テレワーク／リモートワークの普及にともない、会社以外でインターネットに接続する機会が増えたことで、「ゼロトラスト」と呼ばれる新たなセキュリティの考え方が注目を集めています。

ゼロトラストとはどのような考え方で、これまでのセキュリティに対する考え方とどのように異なるのでしょうか。本記事では、ゼロトラストの概要や従来のセキュリティとの違い、運用時のポイントを解説します。

ゼロトラストとは

ゼロトラストとは、社内と社外で分けていたネットワークの境界を捨て去り、情報資産にアクセスしてくるすべての通信を信用しないセキュリティの考え方です。

テレワーク／リモートワークの普及に加え、モバイル端末やクラウドサービスの活用により、社内にいても社外のサービスへアクセスする、もしくは社外から社内のネットワークにアクセスするケースが増えました。さまざまな通信の安全性を見極め、セキュリティを維持するためにも、ゼロトラストは欠かせない考え方です。

ゼロトラストと従来型セキュリティモデルの違い

従来型のセキュリティモデルは、社内からの通信を信頼し、社外からの通信を信用しない考え方でした。社内と社外の境界にファイアウォールを設置し、不正な通信を遮断する境界型セキュリティだったのです。

しかし、テレワーク／リモートワークの普及やクラウドサービスの台頭によって、この境界を行き来する頻度が増えています。このように社内と社外の区別が曖昧になった昨今は、ファイアウォールを設置する境界型セキュリティでは外部からの脅威に対応できません。

ゼロトラストは、社内と社外の境界をなくす代わりに認証や監視を強化し、従来以上のセキュリティ環境を施します。

ゼロトラストが必要になった3つの背景

ゼロトラストが必要になった背景には、主に以下の3つがあります。

• テレワーク／リモートワークの普及
• クラウドサービスの活用
• シャドーITの増加

テレワーク／リモートワークの普及

テレワーク／リモートワークの普及により、従業員が外出先で、安全性の担保されていないパブリックなネットワークを利用する可能性があります。これは、マルウェアの感染や通信の盗聴、社内ネットワークへの不正侵入につながるリスクを高めます。

従業員が社外から社内のネットワークにアクセスするケースも増えており、セキュリティリスクのある端末を社内環境へアクセスさせないためにも、ゼロトラストは重要です。

クラウドサービスの活用

業務に関するクラウドサービスの利用が増え、社内で管理している情報資産とデータ連携を実施しているケースもあります。
そのとき、クラウドサービスと社内のサーバー間で通信が発生するため、クラウドサービスのセキュリティ対策も必要です。

シャドーITの増加

シャドーITとは、従業員がプライベートで使用するパソコンやスマートフォンなど、情報システム部門が管理していない端末を社内のネットワークにつなげる 、あるいは未許可のアプリを社用端末にインストールして業務に利用することです。

シャドーITが増加した場合、セキュリティのリスクを抱えた状態の端末が社内のネットワークにアクセスしてくる可能性が高くなり ます。例えば、 その端末がすでにマルウェアに感染していると、社内に感染が拡大してしまうリスクがあるため、注意が必要です。

ゼロトラストでは、端末の認証を強化することで、情報システム部門が管理している端末以外の侵入を防げるでしょう。

ゼロトラストで重要な4つの要素

ゼロトラストは、以下の4つの要素が重要です。

• デバイス
• クラウド
• ネットワーク
• 保守運用

デバイス

デバイスは、企業で利用するパソコンやスマートフォンなどのIT機器を指します。ゼロトラストでは、デバイスに対する各種制御が必須であり、デバイス管理や次世代ウイルス対策ソフトの導入が求められます。

デバイス管理は、ツールによってさまざまな機能があります。一般的にはインストールしたデバイスのOSバージョンやアプリケーションを把握し、最新の状態を保って、攻撃者に付け込まれないように管理していきます。次世代ウイルス対策ソフトはEDR（Endpoint Detection and Response）と呼ばれ、マルウェアが侵入した後の検知や対処に重点をおいた製品です。

クラウド

クラウドサービスを利用するときは、権限レベルに応じたアクセス制限や、各種サービスのユーザー情報の管理などが求められます。

最近は多くのオンラインストレージが登場し、個人でも利用する方が増えているため、企業の機密情報を簡単に外部へ持ち出せる時代です。情報の持ち出しを防ぐためにも、ツールの導入や、オンラインストレージでのファイル共有を制限 するとよいでしょう。

ネットワーク

ネットワークでは、VPNの活用やURLフィルタリングの強化などによって、安全な通信を実現することが求められます。
VPNとは仮想的な専用回線のことで、社外から社内の環境へアクセスするときに安全な通信を実現します。テレワーク／リモートワークの普及で、自宅から社内の業務サーバーにアクセスする機会が増えているため、社外からの通信はVPNを活用することも選択肢のひとつです。

URLフィルタリングは、インターネット上のWebサイトへアクセスするとき、指定したURLのWebサイトへのアクセスを禁止する仕組みです。社内のデバイスが悪意のあるWebサイトにアクセスし、マルウェアに感染しないためにも実施しなければなりません。

保守運用

保守運用では、不正な通信を検知できる仕組みづくりや、事故発生時の運用体制の構築などが欠かせません。サイバー攻撃が巧妙化されている昨今は、外部からの不正な通信を検知できるかが重要です。不正な通信を検知する仕組みとしては、SOC（Security Operation Center）サービスの利用がよいでしょう。

SOCとは、ネットワーク機器やサーバーなどの監視を常におこない、外部からの不正な通信を検知する専門チームのことです。社内で常に監視するのは限界があるため、外部のSOCサービスに 依頼することでサイバー攻撃を素早く検知できます。

また、サイバー攻撃を検知した場合、社内でどのように対応していくか明確にしておきましょう。被害の最小化や原因の特定に向けた関係部署や外部への連絡など、さまざまな対応が求められるため、事前にインシデント発生時の体制を構築しておくとスムーズに動けます。

ゼロトラストのメリット

ゼロトラストには、以下3つのメリットがあります。

• 社外から社内へのアクセスが可能
• セキュリティレベルの向上
• DXの推進

社外から社内へのアクセスが可能

ゼロトラストは社内と社外の境界をなくす考え方のため、ゼロトラストのセキュリティ対策を施せば社外から社内環境へのアクセスが可能です。

従来は、社外からの通信を前提としていなかったため、社外から社内へのアクセス時は境界型のセキュリティ対策が邪魔をしていました。
しかし、ゼロトラストの考え方でセキュリティ対策をすると、認証の強化という 新たなセキュリティ対策を実施するため、ユーザー認証や端末認証によって社内にアクセスできます。

セキュリティレベルの向上

ゼロトラストは、社内ネットワークやクラウドサービスへのアクセス時に二段階認証や多要素認証などを組み合わせるため、セキュリティレベルの向上が期待できます。

二段階認証はIDとパスワードでログインしたあとに、デバイスへの通知やメール送信によって本人認証をする方法です。そして、多要素認証は知識情報、所有情報、生体情報のうち、ふたつ以上の要素を組み合わせて認証する方法です。
ゼロトラストは、2要素を取り入れた二段階認証を利用するケースが多いため、たとえIDやパスワードが流出しても、デバイスの紛失などがない限り、不正にログインされるケースは少ないでしょう。

DXの推進

社内と社外の境界がなくなることで、社内システムとクラウドサービスのデータ連携が可能になるため、社内DXの推進が期待できます。

DXでは各システムのデータをひとつの基盤上に統合し、そこで分析した結果を企業の意思決定に役立てるデータドリブンな組織づくりを目指します。クラウドサービスと社内システムの連携により、あらゆるデータを基盤上で統合できるため、ゼロトラストへの転換はDXの推進を加速させるでしょう。

ゼロトラストのデメリット

一方、ゼロトラストには、以下のデメリットがあります。

• 利便性が悪くなる可能性もある
• コストがかかる

利便性が悪くなる可能性もある

アクセス制限や認証の強化によって、通常の業務を実施するためのプロセスが増え、業務上の手間が増えるケースが考えられます。

例えば、今までアクセス時の認証をしていなかった場合、認証プロセスを導入することで、認証するための作業が増えます。セキュリティは、強固にするほど業務上の制約が強くなってしまうので、業務とセキュリティのバランスを見極める必要があるでしょう。

コストがかかる

ゼロトラストを実現すると、ソリューションの導入費用や、各種システムの改修など、多くのコストが発生します。ゼロトラストに効果的な製品はさまざまで、自社にあった製品選定が大切です。効果的なものをすべて導入するのではなく、費用対効果を見ながら進める必要があります。

また、ゼロトラスト導入後は、問題なく動いているかを定期的にモニタリングする必要があり、監視する対象が多いほど、運用コストは大きくなります。もし企業内でモニタリングする人材が不足している場合は、SOCサービスを活用するなど、外部リソースに頼るとよいでしょう。

ゼロトラスト導入・運用時のポイント

ゼロトラストの導入時には、以下のポイントを意識しましょう。

• 認証の強化
• ユーザー行動の可視化

認証の強化

クラウドサービスの活用やITツールの導入が進んでいるため、ひとりのユーザーに複数のアカウントを与えているケースは数多く見受けられます。ゼロトラストでは、今まで以上に認証方法が厳格になるため、アカウントの管理も慎重におこなわなければなりません。

もし、同じIDやパスワードをすべてのシステムで使い回していた場合、流出と同時に被害は大きく広がります。IDやパスワードは使いまわさず、システムごとに異なる設定をしてください。
ただ、すべてのIDやパスワードを記憶するのは難しいので、一度のユーザー認証で複数のシステムが利用できるシングルサインオンを導入するのもよいでしょう。

ユーザー行動の可視化

ゼロトラストではデバイスのアクセスログ、利用しているアプリケーション、ファイルの移動履歴など、ユーザーの行動を取得し、いつでも見られる状況にしておいてください。

もし、不正アクセスや情報の流出が発生しても、ログを頼りに原因究明ができます。さらに、不正な行動をしそうなユーザーを事前に特定し、脅威になりうる攻撃を未然に防ぐことも可能です。

まとめ

ゼロトラストは、社内と社外の区別をなくし、すべての通信を信頼しない考え方です。昨今はリモートワークの普及によって、社外から社内へのアクセスが増えただけでなく、クラウドサービスの活用で社内から社外へのアクセスも増加しています。

社内と社外の境界が曖昧になっているため、場所ではなく人やデバイスごとにさまざまな制限をしていかなければなりません。セキュリティ対策が進んでいない企業は、認証の強化やユーザー行動の可視化をおこない、ゼロトラストセキュリティを実現していきましょう。