昨今、クラウドツールの普及やリモートワークの広がりに伴い、セキュリティに対する考え方も更新していく必要に迫られています。技術の進歩によって、新たなセキュリティリスクが生じるケースは決して少なくないからです。今回は、近年注目されつつある「ゼロトラスト」の考え方について紹介。ゼロトラスト導入のメリットや実装する上で必要とされる要件、導入時に押さえておきたいポイントなどをわかりやすく解説します。
ゼロトラストとは、すべての通信を信頼しない新たなセキュリティの考え方
ゼロトラストは、何もないことを表す「Zero」と信頼を表す「Trust」を組み合わせた造語です。社内からのアクセスも含めてあらゆる通信を信用せず、情報資産への脅威を防ぐという考えに基づいています。まずは、ゼロトラストの考え方が登場した経緯について見ていきましょう。
従来の境界型防御の課題
従来のセキュリティモデルは「境界型防御」と呼ばれ、信用できる社内ネットワークと信頼できない社外ネットワークを明確に分けていました。しかし、近年ではクラウドサービスの普及や社外アクセスの増加、使用するデバイスの多様化に伴い、内部不正を含む情報漏洩リスクが増大しています。境界型防御の考え方では、十分なセキュリティ対策を講じることが困難になりつつある時代になっています。
従来のセキュリティモデルからゼロトラストモデルへの転換
従来のセキュリティモデルが抱えていた問題を解決すべく、新たに提唱されたのがゼロトラストモデルです。ゼロトラストの概念は、2010年にアメリカの調査会社フォレスター・リサーチ社によって提唱されました。
従来の境界型防御が「Trust but verify(信ぜよ、されど確認せよ)」という考え方に基づいていたのに対して、ゼロトラストでは「Verify and never trust(決して信頼せず確認せよ)」という考え方が前提となっています。守るべき情報資産の場所に社内外の区別がなくなりつつある今、従来のセキュリティモデルからゼロトラストモデルへの転換が進んでいるのです。
ゼロトラストの中核にある3つの基本原則
ゼロトラストの中核には、下記のような3つの基本原則があります。
ゼロトラストの基本原則
・ 明示的に検証する
・ 最小限の特権アクセスを使用する
・ 侵害を想定する
ここでは、それぞれの原則がどのような意味を持っているのかを説明します。
明示的に検証する
ゼロトラストセキュリティでは、あらゆるデータポイントにおいて認証と承認を常に行い、明示的に検証することが求められます。社内外を問わずどのようなアクセスも「決して信頼せず」、すべてにおいて「必ず確認せよ」というのがゼロトラストの基本的な考え方です。
最小限の特権アクセスを使用する
ユーザーに付与するアクセス権を業務に必要な範囲に制限することも、ゼロトラストセキュリティの原則の一つです。アクセス権が増えるほど脅威にさらされるリスクも高まるため、最小限の特権アクセスのみ使用するという考え方に基づいています。
侵害を想定する
情報資産の侵害はいつか発生するものと想定し、不確実性を最小限に抑えるとともに、可視性の向上を図ることもゼロトラストセキュリティの原則です。一例として、仮に侵害が発生したとしても実害を防ぐために通信経路を暗号化したり、ネットワークに接続されるすべてのデバイスについてログ監視を行ったりする対策が挙げられます。
ゼロトラスト導入のメリット
ゼロトラストを導入することによって、組織は具体的にどのようなメリットを得られるのでしょうか。主なメリットとしては、下記の3点が挙げられます。
情報管理の精度が高まり、セキュリティが強化される
ゼロトラストの考え方を採用する最大のメリットは、情報漏洩などのセキュリティインシデントのリスクが低減することです。不確実性や不透明性を最小化すれば情報管理の精度が高まり、セキュリティの強化につながります。セキュリティ強化を図りたい組織にとって、取り入れておきたい考え方といえます。
情報漏洩を防ぐための取り組みは、企業にとって重要な課題です。しかし一方で、なぜ情報漏洩が起こるのか、どうすれば情報漏洩を防止できるのかを明確に把握できていないと感じている方も多いのではないでしょうか。この記事では、情報漏洩が企業にもたらす具体的な危機や、情報漏洩が発生する原因、情報漏洩の防止策についてわかりやすく解説します。また、情報漏洩が起きた場合の対処方法も併せてご紹介します。
柔軟な働き方と生産性向上につながる
ゼロトラストセキュリティは、ネットワークにアクセスする端末やアクセス元の場所を問わず、安全な環境を実現する点がメリットです。リモートワークなどの柔軟な働き方にも対応しやすくなり、生産性向上につながる効果が期待できます。社内外を区別せずセキュリティ対策を講じるため、オフィス外での業務も通常業務と同等に扱うことが可能です。
新しい価値を生み出しやすい組織になる
ゼロトラストセキュリティの考え方に基づく対策を講じれば、自然とクラウドサービスの積極的な活用が促進される点もメリットです。結果として社内外のコラボレーションが加速し、新たな価値を生み出しやすい組織への変革も期待できます。
ゼロトラストセキュリティを実装する上で重視したい要件
ここからは、ゼロトラストセキュリティを実装するにあたって、特に重視しておきたい要件について解説します。それぞれの要件に必要なソリューションと併せて見ていきましょう。
デバイス
従来の境界型防御では、各デバイスを保護するために、社内と社外のネットワークの境界部分にセキュリティ対策を施すのが一般的です。一方、ゼロトラストセキュリティは、セキュリティゲートウェイによって外部からのアクセスを制御する境界型防御とは異なり、デバイスがインターネットと直接接続する環境となるため、サイバー攻撃がデバイスに直接到達する可能性が高まります。そのため、ゼロトラストセキュリティでは、エンドポイントセキュリティの強化が欠かせません。
具体的には、端末の挙動を記録したりセキュリティインシデントを早期発見したりするためのEDR(端末監視)や、ユーザーが使用するデバイスを一元管理するMDM(モバイルデバイス管理)といったソリューションの導入が求められます。
ネットワーク
ゼロトラストセキュリティでは、各デバイスから「どのユーザーが」「どこにアクセスできるのか」を制御することが重要です。具体的には、VPNのクラウド化を実現するZTNA / SDP(Zero Trust Network Access / Software Defined Perimeter)や、マルウェア検知といったセキュリティ強化につながるクラウド型プロキシのSWG(Secure Web Gateway)、拠点間やクラウドとのネットワークをソフトウェアで実現する仮想ネットワークのSD-WAN(Software Defined Networking)といったソリューションの導入が想定されます。
データ
ゼロトラストセキュリティにおいては、扱うデータの保護も重要なポイントとなります。機密情報の監視・保護や内部情報の不正な持ち出し検知、外部要因による情報漏洩などを防止することが重要です。具体的には、データの流出や破壊を検出・防止するDLP(Data Loss Prevention)や、組織外の人間が機密情報にアクセスすることを防ぐ暗号化ソリューションなどの導入を検討する必要があるでしょう。
アイデンティティー
セキュリティ領域におけるアイデンティティーとは、ユーザーIDやユーザープロファイル、アクセス権限の付与などを統合的に一元管理することを指します。具体的には、ID管理システムなどのソリューションを活用することが求められるでしょう。
ワークロード
モバイルアプリケーションやSaaSアプリケーションを適切に管理し、不正利用を防ぐことも重要なポイントの一つです。具体的には、1回の本人認証により複数のクラウドサービスやアプリケーションの利用を可能にするSSO(Single Sign-On)や、ユーザーの本人性をより確実に担保するMFA(Multi-Factor Authentication)などの導入が想定されます。
可視化と分析
各デバイスやネットワーク機器、クラウドサービスにおいて生成されるログを一元管理し、可視化と分析を強化することも大切です。具体的には、ログを一元的に管理・分析するSIEM(Security Information and Event Management)などの導入を検討することも必要です。
自動化
セキュリティ監視を24時間365日体制で行い、有事の際にいち早く対応できるようにするには、セキュリティオペレーションの自動化を図ることをお勧めします。自動化することでリアルタイムの管理が可能になるだけでなく、セキュリティインシデント対応の一元化が実現できるからです。具体的には、組織のセキュリティ監視を行うMDR(Managed Detection and Response)などの運用サービスの活用が想定されます。
ゼロトラストソリューションで押さえるべきポイント
続いてはゼロトラストソリューションにおいて、特に押さえておくべきポイントについて解説します。各種ソリューションを導入する際には、下記に挙げる4つの軸での検討が重要となります。
エンドポイントでのセキュリティの強化
エンドポイントセキュリティの強化は、安全なアクセスや情報管理を維持する上で重要なポイントです。そのため、各デバイスを監視し、マルウェアの検知や不正プログラムの実行防止への対策を講じる必要があります。万が一マルウェアなどへの感染が疑われた場合に、対象のデバイスを隔離する機能なども備えておくと安心です。
ネットワークセキュリティの強化
クラウドサービスなどへのアクセスを含めて、アクセス権の制御によるネットワークセキュリティ強化を図ることも、ゼロトラストセキュリティにおいては重要です。境界型防御とは異なり、「社内ネットワークは安全」「社外とのやりとりは高リスク」といった考え方は成立しません。あらゆる通信を明示的に検証できるよう、可視化と一元管理の徹底が求められます。
クラウドセキュリティの強化
クラウドサービスは必然的に社外のサーバーにアクセスすることになるため、機密情報の管理や、ユーザーの利用状況の可視化・制御が重要なポイントとなります。保護すべき情報を整理した上で、ユーザーIDと各自の職責をひもづけて管理する必要があります。そのため、内部要因・外部要因の双方に対して、情報漏洩を防ぐための対策を講じることも重要です。
セキュリティ監視・運用の強化
ゼロトラストセキュリティを実現するには、24時間365日体制によるセキュリティ監視と、適切な運用を実現する必要もあります。万が一、セキュリティ事故が発生した場合に備えて、事故対応の体制を整備しておくことも重要です。社内で十分な対応が困難な場合には、前述のMDRといったアウトソーシングを活用するのも有効な方法です。
ソリューション導入時に押さえておきたいポイント
ゼロトラストソリューションの導入に際して、必ず確認しておくべきポイントを紹介します。ツールやサービスを導入する際には、下記の2点は押さえておくことをお勧めします。
ID管理は強化できるか
前述のとおり、ゼロトラストセキュリティを実現するには適切なID管理が欠かせません。ただし「ID管理機能さえ備わっていれば良い」というわけではありません。仮にユーザーIDとパスワードによって認証されていても、ユーザーの本人性が保証されているとは限らないためです。IDとパスワードが窃取されたり、不正に使用されたりしている可能性も否定できないのです。アクセス元の地域や使用デバイスなども含めて管理でき、本人性が担保できる仕組みが構築できているかも、重要なポイントです。
アクセス・行動履歴の精査は可能か
万が一、セキュリティインシデントが発生した場合に、各ユーザーのアクセス履歴や行動履歴をトレースできるかどうかも重要なポイントです。デバイスの挙動を記録しておくと、インシデント発生時に適切な対応をしやすくなるだけでなく、情報漏洩リスクの早期発見にもつながります。
ゼロトラストの考え方を取り入れれば、一層のセキュリティ強化が期待できる
ゼロトラストは、クラウドサービスの活用やリモートワークなどの多様な働き方が広まりつつある現代において、取り入れておきたい考え方といえます。本記事で紹介したポイントも参考にしていただき、ぜひゼロトラストの導入をご検討ください。ゼロトラストの環境を構築できれば、より安全で堅牢なセキュリティ対策を講じられるだけでなく、生産性向上や新たな価値創出といったポジティブな効果も得られるはずです。
クライアント運用管理ソフトウェア「SKYSEA Client View」は、操作や挙動の種別ごとにログをカテゴリ分けして収集・管理できるツールです。起動・終了ログやクライアント操作ログ、アプリケーションログ、ファイルアクセスログなど、多岐にわたるログを収集できます。デバイスのさまざまな挙動をログとして記録しておくことができるため、膨大なデータから必要な情報を抽出し、「いつ」「誰が」「何をしたのか」を正確に把握しやすくなります。また、EDR製品ともシームレスな連携が可能であり、マルウェアなどに対する「検知」「隔離」「調査」「修復」といったEDRの各プロセスを支援します。情報漏洩リスクの素早い発見を支援する「SKYSEA Client View」のご利用も、ぜひご検討ください。
お問い合わせ・カタログダウンロード
組織のセキュリティインシデント対策を強化する「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから