ゼロトラストとは? ゼロトラスト・セキュリティの仕組みをわかりやすく解説
日本情報システム・ユーザー協会(JUAS)が2022年3月に発表した「企業IT動向調査報告書 2022」によると、新規テクノロジーやフレームワークの導入状況について「導入済み」と「試験導入中・導入準備中」と回答した企業の伸び率が最も高かったのが、ゼロトラスト・セキュリティでした。テレワークが定着する中で、境界線防御への限界とゼロトラスト・セキュリティの必要性を感じている企業が多いことが伺えます。ゼロトラスト・セキュリティとは、どのような概念なのでしょうか。
リモートワークでネットワーク・セキュリティは「脱VPN」へ
従来の企業ネットワークは、社内とインターネットの境目を防御する「境界防御」が一般的です。インターネットから社内ネットワークにアクセスするルートについては、FW(ファイアーウォール)やIDS(不正侵入検知システム)等で防御しています。
しかし境界防御には限界も見えています。新型コロナウイルス感染症が拡大し、多くの企業が急遽リモートワーク・テレワークを導入しました。リモートワークでは社内のシステムを外部から操作する必要がありますが、外部から社内ネットワークにアクセスしようとすると、境界防御によりFWでブロックされてしまいます。そこでFW・IDSを経由しないルートとしてVPN(Virtual Private Network)を選択する企業が増えました。
VPNは仮想専用通信網と訳されるように、トンネリングの技術によりインターネット上に仮想の専用線を作り、デバイスと社内ネットワークを接続します。カプセル化によって通信しているデータを外部から隠す仕組みも備えています。
このようにVPNはセキュアな通信と言えますが、一方でFWやIDSを通過しないルートで外部からアクセスすることで、新たなセキュリティリスクが生まれています。国内でもVPNの脆弱性を狙われ、機密情報が流出した事故が発生しました。
リモートワークが当たり前の働き方になるにつれて「社内」「社外」の境界が曖昧になり、従来の境界防御では対策が難しくなったと言えます。
今求めらているゼロトラスト・セキュリティとは?
そこで新たに注目されているのが「ゼロトラスト・セキュリティ」です。ゼロトラストとは「信頼しない」という意味を持ちます。と言っても、ゼロトラストは「すべてを信頼しない」といったアプローチではありません。実際にはそれぞれのコンポーネントがなぜ信頼できるのか、いつまで信頼できるのかといった形で信頼を積み重ね、繋げていくアプローチを表現しています。具体的には、境界という概念を取り払い、ユーザー、デバイス、アプリケーション、データ、といったネットワークを構成する全てのコンポーネントを検証することで安全性を維持します。
ゼロトラスト・セキュリティの採用により、VPNを介することなく、権限を与えられた人・端末のみインターネットから社内のシステムに安全にアクセスできるようになります。VPNの設定をするといった境界を意識する必要がなくなるため、セキュリティを強化しつつ、利用者の利便性を向上させることができるというのが大きな特徴です。
従来は「セキュリティ」と「利便性」はトレードオフの関係にあるとされていましたが、その固定概念を覆す仕組みと言えるでしょう。
ゼロトラスト・セキュリティを実現するために必要な構成要素・ソリューション
ゼロトラスト・セキュリティを実現するゼロトラスト・アーキテクチャには、どのようなソリューションが必要なのでしょうか。ゼロトラストは、2010年に当時Forrester Research社のアナリストだったジョン・キンダーバーグ氏が提唱しました。そして同社が設計したモデルをチェース・カニンガム博士がForrester Zero Trust eXtended (ZTX)として再定義しました。ZTXを構成する要素に対応するソリューションも数多く登場しています。そこでZTXの定義をもとにゼロトラスト・セキュリティのアーキテクチャーを構成する要素とソリューションの一例をご紹介します。
●認証と認可/ IAM(Identity and Access Management)
ゼロトラストはアクセスしようとしている人が誰なのかを判別できていることが前提となっています。アクセスしている人は誰なのか、その人は本物なのか、どんな操作が許可されているかを統合的に管理する必要があります。
そのためのソリューションとしてはIAM(Identity and Access Management)が考えられます。従業員やパートナー企業のID管理とアクセス管理を適切に制御し、一元管理できます。
●デバイスの健全性 / EDR (Endpoint Detection and Response)
ユーザーと同様にアクセス時に検証するべきなのがデバイスです。最近ではIoTデバイスもネットワークに接続されるようになりました。アクセスしようとしているデバイスが登録されているものか、デバイスにインストールされているセキュリティ対策は最新か、デバイスにマルウェアが感染していないか、という検証も必要です。
そのためのソリューションとしてはEDR(Endpoint Detection and Response)が考えられます。デバイスからログデータを収集し、不審な挙動やサイバー攻撃を検知します。
またEPP(Endpoint Protection Platform)やNGAV(Next Generation Anti-Virus)と言われる次世代型マルウェア対策に対応したソリューションもあります。従来のマルウェア対策製品は、パターンファイルにマッチする既知のマルウェアしか検知できないという課題がありました。EPPではマルウェア検知の仕組みに機械学習といったAIを取り入れ未知のマルウェアの検出を可能にしたソリューションです。
●Webサービスへのアクセス制御 / CASB(Cloud Access Security Broker)
外部からのアクセスを制御しても、ユーザーが不正なWebサイトにアクセスすれば、マルウェアに感染してしまいます。また正しいWebサイトにアクセスした際でも、不正な実行ファイルをダウンロードしてしまう可能性はあります。今までは社内ネットワークからFW等を経由してインターネットに接続していたため、不正なサイトへのアクセスはフィルタリングされていましたが、ゼロトラストの世界では端末が直接インターネットに接続する想定のため、外部ネットワークへの全てのアクセスを一元管理する必要があります。
そのためのソリューションとしてはSWG(Secure Web Gateway)が考えられます。
全てのアクセスがSWGを経由することで、アクセス先のURLやIPアドレスから安全性を評価し、安全でない場合はアクセスを遮断します。
またCASB(Cloud Access Security Broker)といわれるSaaSをはじめとしたクラウドサービスへのアクセスを適切に制御・可視化するための製品もあります。SWGとCASBの違いは、SWGがウェブへのトラフィック全体をカバーするのに対して、CASBはSaaSをはじめとしたクラウドサービスへのアクセスに特化している点があげられます。SaaSの業務利用が一般化している昨今では、クラウドサービスに対しより詳細なアクセス制御ができるCASBへの注目が高まっています。
●データの保護 / DLP(Data Loss Prevention)
データは機密情報、個人情報が含まれる企業資産です。データは保管する際、使用する際にデータが外部に出る際に常に保護されなければなりません。
そのためのソリューションとしてはDLP(Data Loss Prevention)が考えられます。機密情報や重要なデータを自動的に特定し、データを監視・保護する機能です。情報の持ち出しを検知しアラート通知を出したり、操作をブロックしたりといった制御ができます。
昨今では前述のCASB側で提供される仕組みを軸に導入されることも増えています。自社内で使われるウェブサービスが増加を続ける事を考えると、CASBやDLPは継続的な改善と運用ありきでの導入が求められます。
●クラウドワークロードの保護 / CWPP(Cloud Workload Protection Platforms)
クラウド上で稼働するアプリケーションや業務システムの利用は、権限を持ったユーザーと、正しいデバイスで行う必要があります。また、クラウド上のシステムは脆弱性を残さないように常に対応しなければなりません。
さらに、管理対象となるクラウド基盤は、仮想マシン、コンテナ、サーバーレスとワークロードの形態が多様化しています。
こうした形態の異なるワークロードについても動作するアプリケーションも含めて統合して制御しなければなりません。そのためのソリューションとしてはCWPP(Cloud Workload Protection Platforms)が考えられます。CWPPは、クラウドの各ワークロードや仮想化基盤、コンテナ等に実装することで機能します。多様なサーバーワークロードを一貫して制御する機能や事前に脆弱性を検知する機能を備え、さらにワークロードと一緒にスケールアウトすることで処理の増大にも対応できます。
●ログの管理と分析 / SIEM(Security Information and Event Management)
これまで見てきたように、デバイスもサーバーの形態も多様化が進んでいます。形態の異なる大量のIT機器からもれなくログを収集・解析し、インシデントにつながる脅威を検知する必要があります。
そのためのソリューションとしてはSIEM(Security Information and Event Management)が考えられます。
多様なIT機器のログを一元管理し、IT機器を横断してログを解析することで異常な挙動を検知し、管理者に通知します
●インシデント対応の自動化 / SOAR(Security Orchestration, Automation and Response)
サイバー攻撃は高度化・巧妙化しています。攻撃を検知し、分析や対処を行うためには、検知後の初動調査、対処した場合の証拠管理、関係者への状況報告など膨大な手作業が発生します。定型化できるものは自動化し、重要度の高いセキュリティインシデントへの対応に集中できる環境が必要です。
そのためのソリューションとしてはSOAR(Security Orchestration, Automation and Response)が考えられます。SOARはインシデント対処の自動化、インシデント管理の機能を備えています。自社の脅威情報、外部サービスから収集した脅威情報をSOARのプラットフォームに統合し、全てのインシデントの情報共有や証拠の管理をプラットフォーム上で実施できます。
ゼロトラスト・セキュリティのメリット
ゼロトラスト・セキュリティのメリットは次のようなことが考えられます。
●セキュリティを強化できる
ゼロトラスト・セキュリティの最大のメリットは、境界防御では実現できなかったセキュリティ強化が期待できることです。「データは社内にあるから安全だろう」「ユーザーは社内にいるから信頼できる」といった暗黙の了解をなくし、複雑なサイバー攻撃から保護することができます。
●場所を選ばずアクセスできる
外部から社内のシステムにアクセスするには、VPNを利用する際はVPNの設定やVPN用の認証が必要でした。ゼロトラスト・セキュリティの環境においては、許可された端末であれば場所を選ばずにアクセスできるため、多様な働き方が実現します。
●より統合した管理が可能になる
クラウドサービスの利用が加速し、テレワークで端末が社外にある機会が増えたことで、管理が煩雑になっていました。ゼロトラスト・セキュリティが実現すれば、あらゆるアクセスを制御することで、サーバーや端末、ユーザーをもれなく管理できます。
ゼロトラスト・セキュリティ/ゼロトラスト・アーキテクチャを実現するためのポイント
これまで見てきたように、ゼロトラスト・セキュリティは、ひとつの製品を導入して実現できるものでは無く、複数のソリューションを組み合わせて初めて実現します(ゼロトラスト・アーキテクチャ)。そのため一気に導入するのは現実的ではありません。ITの巨人と呼ばれるGoogleでもゼロトラスト・セキュリティを導入するのに8年かかったと言われています。
インターネットの活用がビジネス成長に必須となっている中、自社の従業員がどういった業務課題と向き合っていて、一方でシステムはどのような脅威にされされているか、といった観点から全体最適で考えることが重要です。ビジネス成果とセキュリティのバランスをとって自社に必要なソリューションを洗い出し、一定の理想像を描いた上で優先順位の高いものから段階的に導入していく必要があります。
ゼロトラストは「何も信用しない」というのが基本コンセプトとしてあるため、まずは利用者とデバイスを認証・認可する基盤から準備するのもひとつの考え方です。
リモートワークが普及して人・デバイスが境界の外からアクセスするようになりました。またクラウド化の加速によって、企業のデータが境界の外へ移動しています。
将来、情報システムをどのような構成にしていくのか、あるべき姿を見据えながらゼロトラスト・セキュリティの検討を進めていきましょう。
この記事の著者
関連するサービス
お問い合わせ
依頼内容に迷っているときは、課題の整理からお手伝いします。
まずはお悩みをご相談ください。
-
システム運用監視・保守サービスReSM(リズム)ご紹介資料
クラウドの導入から24時間365日のシステム運用監視まで、ITシステムのインフラをトータルでサポートするReSM(リズム)サービスについて詳しく説明します。
-
4つのポイントで学ぶ「失敗しないベンダー選び」
運用アウトソーシングを成功させる第一歩は、サービスベンダーの選択です。この資料ではサービスベンダーを選択するポイントを4つ紹介します。