ゼロトラストとは? 注目を集める背景、
実現させるための構成要素やポイントを解説

リモートワークやクラウドサービスの導入をする際に忘れてはいけないのが、セキュリティ対策の見直しです。従来のセキュリティは、オフィス環境での運用を想定しているため、そのままでは不備が出る恐れがあります。そこで本記事では、現代のビジネス環境に適合したセキュリティ概念「ゼロトラスト」の概要や、実現の方法を解説します。

ゼロトラストとは?

ゼロトラストとは、「何に対しても信頼しない」という原則に立ったセキュリティ対策の考え方です。ゼロトラストではネットワークやシステムの内外、あるいは組織の内外を問わず、どのトラフィックにも一定の警戒が必要であるという考え方を採用します。「ゼロトラスト」という言葉も、「Trust（信頼）がない（Zero）」ことを意味するものです。

従来型とゼロトラストの違い

ゼロトラストの特性を理解するには、従来のセキュリティとの比較が役立ちます。

「境界防御型」と呼ばれる従来のセキュリティ対策は、社内ネットワークと外部ネットワークを明確に分け、外部ネットワークからのトラフィックに重点を置いて警戒するものでした。逆にいえば、境界防御型は「社内ネットワーク内のトラフィックは信頼できる」という考え方に基づいています。

しかし、リモートワークやクラウドサービスの普及に伴い、ネットワークに内と外の区別をつけて、「外は危険で中は安全」と考えることは現状にそぐわなくなってきました。ネットワークの境界自体が曖昧になっているうえ、内部不正のリスクも高まっています。そこで、従来の境界防御型からセキュリティの考え方を根本的に見直し、全方位的な警戒態勢を取るゼロトラストへ移行する必要性が増しています。

ゼロトラストが注目を集める背景

以下で解説するように、ゼロトラストが注目を集める背景には、近年のIT環境の変化が大きく関係しています。特にリモートワークの普及によって、従業員がオフィスの外から企業のネットワークにアクセスする機会が増えたことは、多くの企業にゼロトラストへの転換を促した要因です。

リモートワークによって社外アクセスが増加している

ゼロトラストの必要性が急上昇した理由としては、コロナ禍をきっかけにリモートワークが普及し、社外アクセスが増加したことが挙げられます。

リモートワーク環境において、従業員はオフィス外のさまざまな場所から社内システムにアクセスします。アクセス端末に関しても社内PCだけでなく、スマホやタブレットなどマルチデバイス化が進んでおり、ファイアウォールを中心にした従来の境界防御型では対応が難しくなっている状況です。

実際、一般社団法人JPCERTコーディネーションセンターの調査によれば、セキュリティインシデントの発生件数は、コロナ禍が日本国内で本格化する前の2020年2月には1,775件だったのが、同年9月には5,473件と約3倍にも増加しました。これは、感染症対策として多くの企業がリモートワーク環境に移行したことで生じた脆弱性が一因になっていると考えられます。

先述のように、従来の境界防御型セキュリティでは、リモートワーク環境には対応しきれません。そこで新たなセキュリティモデルとして、ゼロトラストが注目を集めるようになりました。

参照元：JPCERT/CC インシデント報告対応レポート 2020 年7月1 日 ～ 2020年9月30 日
※P4[図1：インシデント報告件数の推移]をご参照ください

クラウドサービスを利用する企業が増えている

クラウドサービスを利用する企業が増加していることも、ゼロトラストの必要性が増している大きな理由です。

クラウドサービスを利用することで、従業員は社内ネットワークに接続せずとも、必要なデータやアプリケーションへ容易にアクセスできるようになります。そのため、社内ネットワークと外部ネットワークの境界線上に防御網を展開する従来のセキュリティ対策は、根本的にその意義が薄れるようになりました。

また、クラウドサービスの利用にあたって、許可されていない個人デバイスを使用してシステムにアクセスする従業員も存在します。個人デバイスは、ビジネス水準のセキュリティ対策が施されていない場合が多いので、そこから情報漏えいが生じるリスクも警戒しなければいけません。このように警戒すべき対象が増えていることも、ゼロトラストの必要性を上げています。

内部不正による情報漏えいが増えている

外部ネットワークからの攻撃だけでなく、内部不正による情報漏えいリスクに備える必要性が増していることも、ゼロトラストの導入が進んでいる理由です。

従来のオフィスワーク環境では、基本的に社内PCでのみ情報にアクセスしていました。これは情報の持ち出しなど、内部不正を抑止する効果もありました。

しかし、リモートワークやクラウドサービスの普及に伴い、この状況は大きく変わりました。現在では、従業員は自宅やほかの場所から簡単に自社の情報へアクセスできるようになっています。これに伴い、データを入れた端末の紛失や、パスワードの盗み見などのリスクも警戒せざるをえない状況です。こうしたエンドポイントセキュリティの必要性が増したことも、企業にとってゼロトラストの採用を急務とする要因となっています。

ゼロトラストを実現するための構成要素

ゼロトラストセキュリティの実現には、多角的な対策が必要です。そこで以下では、ゼロトラストを実現するためにどのようなセキュリティ対策が必要なのか、個々の構成要素を解説します。

ネットワークセキュリティ

多くの場合、企業の保有するデータやシステムは外部ネットワークとつながっているため、ネットワークの安全性を確保することは、ゼロトラストモデルにおいて欠かせない要素のひとつです。ハッキングやサイバー攻撃、偽アクセスポイントからの接続といった脅威に対して、ネットワークセキュリティは大きな効果が期待できます。

具体的なネットワークセキュリティとしては、ファイアウォール、不正アクセスの自動監視・検知、不審なサイトへのアクセス遮断などが含まれます。

クラウドセキュリティ

ビジネスにおけるクラウドサービスへの依存度が増す中、クラウドセキュリティは非常に重要な要素です。ここで特に必要となる対策としては、クラウドサービスやオンラインストレージへのアクセス時に、認証・認可のプロセスを厳密に行うソリューションの導入などが挙げられます。これによって、外部からの不正アクセスやサイバー攻撃の防御が可能です。

クラウドサービスの安全な運用においては、アクセス管理、暗号化、セキュリティポリシーの管理なども求められます。

エンドポイントセキュリティ

エンドポイントセキュリティとは、ネットワークの終点（エンドポイント）にあたる端末のセキュリティ対策を指します。具体的には、PC、スマホ、タブレットなどが挙げられます。

エンドポイントセキュリティのソリューションを導入することにより、使用する機器の制限を緩和するとともに、各機器や端末自体を直接保護できます。具体的には、アンチウイルスソフトの導入、端末の操作・通信ログの監視、ID管理などが挙げられます。また、端末紛失時の対策も欠かせません。

分析・監視

ゼロトラストを実現するうえで、各トラフィックに不審な動きがないか分析・監視するソリューションの導入は、非常に重要です。こうしたソリューションは、ユーザーの行動パターンに異常がないかを自動で分析・監視し、セキュリティインシデントの予兆を早期に発見・対応することを目的にしています。たとえば、あるユーザーが普段とは違う場所や時間、端末からシステムにアクセスした際に、セキュリティ担当者へ自動で警告するなどです。これによって、不正アクセスやデータ漏えいのリスクを大幅に減らせます。

ユーザー認証

不正アクセスを防ぐためには、厳格なユーザー認証の実施も重要です。それには、IDやパスワードによる認証だけでなく、顔認証・虹彩認証・指紋認証・二段階認証などの多要素認証を採用することが求められます。これにより、たとえ端末を紛失したり、IDやパスワードが流出したりした場合でも、情報漏えいのリスクを大幅に減らすことが可能です。

ゼロトラストで押さえておくべき2つのポイント

ゼロトラストセキュリティを効果的に運用するためには、以下の2つのポイントを押さえることが鍵になります。

1. アクセス履歴・行動履歴を追跡できるようにする

第一に重要なのは、ユーザーや端末のアクセス履歴・行動履歴を追跡し、可視化できる体制を構築しておくことです。先述した通り、アクセス履歴・行動履歴の収集・分析をすることは、セキュリティインシデントの予兆を察知し、被害を未然に防ぐうえで大きな効果を発揮します。手作業で膨大な履歴データを監視・追跡することは困難なので、こうした作業を自動化できるソリューションを導入するのがおすすめです。

2. ID・パスワードの認証管理を強化する

多要素認証などの導入によって、ID・パスワードによる認証管理を強化することも重要なポイントです。ID・パスワードで認証するだけでは、なりすましのリスクへの備えとして十分ではありません。そのため、アクセスしようとしているのが本当に本人なのか、複数の情報から確実に判断できる仕組みが求められます。アクセス地点や使用デバイスなどの情報も、認証・認可をするうえで重要な判断材料です。また、退職者などが出た際に、迅速にアクセス権限の制限を行うことも欠かせません。

ゼロトラストセキュリティのメリットと課題

ゼロトラストセキュリティは、現代のビジネス環境において多くのメリットを提供する一方で、いくつかの課題も抱えています。

メリット

ゼロトラストの最大のメリットは、情報漏えいなどのセキュリティリスクを大幅に軽減できることです。ネットワークの境界を取り払い、すべてのトラフィックの監視・分析をすることで、たとえ情報漏えいが発生した場合でも、被害の検出から原因特定、対応までの時間を短縮し、被害を最小限に抑えられます。

さらに、アクセス端末や場所にとらわれないセキュリティ体制を構築することで、リモートワークなどの柔軟な働き方を促進できるのも大きなメリットです。これは従業員のワークライフバランスの向上や、従業員エンゲージメントの向上などにもつながります。

課題

ゼロトラストは特定の製品の名前ではなく、セキュリティ対策の基本的な考え方を表したものであることに注意が必要です。ここまで解説してきたように、ゼロトラストがカバーする領域は広範にわたるため、具体的なソリューションの実装に際して何をどこから着手すべきかは、自社のニーズや課題に合わせて中長期的に計画しなければいけません。

また、ゼロトラストでは多角的なセキュリティ対策を要する都合、コストの面でも負担が大きくなりがちです。このように、ゼロトラストを実現するには、運用面とコスト面の双方の課題を克服する必要があります。

まとめ

「何に対しても信頼しない」というゼロトラストセキュリティは、リモートワークやクラウドサービスの普及に伴って注目度を増しています。ゼロトラストの導入は、セキュリティインシデントを未然に防ぎ、不正アクセスや情報漏えいのリスクを減らすうえで重要です。

ゼロトラストセキュリティの実現にあたっては、クエスト・ソフトウェア社のID管理ソリューション「One Identity Manager」が重要な役割を果たします。「One Identity Manager」は、オンプレミス・ハイブリッド・クラウド環境を問わず、必要な人に必要な分だけのアクセス権限を与えることを可能にします。
リアルテックでも導入のご支援をしておりますので、まずはお気軽にご相談ください。

ID管理ソフトウェア「One Identity Manager」