セキュリティとガバナンス

ゼロトラストとは?境界型セキュリティとの違いやメリット4つを紹介

従来型のセキュリティ対策とは全く異なる考え方として、ゼロトラストが注目を集めています。しかし、どんな特徴をもつのか、具体的にどのような対策を指すのか、くわしくはわからないという方も少なくないでしょう。

本記事では、ゼロトラストの概念を解説するとともに、注目を集めている理由などについても簡潔に解説します。

ゼロトラストとは?境界型セキュリティとの違いやメリット4つを紹介

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

ゼロトラストとは?

リモートワークの普及、クラウド環境の利用拡大などを背景に、企業のセキュリティ対策も変化しています。そのなかで最近注目が広がっているのがゼロトラストと呼ばれるセキュリティ対策の考え方です。

それではゼロトラストとは具体的にどのようなものなのでしょうか。詳しく解説していきます。

ゼロトラストの定義

ゼロトラストとは、情報資産にアクセスする全てのデバイスやトラフィックを信頼しない(zero trust)という前提に立ったセキュリティ対策の考え方です。今まで信頼できると考えられていた社員のデバイスやネットワーク内からのアクセスも全てチェックし、パスワード認証やログ管理を行います。

アメリカの国立標準技術研究所(NIST)では、ゼロトラストを「ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体」と定義しています。

もともとは2010年に米調査会社のフォレスター・リサーチ社のアナリストが提唱した考え方です。
背景には、社内のネットワークが安全であるという前提に立つ従来のセキュリティ対策では保護すべき資産が守り切れなくなっている状況があります。
利用者やデバイスを識別・認証するIAM(Identity and Access Management)やマルウェアを発見、対応を行うEPP(Endpoint Protection Platform)などのソリューションを用いてデータやデバイス、アカウントを保護する考え方です。

境界型セキュリティとの違い

ゼロトラストに対して、従来型のセキュリティ対策のことを
境界型セキュリティ(ペリメタモデル)と呼びます。ペリメタ(perimeter)は境界線という意味です。
安全な社内のネットワークと、危険がある社外のインターネットを分けるのが境界です。境界より内側にあるデバイスやトラフィックは安全であるという前提に立ち、境界部分にファイアウォールなどのセキュリティ措置を施して社外からのアクセスを遮断する対策を指します。

現在のセキュリティ対策の主流は境界型セキュリティ対策であり、ネットワークを保護する考え方です。

ゼロトラストのメリット4つ

境界型セキュリティと比較したゼロトラストの導入メリットを4つ紹介します。

1:サイバー攻撃にいち早く対応できる

近年、マルウェアと呼ばれる不正な動作を行うプログラムを使った攻撃が増加しています。マルウェアに感染したデバイスは悪意のある第三者が操作できるため、境界型セキュリティ対策では防ぐことが困難です。

2020年には、大手自動車メーカーがランサムウェアと呼ばれるマルウェアの一種に感染し、数日間工場を閉鎖する事態が起きました。サイバー攻撃の被害は拡大しており、事業活動に大きな影響を与える事態も増えています。

ゼロトラストでは、全てのデバイスが危険である前提で、アクセスする都度承認済みのものか確認を行います。またそのデバイスがマルウェアに感染していないか、といったことも確認します。セキュリティ対策ソフトの最新パターンファイルを適用していないとアクセスできないように設定することもできます。

そのため、不審なトラフィックを発見しやすくなり、サイバー攻撃にもいち早く対応できます。

2:情報漏洩のリスクが減る

企業が保有する個人データや営業上の秘密など、機密情報が外部に漏洩する原因の多くは社内の人間によるヒューマンエラーだと言われています。例えばノートPCやUSBメモリなどデバイスの紛失、メール誤送信、フィッシングサイトなどでのID・パスワード流出などです。

2020年に大手携帯電話キャリアが運営するキャッシュレスサービスにおいて利用者の口座情報・暗証番号が漏洩したのは不正アクセスが原因でした。

境界型セキュリティでは、既存のID・パスワードを使って第三者がアクセスした場合、不正なトラフィックと認識することは困難です。また社員や下請け会社のスタッフが正規のID・パスワードを使って情報資産にアクセスして顧客情報などを不正に持ち出した場合も、従来の対策では不正を発見することはできません。

ゼロトラストでは、正しいユーザーがIDとパスワードを利用しているか、アクセスしてきたデバイスがいつもと異なる環境にあるか、不審なふるまいをしていないかなどを検査します。

そのため不正アクセスによる情報漏洩のリスクが減少します。

3:システムがシンプルに構築できる

ゼロトラストは、クラウド上で対策をおこなうセキュリティ対策です。そのため社内で複雑なセキュリティ装置の設置やシステム構築などが不要で、シンプルな構造になります。

4:パスワードが1つで済む

複数のシステムにそれぞれ異なるID・パスワードを利用する場合、管理が煩雑になり、覚えやすい単純なパスワードの設定や、同じパスワードの使いまわしなどが発生するリスクがあります。

ゼロトラストでは、ひとつのパスワードで複数のクラウドサービスにログインできるシングルサインオンに対応しているため、利用する側もパスワードがひとつで済むという利点があります。

またIDとパスワードのみのセキュリティでは強度が弱いため、知識情報、所持情報、生体情報の3つの要素のうち複数の要素を用いて認証する多要素認証のニーズが高くなっています。ゼロトラストでは多要素認証に対応しているため、高いセキュリティ強度が保てます。

ゼロトラストが注目を集めている理由3つ

10年以上前に提唱されたゼロトラストが、ここ数年で非常に注目を集めています。その理由を3つ紹介します。

1:テレワークの増加

新型コロナウイルス感染症予防や働き方改革を背景に、2020年以降、自宅や職場以外の場所で仕事をするテレワークが急激に広がっています。

テレワークでは、社内のネットワーク外から業務データにアクセスすることになります。それに伴い、今まで社内のサーバーに保存していた業務データをクラウドサーバーへ移行する企業も増加しています。

クラウドサーバー上のデータは、社内のネットワーク内にありません。アクセスする社員も社外からアクセスすることになります。

このような運用方法になると境界型セキュリティ対策では対応が難しいため、全てのデバイス、全てのトラフィックを監視するゼロトラストが注目されています。

2:内部不正などによる情報漏洩

情報漏洩の原因には、ヒューマンエラーによって第三者からの不正アクセスを許してしまう場合と、組織内の人間による内部不正によって機密情報が漏れてしまう場合があります。

組織が管理していないデバイスを社員が勝手に利用するシャドーITが情報漏洩のリスクをさらに高めています。個人が所有するデバイスのため適切なウイルス対策がされているか、脆弱性の問題に対応されているかなども把握できないためです。

私用で不審なサイトにアクセスしてマルウェアに感染してしまった後、そのまま社内ネットワークにアクセスして感染を拡大させる可能性もあります。シャドーITを防ぐことが難しいのであれば、ログを監視して不審なトラフィックを早期発見できるゼロトラストが必要です。

3:サイバー犯罪の増加

ネットワークを通じてデータの改ざんや窃盗を行うサイバー攻撃は年々増加傾向にあります。特に多いのがマルウェア感染、DDoS攻撃、不正アクセスで、攻撃手法も複雑化、多様化して手口も巧妙になり、発見が遅れるケースも増えています。

対策が難しく、また被害も大きいのが標的型(オーダーメイド型)と呼ばれる攻撃です。ターゲットを決めて業務に関連する内容や過去にやりとりがある人間になりすましてマルウェア付きのメールを送信する標的型メール攻撃や、ターゲットを特定した上でネットワークに不正侵入し、マルウェアに感染させて身代金を要求するオーダーメイド型ランサムウェアがあります。

これらのサイバー攻撃は特定の企業に特化しているためウイルス対策ソフトのパターンファイルでは対策しにくいのが特徴で、境界型セキュリティ対策では対応が困難でした。

そのためマルウェアに感染したデバイスを拒否することができ、トラフィックを常時監視するゼロトラストが必要です。

さらに、ゼロトラストを実現するためのフレームワークであるZTX(Zero Trust eXtended eco-system)が発表されました。これは前述のフォレスター・リサーチ社が発表したもので、データ、人、デバイス、ネットワークなど7つの領域でセキュリティを考慮するべきだとするモデルです。ZTXにより、企業はゼロトラストを導入しやすくなります。このようなことも背景にゼロトラストの注目度は高まっています。

まとめ

「何も信用しない」前提のゼロトラストは、クラウドサービス利用、リモートワークなど現在の働き方に合ったセキュリティ対策です。先行する海外では、GoogleやMicrosoftなどがゼロトラストに移行したほか、クラウドサービス提供企業やセキュリティ企業などが積極的に取り組んでいます。さらに国内ではNTTデータが原則ゼロトラストへの移行を表明したほか、政府でも2021年に内閣官房のシステムに一部導入して実証実験を開始する予定です。

多くの企業で社外からクラウド上にある情報資産にアクセスすることは当たり前になっており、今後はゼロトラストが主流になると見られています。

しかし現状は多くの企業がテレワークなどのリモート・クラウド環境へ移行しつつある段階にあり、一挙にセキュリティ対策としてゼロトラストを採用するというのは現実的ではないでしょう。このため既に構築されている境界型セキュリティ対策を活かしつつ、ゼロトラストを徐々に取り入れるといった方法も検討しましょう。

自社のセキュリティ対策を見直す際には、どのような対策を行うのが適切か、慎重に検討することが求められます。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP