お役立ち情報

ブログ

  • 2022.09.30. ゼロトラストとは?従来のセキュリティとの違い・導入のポイントも



    テレワークやクラウドサービスの普及に伴い、従来のセキュリティ対策に不安を感じている企業も少なくないでしょう。ニューノーマルに対応した情報セキュリティの概念としてゼロトラストへの注目が高まっていますが、自社に導入できるか判断に迷っている方もいるかもしれません。

    そこで当記事では、ゼロトラストについて解説します。実現させるための手法や導入時のポイントも併せて解説するため、セキュリティ対策見直しの参考にしてください。


    サイバー攻撃による被害を未然に防ぐには、通信システムを利用して活動するすべての企業はハッキングの標的にされうることを理解し、適切な対応を取ることが必要です。当記事では企業のセキュリティ対策を検討する上で欠かせない、ハッキングやサイバー攻撃の基礎知識を紹介します。

     

      

     

    1, ゼロトラストとは?

    ゼロトラストとは、「信用しない」という意味を表し、すべての通信・アクセスの安全性を信用しないことを前提としたセキュリティ対策の概念です。2010年にはアメリカで提唱されていた概念で、決して新しい考え方ではありませんが、多様化した現代の環境にマッチしたものとして注目されています。

     

     

    1-1, ゼロトラストセキュリティの仕組み

    ゼロトラストセキュリティは、社外からのアクセスだけでなく、社内ネットワークからのアクセスについても、すべてを疑う前提でセキュリティ対策をとる考え方です。そのため、ゼロトラストセキュリティでは、社外からのアクセスに加えて、社内ネットワークのトラフィック(ネットワーク上を流れるデータ量)にも検証を加えます。


    すべてを信用しないことを前提としているため、外部より内部の検証が甘くなることはありません。すべてのアクセス・トラフィックに対してネットワーク・デバイス・認証・ワークフローなど、あらゆる側面から対策を行います。

     

     

    1-2, 従来型モデルとの違い

    従来型モデルは、境界型モデル・ペリメタセキュリティなどと呼ばれ、社内ネットワークと外部を分け、境界があるものとして考えて対策を行うモデルです。内部は安全だという前提のもと、境界で外部からの脅威にのみ対応を行います。そのため、境界型の場合、セキュリティの脆弱性を突いて境界を越えた脅威には対応できないという弱点があります。


    境界型に対し、ゼロトラストには境界という概念はありません。また、内部は安全だという前提を捨て去って対策を行うことで、境界型では防御しきれない脅威への対応が可能です。

     

     

    1-3, ゼロトラストが注目される背景

    ゼロトラストが近年になって注目されるようになった背景には、テレワークやクラウドの普及があります。


    かつては社内ネットワークに外部から接続するためにはVPN(仮想プライベートネットワーク)を利用するのが主流でした。しかし、VPNは大勢が一度にアクセスすることは想定されていないため、想定外のアクセスが集中すると通信速度が落ちるなど、業務に支障をきたす恐れがあります。


    テレワークが本格化するにつれ、VPNから脱却し、オフィス外から直接社内のデータ・サーバーといった情報資産にアクセスすることが求められるようになりました。そこで、境界という考え方によらないゼロトラストの概念が必要となりました。

     

     

    2, ゼロトラストを実現させるための5つの手法

    すべてのアクセスを疑うためには、何層にもわたる対策が必要です。そのため、ゼロトラストの実現にあたっては、目的や企業のシステム環境に応じた手法を組み合わせる必要があります。

     

    ここでは、ゼロトラストを実現するために、必要度が特に高い手法を5つ紹介します。

     

     

    2-1, ユーザー認証

    ユーザー認証は、ユーザーがデータ・サーバーにアクセスする際に、アクセスが許可されたユーザーによる操作かどうかを判別する手法です。一般的には、IDとパスワードを用いた方法がよく知られています。


    ゼロトラストに基づいてユーザー認証を行う場合、アクセスごとに認証を検証する必要があります。また、セキュリティを向上させるために、ID・パスワードだけでなく、多要素認証が求められるケースも増えてきました。ただし、認証を厳密に行うほど、通信速度の低下やID管理の面でユーザーの負担が増大するデメリットもあります。内部処理的には認証を複雑化しつつ、ユーザーの負担をいかに軽減するかがゼロトラストの課題の1つです。


    認証の複雑化と業務の負担軽減を両立できる方法としては、IDaaSがあります。IDaaSとは、アサーションと呼ばれるチケットを自動で発行し、内部的に認証のやり取りを行うことでログインの手間を省く手法です。

     

     

    2-2, エンドポイントセキュリティ

    エンドポイントとは、データやサーバーへのアクセスを行う端末を指します。エンドポイントに入り込む脅威を検索・ブロックするのが、エンドポイントセキュリティです。エンドポイントセキュリティの代表例としては、アンチウイルスソフト・マルウェアソフトなどが挙げられます。


    リモートワークやクラウドサービスの普及に伴い、エンドポイントの環境も多様化しました。そのため、エンドポイントセキュリティは、複数のセキュリティ対策を掛け合わせて実行します。たとえば、1つのデバイスに対してネットワークセキュリティと連携しつつ、パソコン・スマホ・タブレットなど、エンドポイントの種類に応じた対策が必要です。

     

     

    2-3, ネットワークセキュリティ

    エンドポイントセキュリティでは端末に入り込む脅威をシャットアウトする一方、ネットワーク上のトラフィックに目を光らせるのがネットワークセキュリティです。ゼロトラストの場合、社内ネットワークの内部であっても、インターネット上の通信と同様にすべてのトラフィックを監視する必要があります。


    また、ログを取る・セキュリティの低い端末やネットワークからの接続を制限するといった対策を講じることで、セキュリティを担保できるようになります。

     

     

    2-4, クラウドセキュリティ

    クラウドセキュリティとは、不正アクセスやサイバー攻撃など、クラウド環境におけるリスクに備えるセキュリティ対策です。クラウドサービスの活用が盛んになったことにより、必要性が高まっています。クラウドは社外のデータへアクセスするサービスです。境界という概念がないため、まさにゼロトラストの領分と言えるでしょう。


    クラウドセキュリティは、サービス提供者が自動的に導入するもので、ユーザー側で導入できません。クラウドの利用にあたって、セキュリティの高いサービスを選定する必要があります。セキュリティの高さを客観的に判断するのが難しい場合は、各サービスが受けているクラウドセキュリティに対する認証を判断基準にするのも1つの方法です。クラウドセキュリティの認証には「ISO27001/ISO27017」「CSマーク」などがあります。

     

     

    2-5, セキュリティ監視

    アクセスログの監視は、ゼロトラストでは必須と言われる手法です。ゼロトラストでは、膨大なアクセスログを監視・分析した「信用スコア」をもとに、該当のアクセスの安全性を確認します。信用スコアとは、該当のユーザーの行動・アクセス認証などの結果を、AIを活用して数値で評価したものです。


    信用スコアによって、該当のアクセスが正当なものか不正であるかをより正確に検出することで、業務の負担や効率低下を抑えつつ、セキュリティ対策を厳密にできます。また、信用スコアの大元となるログは膨大で、適正に監視・分析するためにはログの一元化を行うことが重要です。

     

     

     

    3, ゼロトラストセキュリティを導入する際のポイント

    ゼロトラストの導入には多角的な視点が必要です。ゼロトラストの導入にあたっては、次のようなポイントを押さえましょう。


    ●適切にIDを管理する

    ゼロトラストにおいても、IDは厳重に管理する必要があります。社員が複数のIDを管理している場合は、ID管理が煩雑になるのを防ぐためにもIDの一元化を図るのも1つの方法です。


    ●適切にアクセス権限を管理する

    アクセス権限の付与は必要最低限にとどめましょう。情報漏洩などが発覚した場合に、原因となるユーザーを突きとめるのが容易になります。


    ●アクセスログを取得する

    アクセスログは、すべてのアクセスを可視化したものです。セキュリティ対策は、アクセスログをもとに行うため、必ずアクセスログを取得するための手段を準備し、迅速なセキュリティ対策の実施につなげましょう。

     

     

     

    まとめ

    ゼロトラストを実現するための手法にはさまざまあるものの、それぞれ単体では効果を発揮しません。「すべてを信用しない」という前提のもと、さまざまな側面からの対策を組み合わせる必要があります。


    特にエンドポイントセキュリティは多様化し、すべての端末を一定水準のセキュリティで保護する必要があるため、ゼロトラストの中でも難しい対策の1つです。EXOセキュリティでは、月5,000円から簡単な操作で、信頼性の高いエンドポイントセキュリティの構築を支援します。ゼロトラストの導入をご検討の際は、ぜひEXOセキュリティにご相談ください。