ゼロトラストとは？VPNとの違いも解説

日本情報システム・ユーザー協会（JUAS）が2022年3月に発表した「企業IT動向調査報告書 2022」によると、新規テクノロジーやフレームワークの導入状況について「導入済み」と「試験導入中・導入準備中」と回答した企業の伸び率が最も高かったのが、ゼロトラスト・セキュリティでした。テレワークが定着する中で、境界線防御への限界とゼロトラスト・セキュリティの必要性を感じている企業が多いことが伺えます。ゼロトラスト・セキュリティとは、どのような概念なのでしょうか。

テレワークで従来型ネットワークは限界、”脱VPN”へ

従来の企業ネットワークは、社内とインターネットの境目を防御する「境界防御」が一般的です。インターネットから社内ネットワークにアクセスするルートについては、FW（ファイアーウォール）やIDS（不正侵入検知システム）等で防御しています。
しかし境界防御には限界も見えています。新型コロナウイルス感染症が拡大し、多くの企業が急遽テレワークを導入しました。テレワークでは社内のシステムを外部でから操作する必要がありますが、外部から社内ネットワークにアクセスしようとすると、境界防御によりFWでブロックされてしまいます。そこでFW・IDSを経由しないルートとしてVPN（Virtual Private Network）を選択する企業が増えました。

VPNは仮想専用通信網と訳されるように、トンネリングの技術によりインターネット上に仮想の専用線を作り、デバイスと社内ネットワークを接続します。カプセル化によって通信しているデータを外部から隠す仕組みも備えています。

このようにVPNはセキュアな通信と言えますが、一方でFWやIDSを通過しないルートで外部からアクセスすることで、新たなセキュリティリスクが生まれています。国内でもVPNの脆弱性を狙われ、機密情報が流出した事故が発生しました。
テレワークが当たり前の働き方になるにつれて「社内」「社外」の境界が曖昧になり、従来の境界防御では対策が難しくなったと言えます。

今求められる「ゼロトラスト・セキュリティ」とは？

そこで新たに注目されているのが「ゼロトラスト・セキュリティ」です。ゼロトラストとは「何も信用しない」という意味を持ちます。境界という概念を取り払い、ユーザー、デバイス、アプリケーション、データ、といったネットワークを構成する全てのコンポーネントを検証することで安全性を維持します。

ゼロトラスト・セキュリティの採用により、VPNを介することなく、権限を与えられた人・端末のみインターネットから社内のシステムに安全にアクセスできるようになります。VPNの設定をするといった境界を意識する必要がなくなるため、セキュリティを強化しつつ、利用者の利便性を向上させることができるというのが大きな特徴です。
従来は「セキュリティ」と「利便性」はトレードオフの関係にあるとされていましたが、その固定概念を覆す仕組みと言えるでしょう。

ゼロトラスト・セキュリティを実現するために必要な要素・ソリューション

ゼロトラスト・セキュリティを実現するためには、どのようなソリューションが必要なのでしょうか。ゼロトラストは、2010年に当時Forrester Research社のアナリストだったジョン・キンダーバーグ氏が提唱しました。そして同社が設計したモデルをチェース・カニンガム博士がForrester Zero Trust eXtended （ZTX）として再定義しました。ZTXを構成する要素に対応するソリューションも数多く登場しています。そこでZTXの定義をもとにゼロトラスト・セキュリティのアーキテクチャーを構成する要素とソリューションの一例をご紹介します。

●アイデンティティ
ゼロトラストはアクセスしようとしている人が誰なのかを判別できていることが前提となっています。アクセスしている人は誰なのか、その人は本物なのか、どんな操作が許可されているかを統合的に管理する必要があります。
そのためのソリューションとしてはIAM（Identity and Access Management）が考えられます。従業員やパートナー企業のID管理とアクセス管理を適切に制御し、一元管理できます。

●デバイス
ユーザーと同様にアクセス時に検証するべきなのがデバイスです。最近ではIoTデバイスもネットワークに接続されるようになりました。アクセスしようとしているデバイスが登録されているものか、デバイスにインストールされているセキュリティ対策は最新か、デバイスにマルウェアが感染していないか、という検証も必要です。
そのためのソリューションとしてはEDR（Endpoint Detection and Response）が考えられます。デバイスからログデータを収集し、不審な挙動やサイバー攻撃を検知します。

●データ
データは機密情報、個人情報が含まれる企業資産です。データは保管する際、使用する際にデータが外部に出る際に常に保護されなければなりません。
そのためのソリューションとしてはDLP（Data Loss Prevention）が考えられます。機密情報や重要なデータを自動的に特定し、データを監視・保護する機能です。情報の持ち出しを検知しアラート通知を出したり、操作をブロックしたりといった制御ができます。

●アプリケーション
アプリケーションへのアクセスは、権限を持ったユーザーと、正しいデバイスで行う必要があります。また、アプリケーションは脆弱性を残さないように常に最新化しなければなりません。しかし社内のチームが許可なくクラウドサービスを導入したり、システムを構築して外部に公開する「シャドーIT」が深刻化しており、サイバー攻撃の糸口となるリスクも高まっています。
また、管理対象となるクラウドサービスの基盤には、仮想マシン、コンテナ、サーバーレスとワークロードの形態が多様化しています。

こうした形態の異なるワークロードについても動作するアプリケーションも含めて統合して制御しなければなりません。そのためのソリューションとしてはEASM（External Attack Surface Management）やCWPP（Cloud Workload Protection Platforms）が考えられます。
EASMはインターネットに公開されている攻撃対象となる資産について、企業が存在を把握していないものも含めて探索し、脆弱性を診断します。
またCWPPは、多様なサーバーワークロードを一貫して制御する機能やアプリケーションについて事前に脆弱性を検知する機能を備えています。

●インフラ・ネットワーク
外部からのアクセスを制御しても、ユーザーが不正なWebサイトにアクセスすれば、マルウェアに感染してしまいます。また正しいWebサイトにアクセスした際でも、不正な実行ファイルをダウンロードしてしまう可能性はあります。今までは社内ネットワークからFW等を経由してインターネットに接続していたため、不正なサイトへのアクセスはフィルタリングされていましたが、ゼロトラストの世界では端末が直接インターネットに接続する想定のため、外部ネットワークへの全てのアクセスを一元管理する必要があります。
そのためのソリューションとしてはSWG（Secure Web Gateway）が考えられます。
全てのアクセスがSWGを経由することで、アクセス先のURLやIPアドレスから安全性を評価し、安全でない場合はアクセスを遮断します。

●アナリティクス
これまで見てきたように、デバイスもサーバー形態も多様化しています。形態の異なる大量のIT機器からもれなくログを収集・解析し、インシデントにつながる脅威を検知する必要があります。
そのためのソリューションとしてはSIEM（Security Information and Event Management）が考えられます。
多様なIT機器のログを一元管理し、IT機器を横断してログを解析することで異常な挙動を検知し、管理者に通知します

●オートメーション・オーケストレーション
サイバー攻撃は高度化・巧妙化しています。攻撃を検知し、分析や対処を行うためには、検知後の初動調査、対処した場合の証拠管理、関係者への状況報告など膨大な手作業が発生します。定型化できるものは自動化し、重要度の高いセキュリティインシデントへの対応に集中できる環境が必要です。
そのためのソリューションとしてはSOAR（Security Orchestration, Automation and Response）が考えられます。SOARはインシデント対処の自動化、インシデント管理の機能を備えています。自社の脅威情報、外部サービスから収集した脅威情報をSOARのプラットフォームに統合し、全てのインシデントの情報共有や証拠の管理をプラットフォーム上で実施できます。

ゼロトラスト・セキュリティのメリット

ゼロトラスト・セキュリティのメリットは次のようなことが考えられます。

●セキュリティを強化できる
ゼロトラスト・セキュリティの最大のメリットは、境界防御では実現できなかったセキュリティ強化が期待できることです。「データは社内にあるから安全だろう」「ユーザーは社内にいるから信頼できる」といった暗黙の了解をなくし、複雑なサイバー攻撃から保護することができます。

●場所を選ばずアクセスできる
外部から社内のシステムにアクセスするには、VPNを利用する際はVPNの設定やVPN用の認証が必要でした。ゼロトラスト・セキュリティの環境においては、許可された端末であれば場所を選ばずにアクセスできるため、多様な働き方が実現します。

●より統合した管理が可能になる
クラウドサービスの利用が加速し、テレワークで端末が社外にある機会が増えたことで、管理が煩雑になっていました。ゼロトラスト・セキュリティが実現すれば、あらゆるアクセスを制御することで、サーバーや端末、ユーザーをもれなく管理できます。

ゼロトラスト・セキュリティを実現するためのポイント

これまで見てきたように、ゼロトラスト・セキュリティは複数のソリューションを組み合わせて初めて実現します。そのため一気に導入するのは現実的ではありません。ITの巨人と呼ばれるGoogleでもゼロトラスト・セキュリティを導入するのに8年かかったと言われています。
自社に必要なソリューションを洗い出し、優先順位の高いものから段階的に導入していく必要があるでしょう。

ゼロトラストは「何も信用しない」というのが基本コンセプトとしてあるため、まずは利用者とデバイスを認証・認可する基盤から準備するのもひとつの考え方です。
テレワークが普及して人・デバイスが境界の外からアクセスするようになりました。またクラウド化の加速によって、企業のデータが境界の外へ移動しています。
将来、情報システムをどのような構成にしていくのか、あるべき姿を見据えながらゼロトラスト・セキュリティの検討を進めていきましょう。

システム運用担当者さま必見！お役立ち資料

ゼロトラスト時代、変化するセキュリティトレンドと今後の対策が分かるお役立ち資料です。

この記事の著者

ReSM（リズム）サービス担当者

ReSMサービスはシステム運用の「 {re} design 」をコンセプトに、 「最適な運用」を「最適な価格」でご提供するマネージド・サービス・プロバイダーです。 クラウドの導入支援から安心の運用監視・保守までをトータルでご提案できます。