【導入事例】ゼロトラストとは?SASEとの違い・導入ポイント
ゼロトラストとは?境界型セキュリティとの違いやSASEとの関係をわかりやすく解説。導入が必要な理由、メリット・デメリット、構成要素や企業事例まで幅広く紹介します。
- 目次
ゼロトラストとは?従来の境界型セキュリティモデルとの違い
従来のセキュリティ対策は、「社内ネットワークは安全である」という前提のもと、危険とされる社外ネットワークとの境界を設けて防御する「境界型セキュリティ」が主流でした。つまり、社内と社外を明確に分け、社内は信頼できるものとして扱う仕組みです。これに対しゼロトラストでは、社内・社外を区別しません。アクセス元や接続経路にかかわらず、すべての通信を都度検証します。社内ネットワークからのアクセスであっても例外とはせず、常に認証・認可を行う点が特徴です。
ゼロトラストを実現する手段「SASE」とは
ゼロトラストという用語と併せて使用されることの多いキーワードに「SASE(Secure Access Service Edge、サシー)」があります。
SASEは、VPNなどのネットワーク機能と様々なセキュリティ機能をクラウド上で統合して提供するソリューションです。
ゼロトラストを実現するための1つの手段として活用されることもありますが、SASEはあくまでも、提供形態を表す用語です。そのため、SASEを導入すれば必ずゼロトラストになるわけではありません。
SASEについて、詳しくは下記コラムをご参照ください。
SASEとは? 導入メリットやゼロトラストとの違いをわかりやすく紹介
ゼロトラストを導入した方が良い4つの理由
ゼロトラストセキュリティの考え方に基づくセキュリティ対策が必要とされている背景には、次のような要因があります。
1. クラウドやリモートワークの普及
今や業務においてクラウドサービスは当たり前の状況となっています。しかし、クラウドサービスがインターネット網から利用できる以上、一定のセキュリティリスクが存在します。不審なアクセスがないか、不正なファイルアクセスがないかを管理する必要があります。
2. 内部脅威の増加
従業員や元従業員、委託業者による機密情報の不正利用が増加しています。また、悪意がなくとも誤操作などによる情報漏えいやマルウェア拡散の可能性もあり、「安全なはず」の社内ネットワークからのアクセスについても管理する必要があります。
3. 高度化するサイバー攻撃
発見された脆弱性に対し、対策が整う前に攻撃が行われる「ゼロデイ攻撃」など、サイバー攻撃は高度化しています。未知のサイバー攻撃に対策するためには、不審な振る舞いや不自然なアクセスを検知できるゼロトラストの考え方が必要です。
4. デバイスやユーザーの多様化
BYODが普及した現在では、個人所有のスマートフォンなどからのアクセスや、遠隔地からのアクセス、社外スタッフによる一時的なアクセスなども増加しています。これらを適切に管理・制御するには、ゼロトラストの考え方が必要です。
これらの理由から、ゼロトラストの導入が求められています。
ゼロトラストを導入するメリット・デメリット
ゼロトラストに基づくセキュリティの導入には、次のようなメリット・デメリットがあります。
ゼロトラストセキュリティ導入のメリット
ゼロトラストセキュリティ導入の一番のメリットは、誰が、どこから、どのデバイスでアクセスしても一定のセキュリティを確保できる点にあります。従って、BYODやリモートワークなど、柔軟な働き方を導入することが可能となります。また、24時間・365日のリアルタイム監視が可能となり、夜間帯などの在宅勤務や海外勤務にも柔軟に対応が可能です。
ゼロトラストセキュリティ導入のデメリット
一方で、ゼロトラストセキュリティの導入にあたっては、複数の要素を組み合わせて実現する必要があるため、初期段階では一定のコストや検討期間が必要となります。ただし、すべてを一度に導入する必要はなく、優先度の高い領域から段階的に進めることで、コストや導入負荷を抑えながらゼロトラスト環境を構築することができます。
ゼロトラストを構成する7つの要素
ゼロトラストを構成するためには、次の構成要素が必要です。
1:デバイス
どの端末を利用してアクセスするか、またアクセスに利用する端末は健全かについても確認する必要があります。EDR(Endpoint Detection and Response(エンドポイントの検知および対応)やMDM(Mobile Device Management、モバイルデバイス管理)など、必要なデバイス保護が施されているかなどを確認し、安全な状態を維持する仕組みを導入します。
2:ネットワーク
クラウドサービスを含め、どのユーザーをどこにアクセスさせるのかを制御する仕組みも必要です。本社・支社間などの拠点アクセス、各拠点からのインターネットアクセスを含む、ゼロトラストリモートアクセス基盤を構築する必要があります。また、業務を遂行するために必要最低限のアクセス権限のみを付与する、という「最小権限の法則」に則り、ネットワークを制御する仕組みが必要です。
3:データ
データのアクセス権を適切に設定する、データを暗号化するなど、保護すべき情報(データ)を管理する仕組みも必要です。さらにDLP(Data Loss Prevention、情報漏えい対策)やUEBA(User and Entity Behavior Analytics、ユーザーおよびエンティティの行動分析)などの仕組みを導入し、データ保護性能を向上します。
4:アイデンティティ
アクセスするユーザーが正当な権利を有しているかを確認するため、厳格にIDを管理するなど身元(アイデンティティ)を確認する必要があります。入社・退職時や異動時に迅速にアクセス権を変更する仕組みを構築します。また、認証方式も従来のパスワード認証のみではなく、多要素認証や生体認証を導入します。
5:ワークロード
業務に使用するアプリケーションや、クラウド上で動作するアプリケーション(ワークロード)に脆弱性がある場合に、迅速に対応し不正利用や情報漏えいを防ぐ仕組みを導入する必要があります。
6:可視化と分析
「ネットワーク上で現在何が起きているか」をリアルタイムで可視化し、分析する仕組みを導入する必要があります。ゼロトラストセキュリティを実現させるには、24時間365日のセキュリティオペレーションを実施する仕組み作りが重要になります。
7:自動化
ゼロトラストセキュリティを人力で維持・管理することは非常に困難です。しかも、運用・管理業務に手動操作が加われば、人為的ミス発生の可能性もあります。ゼロトラストセキュリティの維持には、AIなどを活用した自動化が不可欠です。また、必要に応じて外部の事故対応支援ソリューションやマネージドサービスの活用も検討しましょう。
企業・自治体のゼロトラストの具体的な導入事例
実際にゼロトラストセキュリティを導入し、セキュリティ性能の向上や業務の効率化を果たした自治体として、次のような具体例があります。
ゼロトラストの考え方で、リモートワーク環境を整備
ある自治体の教育委員会では、教育現場向けにゼロトラストネットワークを構築しました。導入により、教職員は学校内だけではなく、自宅や外出先などからも教材の作成や授業準備などの業務を行うことのできる、セキュアで自由な働き方を実現しました。
サイバー攻撃被害の対応として、ゼロトラストモデルのセキュリティを導入
あるフィルムメーカーでは、ランサムウェア攻撃の被害を受けたことを契機として、僅か数カ月の間に同社で使用する10万台以上の端末すべてにEDRを導入しました。さらにSASEを導入してゼロトラストモデルのセキュリティを導入しました。
ゼロトラストセキュリティの推進で、社内ネットワークの混雑も緩和
ある計算機メーカーでは、開発に使用するクラウドサーバーのセキュリティ向上のため、複数のSaaSを組み合わせて認証・監視システムを構築するなどゼロトラストセキュリティを推進しました。副次効果として、社内ネットワークの混雑緩和の効果も得られたといいます。
ゼロトラストセキュリティを実現しながら、業務効率化等の成果も獲得
ある大手総合商社では、世界各地に点在するサーバー群をクラウドサーバーとして一元化するとともに、多要素認証やアクセス制御などで保護するゼロトラストセキュリティインフラ基盤を構築しました。世界中のどこからでも安全に接続できる環境を整えたことで、業務効率化という成果を得ることもできました。
ゼロトラスト時代に対応!SASEのコンセプトに基づくセキュリティサービス「Secure Access Gateway」
ゼロトラストを容易に実現する具体的なソリューションの一例として、NTTPCの「Secure Access Gateway」を紹介します。
「Secure Access Gateway」は、SASEのコンセプトに基づき、どこからでも安全に社内ネットワークにアクセスできるネットワーク環境とゼロトラスト環境を実現するセキュリティ機能とを一元的に提供するサービスです。
多要素認証、エンドポイントセキュリティ、ID認証管理など、ゼロトラストを実現するための具体的な機能を備えており、初期料金0円で利用開始できます。
ゼロトラスト環境を安価で構築したい中堅・中小企業さまにおすすめのサービスです。
まとめ
今回は境界型に代わるセキュリティの概念である「ゼロトラスト」について解説しました。
ゼロトラストの「すべての通信を信用しない」という考え方は、クラウドサービス利用やリモートワークが普及した現代において必要なセキュリティ対策といえます。
ゼロトラストを実現するためには、「1:デバイス」「2:ネットワーク」「3データ」「4:アイデンティティ」「5:ワークロード」「6:可視化と分析」「7:自動化」など多数の要素が必要となるため、導入にあたってはコスト面を考慮すべきというデメリットもありますが、要件を整理し段階的に導入することで、負担を抑えながら進めることも可能です。
しかし、今回紹介した成功事例のように、導入すれば柔軟な働き方が可能になるなど、大きなメリットもあります。今回のコラムを参考に、自社ネットワークへのゼロトラストの導入について、具体的に検討してみてはいかがでしょうか。
また、その際、もしゼロトラストの導入に際しご不明な点や相談したい点がございましたら、NTTPCまで是非お気軽にご相談ください。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
