ゼロトラストとは？ セキュリティ対策の考え方やメリット、具体例などを解説

ゼロトラストとは、すべての通信を信頼しないセキュリティの考え方

ゼロトラストは、社内からのアクセスも含めてあらゆる通信を信用せず、情報資産への脅威を防ぐというセキュリティ対策の考え方です。何もないことを表す「Zero」と信頼を表す「Trust」を組み合わせた造語となっています。

ゼロトラストが注目される背景

ゼロトラストが注目を集めるようになった背景としては、複数の理由が考えられます。ここでは、これまでの情報セキュリティ対策の課題と、環境の変化に伴う考え方の変化に焦点を当てて、ご紹介します。

境界型防御の課題

従来のセキュリティモデルは「境界型防御」と呼ばれ、信用できる社内ネットワークと信頼できない社外ネットワークを明確に分けていました。 しかし、近年では企業・組織におけるクラウドサービスの普及が進み、基幹システムやサーバーだけでなく、従業員が利用するメールやスケジューラーなどのツールをクラウド利用することも増えてきています。加えて、働き方改革などによるビジネススタイルの変化に伴い、オフィス以外から社内ネットワークやクラウド上のデータベースなどにアクセスする機会も増え、そのために利用されるスマートフォンなどのデバイスも多様化しています。こうした環境の変化から、従来のような「社内ネットワークでのみ利用を許可する」「VPNで社外から社内ネットワークにアクセスさせる」といった対策では、万全なセキュリティ体制を確保することが困難になってきています。

また、組織内の従業員などによる内部不正については、以前から情報セキュリティ上の懸念とされてきましたが、上記のような環境の変化によってさらにリスクが増大しています。従業員が利用するデバイスは、これまでのデスクトップPCだけでなく、ノートPCや社用スマートフォンなど多岐にわたり、紛失・盗難や意図的な持ち出しによる情報漏洩が起きる可能性も高くなっています。

従来のセキュリティモデルからゼロトラストモデルへの転換

従来のセキュリティモデルが抱えていた問題を解決すべく、新たに提唱されたのがゼロトラストモデルです。ゼロトラストの概念は、2010年にアメリカの調査会社フォレスター・リサーチ社によって提唱されました。

従来の境界型防御が「Trust but verify（信ぜよ、されど確認せよ）」という考え方に基づいていたのに対して、ゼロトラストでは「Verify and never trust（決して信頼せず確認せよ）」という考え方が前提となっています。境界型防御は、組織として守るべき情報資産は社内などの境界内部にあるとし、内部からのアクセスのみを許可して外部からの脅威の侵入を阻むことを第一とした考え方でした。 しかし、実際にはクラウドサービスなどの活用によって情報資産がインターネット上にも配置され、境界の内外を問わずアクセスされているのが現状です。これを受けて、ゼロトラストでは、ネットワークの内部・外部を区別することなく、情報資産やシステムにアクセスするものをすべて信用せず、都度検証することで脅威を防ぐことを基本の考え方としています。

境界型防御からゼロトラストへの転換

ゼロトラストの中核にある3つの基本原則

ゼロトラストの中核には、下記のような3つの基本原則があります。

ここでは、それぞれの原則がどのような意味を持っているのかを説明します。

明示的に検証する

ゼロトラストを基に構築されたセキュリティ対策へのアプローチが「ゼロトラストセキュリティ」です。ゼロトラストセキュリティでは、あらゆるデータポイントにおいて認証と承認を常に行い、明示的に検証することが求められます。社内外を問わずどのようなアクセスも「決して信頼せず」、すべてにおいて「必ず確認せよ」というのがゼロトラストの基本的な考え方です。

最小限の特権アクセスを使用する

ユーザーに付与するアクセス権を業務に必要な範囲に制限することも、ゼロトラストセキュリティの原則の一つです。アクセス権が増えるほど脅威にさらされるリスクも高まるため、最小限の特権アクセスのみ使用するという考え方に基づいています。

侵害を想定する

情報資産の侵害はいつか発生するものと想定し、不確実性を最小限に抑えるとともに、可視性の向上を図ることもゼロトラストセキュリティの原則です。一例として、仮に侵害が発生したとしても実害を防ぐために通信経路を暗号化したり、ネットワークに接続されるすべてのデバイスについてログ監視を行ったりする対策が挙げられます。

ゼロトラストのセキュリティ例

ゼロトラストは、クラウドサービスの活用が進み、ビジネススタイルが多様化する現代において、ぜひ取り入れておきたい考え方といえます。ここでは、ゼロトラストの考えに基づいたセキュリティ対策の一つとして、弊社のクライアント運用管理ソフトウェア「SKYSEA Client View」を例に挙げてご紹介します。

「SKYSEA Client View」では、PCなどのエンドポイントの挙動を常時記録して状況を把握できるログ管理機能を用意しています。マルウェアによる侵害が発生した場合にも、ネットワーク上のデバイスの挙動をログでチェックすることで、状況把握と今後の対応の検討に役立てることができます。また、EDR製品ともシームレスな連携が可能であり、マルウェアなどに対する「検知」「隔離」「調査」「修復」といったEDRの各プロセスを支援。早期発見とその後のすみやかな対処につなげられます。また、エンドポイントごとの脆弱性にもれなく対処しておくことも重要なことから、「SKYSEA Client View」ではOSやアプリケーションなどの更新プログラム適用の徹底を図る機能なども搭載しています。

ゼロトラスト導入のメリット

ゼロトラストを導入することによって、組織は具体的にどのようなメリットを得られるのでしょうか。主なメリットとしては、下記の3点が挙げられます。

情報管理の精度が高まり、セキュリティが強化される

ゼロトラストの考え方を採用する最大のメリットは、情報漏洩などのセキュリティインシデントのリスクが低減することです。不確実性や不透明性を最小化すれば情報管理の精度が高まり、セキュリティの強化につながります。セキュリティ強化を図りたい組織にとって、取り入れておきたい考え方といえます。

柔軟な働き方と生産性向上につながる

ゼロトラストセキュリティは、ネットワークにアクセスする端末やアクセス元の場所を問わず、安全な環境を実現する点がメリットです。リモートワークなどの柔軟な働き方にも対応しやすくなり、生産性向上につながる効果が期待できます。社内外を区別せずセキュリティ対策を講じるため、オフィス外での業務も通常業務と同等に扱うことが可能です。

新しい価値を生み出しやすい組織になる

ゼロトラストセキュリティの考え方に基づく対策を講じれば、自然とクラウドサービスの積極的な活用が促進される点もメリットです。結果として社内外のコラボレーションが加速し、新たな価値を生み出しやすい組織への変革も期待できます。

ゼロトラスト導入の課題

ゼロトラストが対応するセキュリティ領域は非常に広範囲なため、実際に実装しようとした場合にはまずどこから着手すべきなのか悩んでしまう企業も多いかもしれません。加えて、ゼロトラストは「誰が」「どのデバイスが」「どのデータリソースに対して」アクセスするのかを常に認証・許可することや、リアルタイムでのモニタリングを行うこと、それに伴う動的なアクセス制御を行うことが求められます。そのため、中・長期的な観点で導入のための計画を立て、体制を整備していくことが必要になります。

ゼロトラストセキュリティを実装する上で重視したい要件

ここからは、ゼロトラストセキュリティを実装するにあたって、特に重視しておきたい要件について解説します。それぞれの要件に必要なソリューションと併せて見ていきましょう。

デバイス

従来の境界型防御では、各デバイスを保護するために、社内と社外のネットワークの境界部分にセキュリティ対策を施すのが一般的です。一方、ゼロトラストセキュリティは、セキュリティゲートウェイによって外部からのアクセスを制御する境界型防御とは異なり、デバイスがインターネットと直接接続する環境となるため、サイバー攻撃がデバイスに直接到達する可能性が高まります。そのため、ゼロトラストセキュリティでは、エンドポイントセキュリティの強化が欠かせません。

具体的には、端末の挙動を記録したりセキュリティインシデントを早期発見したりするためのEDR（端末監視）や、ユーザーが使用するデバイスを一元管理するMDM（モバイルデバイス管理）といったソリューションの導入が求められます。

ネットワーク

ゼロトラストセキュリティでは、各デバイスから「どのユーザーが」「どこにアクセスできるのか」を制御することが重要です。具体的には、VPNのクラウド化を実現するZTNA / SDP（Zero Trust Network Access / Software Defined Perimeter）や、マルウェア検知といったセキュリティ強化につながるクラウド型プロキシのSWG（Secure Web Gateway）、拠点間やクラウドとのネットワークをソフトウェアで実現する仮想ネットワークのSD-WAN（Software Defined Networking）といったソリューションの導入が想定されます。

データ

ゼロトラストセキュリティにおいては、扱うデータの保護も重要なポイントとなります。機密情報の監視・保護や内部情報の不正な持ち出し検知、外部要因による情報漏洩などを防止することが重要です。具体的には、データの流出や破壊を検出・防止するDLP（Data Loss Prevention）や、組織外の人間が機密情報にアクセスすることを防ぐ暗号化ソリューションなどの導入を検討する必要があるでしょう。

アイデンティティー

セキュリティ領域におけるアイデンティティーとは、ユーザーIDやユーザープロファイル、アクセス権限の付与などを統合的に一元管理することを指します。具体的には、ID管理システムなどのソリューションを活用することが求められるでしょう。

ワークロード

モバイルアプリケーションやSaaSアプリケーションを適切に管理し、不正利用を防ぐことも重要なポイントの一つです。具体的には、1回の本人認証により複数のクラウドサービスやアプリケーションの利用を可能にするSSO（Single Sign-On）や、ユーザーの本人性をより確実に担保するMFA（Multi-Factor Authentication）などの導入が想定されます。

可視化と分析

各デバイスやネットワーク機器、クラウドサービスにおいて生成されるログを一元管理し、可視化と分析を強化することも大切です。具体的には、ログを一元的に管理・分析するSIEM（Security Information and Event Management）などの導入を検討することも必要です。

自動化

セキュリティ監視を24時間365日体制で行い、有事の際にいち早く対応できるようにするには、セキュリティオペレーションの自動化を図ることをお勧めします。自動化することでリアルタイムの管理が可能になるだけでなく、セキュリティインシデント対応の一元化が実現できるからです。具体的には、組織のセキュリティ監視を行うMDR（Managed Detection and Response）などの運用サービスの活用が想定されます。

ゼロトラストソリューションで押さえるべきポイント

続いてはゼロトラストソリューションにおいて、特に押さえておくべきポイントについて解説します。各種ソリューションを導入する際には、下記に挙げる4つの軸での検討が重要となります。

エンドポイントでのセキュリティの強化

エンドポイントセキュリティの強化は、安全なアクセスや情報管理を維持する上で重要なポイントです。そのため、各デバイスを監視し、マルウェアの検知や不正プログラムの実行防止への対策を講じる必要があります。万が一マルウェアなどへの感染が疑われた場合に、対象のデバイスを隔離する機能なども備えておくと安心です。

ネットワークセキュリティの強化

クラウドサービスなどへのアクセスを含めて、アクセス権の制御によるネットワークセキュリティ強化を図ることも、ゼロトラストセキュリティにおいては重要です。境界型防御とは異なり、「社内ネットワークは安全」「社外とのやりとりは高リスク」といった考え方は成立しません。あらゆる通信を明示的に検証できるよう、可視化と一元管理の徹底が求められます。

クラウドセキュリティの強化

クラウドサービスは必然的に社外のサーバーにアクセスすることになるため、機密情報の管理や、ユーザーの利用状況の可視化・制御が重要なポイントとなります。保護すべき情報を整理した上で、ユーザーIDと各自の職責をひもづけて管理する必要があります。そのため、内部要因・外部要因の双方に対して、情報漏洩を防ぐための対策を講じることも重要です。

セキュリティ監視・運用の強化

ゼロトラストセキュリティを実現するには、24時間365日体制によるセキュリティ監視と、適切な運用を実現する必要もあります。万が一、セキュリティ事故が発生した場合に備えて、事故対応の体制を整備しておくことも重要です。社内で十分な対応が困難な場合には、前述のMDRといったアウトソーシングを活用するのも有効な方法です。

ソリューション導入時に押さえておきたいポイント

ゼロトラストソリューションの導入に際して、必ず確認しておくべきポイントを紹介します。ツールやサービスを導入する際には、下記の2点は押さえておくことをお勧めします。

ID管理は強化できるか

前述のとおり、ゼロトラストセキュリティを実現するには適切なID管理が欠かせません。ただし「ID管理機能さえ備わっていれば良い」というわけではありません。仮にユーザーIDとパスワードによって認証されていても、ユーザーの本人性が保証されているとは限らないためです。IDとパスワードが窃取されたり、不正に使用されたりしている可能性も否定できないのです。アクセス元の地域や使用デバイスなども含めて管理でき、本人性が担保できる仕組みが構築できているかも、重要なポイントです。

アクセス・行動履歴の精査は可能か

万が一、セキュリティインシデントが発生した場合に、各ユーザーのアクセス履歴や行動履歴をトレースできるかどうかも重要なポイントです。デバイスの挙動を記録しておくと、インシデント発生時に適切な対応をしやすくなるだけでなく、情報漏洩リスクの早期発見にもつながります。

ゼロトラストの考え方を取り入れれば、一層のセキュリティ強化が期待できる

今回は、ゼロトラストが注目されるようになった背景やその特長、メリットや課題、抑えておくべきポイントなどについてご紹介しました。本記事で紹介した点を、ぜひゼロトラスト導入の参考としてご活用ください。ゼロトラストの環境を構築できれば、より安全で堅牢なセキュリティ対策を講じられるだけでなく、生産性向上や新たな価値創出といったポジティブな効果も得られるはずです。 クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織で利用されているエンドポイント（デバイス）の把握と、OSやアプリケーションなどの更新プログラム適用の徹底、EDR製品と連携したサイバー攻撃の検知が行える各種機能を搭載しています。ゼロトラストセキュリティを実現する一助として、ぜひご検討ください。