ゼロトラストとは？ セキュリティ対策の考え方やメリット、具体例などを解説

ゼロトラストとは、すべての通信を信頼しないセキュリティの考え方

ゼロトラストとは、社内からのアクセスも含めてあらゆる通信を信用せず、情報資産への脅威を防ぐというセキュリティ対策の考え方です。ゼロトラストは、何もないことを表す「Zero」と信頼を表す「Trust」を組み合わせた造語です。

クラウドサービスなどの普及に伴い、信頼できる「内側」の社内ネットワークと、信頼できない「外側」のインターネットを分離していた従来のセキュリティモデルではリスクに対応できなくなった結果、ゼロトラストの考え方が注目されています。

ゼロトラストが注目される背景

ゼロトラストが注目を集めるようになった背景としては、複数の理由が考えられます。ここでは、これまでの情報セキュリティ対策の課題と、環境の変化に伴う考え方の変化に焦点を当てて、ご紹介します。

境界型防御の課題

従来のセキュリティモデルは「境界型防御」と呼ばれ、信用できる社内ネットワークと信頼できない社外ネットワークを明確に分けていました。 しかし、近年では企業・組織におけるクラウドサービスの普及が進み、基幹システムやサーバーだけでなく、従業員が利用するメールやスケジューラーなどのツールをクラウド利用することも増えてきています。加えて、働き方改革などによるビジネススタイルの変化に伴い、オフィス以外から社内ネットワークやクラウド上のデータベースなどにアクセスする機会も増え、そのために利用されるスマートフォンなどのデバイスも多様化しています。こうした環境の変化から、従来のような「社内ネットワークでのみ利用を許可する」「VPNで社外から社内ネットワークにアクセスさせる」といった対策では、万全なセキュリティ体制を確保することが困難になってきています。

また、組織内の従業員などによる内部不正については、以前から情報セキュリティ上の懸念とされてきましたが、上記のような環境の変化によってさらにリスクが増大しています。従業員が利用するデバイスは、これまでのデスクトップPCだけでなく、ノートPCや社用スマートフォンなど多岐にわたり、紛失・盗難や意図的な持ち出しによる情報漏洩が起きる可能性も高くなっています。

従来のセキュリティモデルからゼロトラストモデルへの転換

従来のセキュリティモデルが抱えていた問題を解決すべく、新たに提唱されたのがゼロトラストモデルです。ゼロトラストの概念は、2010年にアメリカの調査会社フォレスター・リサーチ社によって提唱されました。

従来の境界型防御が「Trust but verify（信ぜよ、されど確認せよ）」という考え方に基づいていたのに対して、ゼロトラストでは「Verify and never trust（決して信頼せず確認せよ）」という考え方が前提となっています。境界型防御は、組織として守るべき情報資産は社内などの境界内部にあるとし、内部からのアクセスのみを許可して外部からの脅威の侵入を阻むことを第一とした考え方でした。 しかし、実際にはクラウドサービスなどの活用によって情報資産がインターネット上にも配置され、境界の内外を問わずアクセスされているのが現状です。これを受けて、ゼロトラストでは、ネットワークの内部・外部を区別することなく、情報資産やシステムにアクセスするものをすべて信用せず、都度検証することで脅威を防ぐことを基本の考え方としています。

ゼロトラストの中核にある3つの基本原則

ゼロトラストの中核には、下記のような3つの基本原則があります。

ここでは、それぞれの原則がどのような意味を持っているのかを説明します。

明示的に検証する

ゼロトラストを基に構築されたセキュリティ対策へのアプローチが「ゼロトラストセキュリティ」です。ゼロトラストセキュリティでは、あらゆるデータポイントにおいて認証と承認を常に行い、明示的に検証することが求められます。社内外を問わずどのようなアクセスも「決して信頼せず」、すべてにおいて「必ず確認せよ」というのがゼロトラストの基本的な考え方です。

最小限の特権アクセスを使用する

ユーザーに付与するアクセス権を業務に必要な範囲に制限することも、ゼロトラストセキュリティの原則の一つです。アクセス権が増えるほど脅威にさらされるリスクも高まるため、最小限の特権アクセスのみ使用するという考え方に基づいています。

侵害を想定する

情報資産の侵害はいつか発生するものと想定し、不確実性を最小限に抑えるとともに、可視性の向上を図ることもゼロトラストセキュリティの原則です。一例として、仮に侵害が発生したとしても実害を防ぐために通信経路を暗号化したり、ネットワークに接続されるすべてのデバイスについてログ監視を行ったりする対策が挙げられます。

ゼロトラストのセキュリティ例

ゼロトラストは、クラウドサービスの活用が進み、ビジネススタイルが多様化する現代において、ぜひ取り入れておきたい考え方といえます。ここでは、ゼロトラストの考えに基づいたセキュリティ対策の一つとして、弊社のクライアント運用管理ソフトウェア「SKYSEA Client View」を例に挙げてご紹介します。

「SKYSEA Client View」では、PCなどのエンドポイントの挙動を常時記録して状況を把握できるログ管理機能を用意しています。マルウェアによる侵害が発生した場合にも、ネットワーク上のデバイスの挙動をログでチェックすることで、状況把握と今後の対応の検討に役立てることができます。また、EDR製品ともシームレスな連携が可能であり、マルウェアなどに対する「検知」「隔離」「調査」「修復」といったEDRの各プロセスを支援。早期発見とその後のすみやかな対処につなげられます。また、エンドポイントごとの脆弱性にもれなく対処しておくことも重要なことから、「SKYSEA Client View」ではOSやアプリケーションなどの更新プログラム適用の徹底を図る機能なども搭載しています。

ゼロトラスト導入のメリット

ゼロトラストを導入することによって、組織は具体的にどのようなメリットを得られるのでしょうか。主なメリットとしては、下記の3点が挙げられます。

情報管理の精度が高まり、セキュリティが強化される

ゼロトラストの考え方を採用する最大のメリットは、情報漏洩などのセキュリティインシデントのリスクが低減することです。不確実性や不透明性を最小化すれば情報管理の精度が高まり、セキュリティの強化につながります。セキュリティ強化を図りたい組織にとって、取り入れておきたい考え方といえます。

柔軟な働き方と生産性向上につながる

ゼロトラストセキュリティは、ネットワークにアクセスする端末やアクセス元の場所を問わず、安全な環境を実現する点がメリットです。リモートワークなどの柔軟な働き方にも対応しやすくなり、生産性向上につながる効果が期待できます。社内外を区別せずセキュリティ対策を講じるため、オフィス外での業務も通常業務と同等に扱うことが可能です。

新しい価値を生み出しやすい組織になる

ゼロトラストセキュリティの考え方に基づく対策を講じれば、自然とクラウドサービスの積極的な活用が促進される点もメリットです。結果として社内外のコラボレーションが加速し、新たな価値を生み出しやすい組織への変革も期待できます。

ゼロトラスト導入の課題

ゼロトラストが対応するセキュリティ領域は非常に広範囲なため、実際に実装しようとした場合にはまずどこから着手すべきなのか悩んでしまう企業も多いかもしれません。加えて、ゼロトラストは「誰が」「どのデバイスが」「どのデータリソースに対して」アクセスするのかを常に認証・許可することや、リアルタイムでのモニタリングを行うこと、それに伴う動的なアクセス制御を行うことが求められます。そのため、中・長期的な観点で導入のための計画を立て、体制を整備していくことが必要になります。

ゼロトラストの考え方を取り入れれば、一層のセキュリティ強化が期待できる

今回は、ゼロトラストが注目されるようになった背景やその特長、メリットや課題、抑えておくべきポイントなどについてご紹介しました。本記事で紹介した点を、ぜひゼロトラスト導入の参考としてご活用ください。ゼロトラストの環境を構築できれば、より安全で堅牢なセキュリティ対策を講じられるだけでなく、生産性向上や新たな価値創出といったポジティブな効果も得られるはずです。 クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織で利用されているエンドポイント（デバイス）の把握と、OSやアプリケーションなどの更新プログラム適用の徹底、EDR製品と連携したサイバー攻撃の検知が行える各種機能を搭載しています。ゼロトラストセキュリティを実現する一助として、ぜひご検討ください。