ゼロトラストとは?メリットや重要なポイントを分かりやすく解説
従来のセキュリティ対策は、ファイアウォールやVPNなどの技術により境界を設け、外部からの脅威から守る方法が一般的でした。しかし近年は、クラウドなどの技術発展やテレワークなどの普及に伴い、従来の方法が通用しにくくなりました。そこで近年注目を集めているのが、「ゼロトラスト」というセキュリティの概念です。
今回の記事では、そんなゼロトラストについて、具体的な考え方やソリューション、重要なポイントなどを分かりやすく解説します。
ゼロトラストとは
はじめに、ゼロトラストがどのようなものか、具体的なソリューション(製品やサービス)を交えつつ説明します。
ゼロトラストの基本的な考え方
ゼロトラストとは、データに対するすべてのアクセスを信頼しないという前提に立った上で、セキュリティ対策を行うという概念です。見てわかるとおり、「何もない(zero)」と「信頼する(trust)」が組み合わさった用語であり、アメリカの市場調査会社である「フォレスターリサーチ」が2010年に提唱しました。
ゼロトラストの考え方では、「社外は危険・社内は安全」という形で境界を引く従来のセキュリティとは異なり、すべてのアクセスにセキュリティ上のリスクがあると考え、すべてのアクセスを検査します。そして、脅威とならないアクセスだけ許可することで、情報漏洩や改ざんなどのリスクから社内システムを守るのがゼロトラストの特徴です。
具体的には、社内アクセスがあるたびに、「端末のウイルス感染の有無」や「会社のシステムに登録された端末によるアクセスかどうか」を確認することで、ゼロトラストの考え方を実現します。
要するに、アクセスやその元となった端末やネットワークに対して、常に疑いを持って接するわけです。
ゼロトラストの考え方から生まれたソリューション
ゼロトラストの考え方が普及するに伴い、それを実現する具体的なソリューション(製品・サービス、技術)も生まれました。その一つの例が「CASB(Cloud Access Security Broker:キャスピー)」です。CASBとは、クラウド上のサービスとそれを利用する端末との間にコントロールポイントを設定し、クラウドサービスの利用状況を確認したり、アクセスを制御する技術です。CASBは、クラウドサービスを利用する企業が、ゼロトラストを実現する上で役に立つ技術となっています。
ここ数年で、クラウド上にあるサービスを業務で使用する企業が増加しました。クラウド上のサービスは手軽に利用できる反面、経営陣やセキュリティ部門が知らない間に、現場の従業員が利用するリスクも内包しています。現場の従業員が利用した結果、予期せぬセキュリティ上のリスクを社内に持ち込むケースは少なくありません。
そこで役に立つのがCASBです。CASBを利用すれば、どの従業員がどのようなクラウドサービスを利用しているかを可視化できます。それにより、セキュリティ上問題のあるサービス利用を制限することが可能となります。
ゼロトラストが重要視されるようになった背景
ゼロトラストは、この10年ほどで普及した考え方です。そのため、一昔前までのセキュリティ対策は異なる考え方に基づいて行われていました。この章では、なぜゼロトラストが重要視されるようになったか、その背景について従来のセキュリティ対策に触れつつご説明します。
従来は境界型セキュリティが一般的であった
従来多くの企業では、境界型セキュリティにより情報の漏えいや改ざんなどの脅威から社内システムを守ってきました。境界型セキュリティとは、社内システムと社外のインターネットとの間に明確な境界を引くことで、社内の許可されたデバイスからでないと、原則アクセスできないようにする方法です。
具体的には、社内と社外の境界線にファイアウォールを設置し、社外からのアクセスを拒否するようにします。そのため、VPNや専用線などの特殊な方法を使わない限り、社外からは社内システムにアクセスできないようになります。
これまで大半の会社では、顧客情報や売り上げデータ、事業戦略に関するデータなど、重要な情報は社内のシステムに保管するのが一般的でした。そのため、境界型セキュリティはとても強力なセキュリティ対策として効果を発揮してきました。
近年はクラウドの利用やテレワーク、攻撃の高度化に伴い、境界型のセキュリティの効果は薄れている
しかし近年は、従来と比べて境界型セキュリティの効果は薄れつつあります。その最たる理由が、クラウドサービスの利用増加です。クラウドのサービスを利用すると、重要な情報が自然とクラウド(インターネット)上に保管されることとなります。そのため、どれだけ社内のセキュリティを強化しても意味がなくなってしまうのです。
また、近年増加しているテレワークも境界型セキュリティの効果を薄れさせています。テレワークの場合、公共のWiFiや自宅のインターネット環境を利用して社内システムにアクセスします。社内と社外の境界がなくなるため、境界線上で行うセキュリティが意味をなしにくくなります。
加えて、セキュリティに対する攻撃が高度化している点も一因となっています。たとえば社内システムの利用者を偽って社内システムに侵入したり、利用者のデバイスにマルウェアを仕込んだ上で社内システムに潜り込むなどの攻撃が増加傾向にあります。攻撃が高度になればなるほど、単純に社内と社外で切り分けるセキュリティ対策では対処しきれなくなるのです。
境界に関係なくセキュリティ対策を行う「ゼロトラスト」の考えが重視されるように
クラウド利用やテレワーク、サイバー攻撃の高度化などの影響で、もはや社内のネットワークだからといって安心できる時代ではなくなりました。そこで注目されているのが「ゼロトラスト」です。
ゼロトラストでは、社内か社外かに関係なく、すべての端末やアクセス、ネットワーク状況について、脅威の有無を確認します。そのため、社内システムに侵入しようとする脅威や、侵入してしまった脅威に対していち早く対処できるようになります。
ゼロトラストのメリット
従来の境界型セキュリティと比較した場合、ゼロトラストを実現すると「強固なセキュリティの構築」、「複雑な設定が不要」、「好きな場所・端末から社内システムにアクセス可能」という3つのメリットを得られます。この章では、そんなゼロトラストの持つメリットについて、具体的に解説します。
強固なセキュリティを構築できる
なんと言っても、境界型のセキュリティ対策よりも、より強固なセキュリティを構築できる点が最大のメリットです。複雑で対処困難な攻撃に対処できる点はもちろんのこと、セキュリティ面で不安が残るクラウドを安全に利用できる点も魅力の一つです。
サイバー攻撃による被害リスクを最小限にした上で、クラウドや社外の機器等を利用できるため、スムーズなテレワークへの移行も可能となるでしょう。
複雑な設定が必要ない
境界型セキュリティ対策の場合、VPNやファイアウォールの導入・運用に複雑な設定が必要となります。一方でゼロトラストの場合、VPNやファイアウォールに関する複雑な設定が必要ありません。
ゼロトラストは比較的シンプルな設定やソリューションの導入のみで実現できるため、セキュリティの管理を簡素化することが可能です。
どこからでも好きな端末で社内システムを利用できるようになる
従来行われてきた境界型のセキュリティだと、社内と社外で明確に境界を分けるため、社外からや認証されていない機器からのアクセスは原則認められません。
一方でゼロトラストの場合は、端末やネットワーク、アクセスごとに脅威の有無をチェックする形で、セキュリティ対策を施します。社内と社外に境界を設定するわけではないため、社外の機器やネットワークからも社内で用いる情報にアクセスできるようになります。
どこからでも好きな端末で会社の情報にアクセスできるため、より手軽にテレワークを行いやすくなります。
ゼロトラストの注意点
前章でお伝えしたとおり、ゼロトラストの考え方に基づいたセキュリティには、セキュリティの強化やテレワークなど、あらゆる観点から見てメリットがあります。しかしゼロトラストの導入にあたっては注意すべき点もあります。
この章では、ゼロトラストに関する2つの注意点を解説しますので、導入にあたっては留意しましょう。
生産性や利便性を損なうリスクがある
ゼロトラストの「何も信用しない」という考え方を捉え間違えると、生産性や利便性を損なうリスクがあるので注意が必要です。たとえば「クラウドは信用できない」と考えて、外部のクラウドサービスの利用を禁止するとどうなるでしょうか?確かに安全性は増すかもしれませんが、円滑に業務を行うことが困難となる可能性があります。
また、何も信用できないからといって、漏洩しても問題ないような重要度の低い情報や業務に対しても、徹底的にセキュリティ対策を講じるのも生産性や利便性を損なう原因となり得ます。
前述した「CASB」などのソリューションを活用したり、重要なデータやアクセスのみ重点的にセキュリティ対策を講じることで、生産性や利便性を損わずにゼロトラストを実現する方向性を見いだしましょう。
ゼロトラストの構築にはある程度費用がかかる
ゼロトラストに基づいたセキュリティの構築には、ある程度費用はかかります。そこで重要となるのが、無駄のない賢い投資を心がけることです。たとえばゼロトラストのために、一から自社でシステムを再構築したり、重要でない情報にまでセキュリティ対策を徹底すると、得られる効果とコストが釣り合いません。
一方で、CASBなどのソリューションを活用したり、重点的にセキュリティ対策を施す部分とそうでない部分を切り分ける、という風に工夫すれば、相応の費用はかかるもののそれ以上の効果を実感できます。
ゼロトラストの取り組みを無駄にしないためには、セキュリティ上のメリットにつながる部分に賢く投資するようにしましょう。
ゼロトラストの仕組みを構築する上で重要なポイント
最後に、ゼロトラストの仕組みを構築する上で重要な2つのポイントを解説します。実際にゼロトラストの考え方に基づいて、セキュリティを構築したい方は必見です。
アクセス管理とモニタリングの徹底により被害を最小限に留める
ゼロトラストの仕組みを確固たるものにするには、クラウド上でのセキュリティ(アクセス管理とモニタリング)の徹底が必要不可欠です。
クラウド上のサービスを利用する場合、マルウェアなどに感染した端末により、被害が拡大するリスクがあります。そのため、どの端末がどのようなクラウドにアクセスしているかを管理した上で、実際にアクセスしているクラウドの挙動をモニタリングすることが重要となります。
アクセス管理とモニタリングを徹底すれば、クラウド上の不審な挙動やそれによって端末が受けた影響を可視化できます。その結果、いち早く問題に対処でき、セキュリティ上の脅威による被害を最小限に留めることが可能となります。
クラウド上にあるサービスを利用している場合、未知の脅威による影響を受ける可能性は常に付きまといます。予期せぬ被害が広がるリスクを軽減するためにも、アクセス管理とモニタリングは徹底しなくてはいけません。
エンドポイント(端末)ごとにセキュリティ対策を施す
基本的にゼロトラストは、社内で用いるデータにアクセスする端末をその都度確認することで、セキュリティの安全性を担保する考え方です。ですがセキュリティ上のリスクを限りなく下げるには、エンドポイント(端末)ごとにセキュリティ対策を施すことも大切です。
クラウドを含めてインターネット上には、マルウェアをはじめとした脅威が数多く存在します。そのため、ほとんどセキュリティ対策を施していない端末を利用していると、端末内に入っている重要な情報が改ざん・漏洩したり、他のデバイスや社内データに被害が拡大するリスクが高まります。
以上の理由より、社内データやクラウド上のみならず、端末自体のセキュリティも強化しなくてはいけないのです。
まとめ
クラウドの利用などやテレワークの普及により、もはや従来型のセキュリティ対策は通用しにくい時代となりました。クラウドの利用やテレワークを安全に実施したい方は、ゼロトラストの概念に基づいたセキュリティを構築するようにしましょう。
