、以下のとおりです。

クラウドサービスの利用状況の可視化・分析
セキュリティポリシーのよりどころの監査やクラウドサービス利用の制限
データの持ち出しのチェック・防止
危険の検出・防止

CASBだけでなく、次世代ファイアウォールなどのセキュリティ対策ソリューションや、ネットワーク製品でも同じような機能が提供されている場合もあります。

以下で主な製品を紹介します。

Cygiene

画像引用元：Cygiene

Cygieneは、スカイゲートテクノロジズ株式会社が提供するサービスです。以下3つの特徴があります。

データの取り込みが無制限に行える
クラウドを中心としたセキュリティに必要なものが揃っている
安全にデータ保管ができる

SWG

SWGとは「Secure Web Gateway」の略称で、ユーザーが外部ネットワークへのアクセスを安全に行うためのシステムです。基本的にクラウド型として提供されます。主な機能は、以下のとおりです。

IPアドレスの匿名化
アンチウイルス
サンドボックス
URLフィルタリング
アプリケーションフィルタ
DLP

IPアドレスの匿名化は、ブラウザの代理でインターネットにアクセスすることでIPアドレスを隠せます。
アンチウイルスは、あらかじめ決められたシグネチャファイルとのパターンマッチングで、パソコンに侵入するウイルスを排除します。シグネチャファイルとは、サイバー攻撃におけるパターンを集約したファイルのことです。
サンドボックスは、インターネットに構築した仮想閉域環境で実行ファイルを動かして、確認して安全を確認します。
URLフィルタリングは、リスクの高いSaaSを使用しない、不正なサイトにアクセスできないなどのフィルタの適用が可能です。
アプリケーションフィルタは、無許可のアプリケーションの利用を制限します。DLPは、重要なデータの送信やコピーを制限し、情報漏洩を防止します。

主な製品は以下で紹介します。

i-FILTER

画像引用元：i-FILTER

i-FILTERは、デジタルアーツ株式会社が提供するサービスです。
標的型攻撃など、外部からの攻撃対策から内部の情報漏洩対策まで、インターネット上のあらゆるセキュリティ課題の解決が可能です。

DLP

DLPとは、機密情報や重要なデータを自動で特定し、常に監視・保護します。ユーザーではなく、データを中心にしたシステムである点がポイントです。主な機能は、以下のとおりです。

デバイス制御
印刷制限機能
Webセキュリティ
コンテンツ監視
メールセキュリティ
システム運用・管理

デバイス制御は、エンドポイントであるパソコンやスマートフォンからの情報漏洩を防ぐ役割があります。印刷制限機能は、データのコピーや印刷などの制限が可能です。
WebセキュリティはURLのフィルタリングを行い、閲覧ポリシーに違反するサイトの表示を制限します。コンテンツ監視機能は、機密情報を自動で特定し、操作の監視をリアルタイムで行います。
メールセキュリティ機能は、機密情報を特定し、本文や転送を強制的に禁止する機能です。システム運用・管理機能は、利用者個人、部門ごとで詳細な設定ができます。

主な製品を以下で紹介します。

秘文

画像引用元：秘文

秘文は、株式会社日立ソリューションズが提供するサービスです。パソコンやアプリケーションのセキュリティ設定に問題がないかを、自動で確認します。
以下3つのような特徴があります。

セキュリティ対策からIT資産管理まで提供している
管理者やユーザーの手間を削減できる
コストを抑えて迅速に導入できる

IRM

IRMは「Information Rights Management」の略称で、ファイルを暗号化してユーザーごとに操作権限を付与し、管理する仕組みのことです。主な機能は、以下のとおりです。

ファイルの暗号化
アクセス権限の付与
操作の制限
操作ログの取得
リモート削除

ファイルの暗号化に加えてファイルごとに操作ログを取得すれば、外部の不正アクセスに対して的確な対策ができます。
主な製品を以下で紹介します。

DataClasys

画像引用元：DataClasys

DataClasysは、株式会社データクレシスが提供するサービスです。情報漏洩を防止するためのファイルの暗号化を行う、DRM・IRMソリューションです。
以下のような5つの特徴があります。

情報漏洩の根本対策ができる
常時暗号化でゼロトラスト・セキュリティの実現ができる
漏洩につながる操作を厳密に管理できる
情報の種類・機密レベルに応じた柔軟なポリシー管理を搭載している
ユーザーごとに暗号鍵の管理サーバーを用意している

まとめ

今回は、ゼロトラスト・セキュリティの考え方やその必要性、メリット・デメリットなどについて詳しく解説してきました。近年では、クラウドサービスの利用やテレワークなども一気に広がりを見せてきている一方で、従来のセキュリティ対策では通用しにくい状況になってきています。テレワークやクラウドの利用を積極的に導入したいと検討する企業は、ぜひ今回ご紹介したゼロトラスト・セキュリティを進めてみてはいかがでしょうか。