ゼロトラストとは?従来型セキュリティとの違い・導入ポイントを紹介
現在、テレワークの普及に伴い、「ゼロトラスト」と呼ばれる新しいセキュリティが求められています。
従来の「境界型セキュリティ」よりもさらに強固なセキュリティ対策「ゼロトラスト」の詳細・導入ポイントなどについて解説します。
- 目次
ゼロトラストとは?従来型セキュリティモデルとの違い
従来、セキュリティに対する考え方は、ネットワークを内側と外側の2つに分け、内側を「信用できるもの」、外側を「信用できないもの」とし、その境界線上にファイアウォールなどのセキュリティ機器を配置する「境界型セキュリティ」いうものでした。
しかし、テレワークやモバイル機器の普及で内側と外側との区別が曖昧になったことに加え、クラウドサービスの普及により保護すべきデータが内側だけでなく外側にも存在するようになったことで、この「社外からの不正アクセスから社内のデータ資産を守る」という考え方は次第に時代に合わないものとなってきました。
そこで「ゼロトラストネットワーク」という考え方が登場しました。ゼロトラストネットワークでは、無条件に信用できる「安全地帯」を設定しません。代わりに社内、社外を区別せず、すべての通信を信用でできないと考え、従来よりも厳格なユーザー認証やネットワーク監視などのセキュリティ対策を施します。
具体的には、従来のユーザーID/パスワードに加えて次のような事項を確認します。
これにより、すべての通信について安全性を確保することができます。
- 使用しているネットワークは安全か
- 使用しているデバイスは許可されたものか
- デバイスがマルウェアなどに感染していないか
- デバイスに必要な安全対策が施されているか
- ユーザー本人によるアクセスか
- 使用しているアプリケーションに脆弱性はないか
- 不審な操作を行っていないか
SASEとの違い
ゼロトラストと同時に語られることの多いキーワードに「SASE(Secure Access Service Edge、サシー)」があります。SASEは2019年にGartner社により定義された新しいネットワークセキュリティモデルで、ネットワーク機能とセキュリティ機能を統合し、クラウド上で提供しようという考え方です。
簡単にいうと、「ゼロトラスト」という考え方に基づき、実際にサービスを提供する仕組み、と言えるでしょう。
ゼロトラストが注目される理由・メリット
近年ゼロトラストが注目を集めている理由は、テレワーク・クラウド時代に合ったさまざまなメリットが存在するためです。以下にゼロトラストのメリットを3つ挙げます。
メリット①:セキュリティレベルが大幅に向上
ゼロトラストでは、アクセスのたびにさまざまな要素を組み合わせた認証を実施するため、セキュリティレベルを大幅に向上することができます。また、アクセスログが保存されるため、利用状況を把握したり、アクセス解析を実施したりすることもできます。
メリット②:社内外を問わず、どこからでもアクセス可能
社内と社外の区別がなくなるということは、社外からでも社内同様にアクセスが可能になることでもあります。また、従来は境界線上に設置されたセキュリティ機器がボトルネックとなることもありましたが、そうした可能性も低減されます。
メリット③:セキュリティ管理の効率化向上
従来は、攻撃の種類やネットワークに応じて各種セキュリティ機器を用意していたため、そうした機器の管理が煩雑になりがちでした。ゼロトラストでは、各種設定をクラウド上で一元管理できるため、離れた拠点でも同一のセキュリティポリシーを適用することも可能です。
テレワークの普及で顕著になったVPNの課題
テレワークの導入に際し、セキュリティを確保するソリューションとしてVPNがあります。
各拠点を安全に接続でき、さらにゲートウェイを経由させることでインターネット接続時の安全性も確保できるなど、VPNネットワークには確かにテレワークに適したメリットが多数あります。ただし、本格的にテレワークの普及が開始された現在では、課題も見えてきました。
インターネット接続時に輻輳が発生する
VPNで各拠点を接続していても、セキュリティを確保するため、インターネットへの接続は必ず本社のデータセンター等を経由するようなネットワークとなっていることも多いでしょう。
その場合、インターネット接続への出口がボトルネック化して輻輳が発生し、通信速度が低下するなど業務に支障をきたす恐れがあります。
データ通信量が年々増加しており回線の見直しが必要
クラウドアプリケーションなどの理由により、データ通信量は年々増加しています。それに伴い、将来的に通信品質が低下したり、契約した帯域が足りなくなったりといった事態が発生するかもしれません。
こうした場合、パフォーマンスを維持するためには回線の増強や契約の見直しが必要となりますが、コスト等の要因から対応が難しい場合もあるでしょう。
セキュリティが万全ではない
専用線と同等のセキュリティ性能を目指すVPNですが、セキュリティ上のリスクがまったくないわけではありません。実際にVPNゲートウェイが攻撃を受けた事例や、ログイン情報の漏洩により外部から不正アクセスを受けた事例なども発生しています。
ゼロトラストを実現するために必要な4つのソリューション
現在、ゼロトラストを実現するためのソリューションは多数登場しており、ゼロトラストネットワークの構築を目指す際にはそれらから必要なものを組み合わせて導入する必要があるでしょう。
その中でも特に必要と思われる4つのソリューションを紹介します。
表1 ゼロトラストの4つのソリューション
分類 | 保護対象 | ソリューションの例 |
---|---|---|
ユーザー認証 | ログイン情報 | IDaaS |
エンドポイントセキュリティ | PC、モバイル端末 | EDR、EPP |
ネットワークセキュリティ | リモート接続者 | SWG、SDP、SD-WAN |
クラウドセキュリティ | クラウド利用者 | CASB、CSPM |
ユーザー認証
「ユーザー認証」は、ユーザーIDやパスワードなどのログイン情報の管理や認証を行うソリューションです。クラウド上で認証情報の管理を行うIDaaS(Identity as a Service)が代表的で、ひとつのID/パスワードで複数のサービスを利用することができる「シングルサインオン」の機能を備えたソリューションもあります。
エンドポイントセキュリティ
「エンドポイント」は、ネットワークの末端に位置する機器、すなわちPCやモバイル端末などをさします。エンドポイントセキュリティは、それらの端末を保護するソリューションです。
端末を監視するEDR(Endpoint Detection and Response)、マルウェアの感染から保護するEPP(Endpoint Protection Platform)などがあります。
ネットワークセキュリティ
「ネットワークセキュリティ」は、ネットワークの各種アクセス権限を設定するとともに、セキュリティを確保するソリューションです。
危険なサイトなどへのアクセスを遮断するSWG(Secure Web Gateway)、リアルタイムに接続可否を判断するSDP(Software Defined Perimeter)などがあります。
また、ネットワークをSD-WAN化することで、通信を暗号化して外部からの閲覧・盗聴を防ぐこともでき、不正アクセスやポリシー違反の通信を専用のダッシュボードなどから停止することもできます。
クラウドセキュリティ
「クラウドセキュリティ」は、クラウド利用に関するソリューションです。
クラウドサービスの利用状況を可視化・制御するCASB(Cloud Access Security Broker)、クラウドサービスの安全性を確認するCSPM(Cloud Security Posture Management)などがあります。
ゼロトラストを意識したネットワークセキュリティの強化なら
NTTPCのセキュアアクセスゲートウェイがおすすめ
NTTPCのセキュアアクセスゲートウェイは、ゼロトラストの考え方に基づいたSASE型サービスで、ネットワーク機能とセキュリティ機能とを統合し、クラウド上で提供します。
セキュリティ機能として、インターネットアクセスを監視しインターネット上の脅威からユーザーを最前線で守るDNSセキュリティを実装。リモートワーク中でも社員をマルウェア感染やフィッシング詐欺から保護します。
また、ネットワーク機能としてSD-WAN機能を装備。既存の回線を変更することなく、仮想のWANを構成することで。通信を制御し、トラフィックの集中を回避することが可能となります。
シンプルな4つの「ちょうどいい機能」、設定変更などが簡単に行える「ちょうどいい操作性」、月額料金500円(税込)からという「ちょうどいい価格」で、自社のセキュリティをすぐに構築したいが、どこから手をつけていいか分からない、という企業様にも安心です。
ゼロトラストの導入状況
コンサルティング会社PwCがゼロトラストに先進的に取り組む国内企業338社を対象として2021年3月に行ったアンケートによると、ゼロトラストの実装状況について338社のうち「実装済み」が38.5%、「実装中」の17.2%と、国内でも着実にゼロトラストの導入が進んでいることが分かります。業種別では「情報通信業」52.1%、「製造業」16.1%、「金融業、保険業」8.9%となっています。
図1 ゼロトラストに取り組む国内企業(PwC「国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021」より転載)
また、「ゼロトラスト推進により得られた効果」の項目では1位から順に「DXの推進・多様な働き方の実現」「ネットワークやセキュリティのコスト削減」「データ流出リスク軽減といったセキュリティの向上」があげられており、各社おおよそ狙い通りのメリットが得られたと言って良いでしょう。
導入時に抑えておきたいポイント
各種ソリューションの選定・導入、そしてゼロトラストの実現にあたり、ぜひ抑えておきたいポイントが2つあります。
ID管理の厳格化
ユーザーおよび接続機器などでアクセスをコントロールするゼロトラストセキュリティにおいても、依然IDの管理は厳格に行う必要があります。特に業務にさまざまなツールやクラウドサービスを利用する現代においては、従業員1名につき複数のIDを管理していることも多いでしょう。
言い換えれば、「いかにIDを適切に一元管理できるか」がゼロトラストセキュリティネットワークを構築する際のカギと言えます。管理するIDが多い場合には、シングルサインオンの導入を検討してみても良いかもしれません。
アクセス・行動履歴の可視化
ゼロトラストセキュリティネットワークの実現は、「誰がどのような場所から、どのようなファイル・アプリケーションにアクセスしているか」を可視化する試みとも言えます。アクセスログを取得するなどの手段を通じて、不正なアクセスを防止したり、万一情報漏洩が発生した場合にも速やかに検証したりといったことを実現する必要があります。
また、ユーザーが危険な行動をとっていないかを監視することで、脅威を未然に防止することも可能でしょう。
まとめ
今回はゼロトラストネットワークの詳細について紹介しました。
今回の記事を参考に、御社の業務環境を改善して効率を上げ、インターネット時代に対応するためにも、ゼロトラストネットワークの導入を考慮してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。