昨今ではインフラ環境のクラウド化、テレワークの普及といった動きが高まっていますが、それに伴って広まりつつあるセキュリティ対策の考え方が「ゼロトラスト」と呼ばれるものです。
この記事では、ゼロトラストの概要や仕組み、導入によるメリットなどについて順を追って解説していきます。
ゼロトラストは今後さらなる普及が予測される重要テーマですので、この機会にしっかりと内容を押さえておきましょう。
ゼロトラストとは?
トラストとは日本語で「信頼(Trust)」を指し、つまり「何も信頼しない」という考え方がゼロトラストの基本スタンスです。
どんなものも、どんな場所も、過去の認証も一切信頼せずセキュリティを確保するというセキュリティ理念を指す言葉で、特定のサービスやアプリケーションなどを示しているわけではありません。この考え方を用いて構築された仕組みは「ゼロトラスト認証」「ゼロトラストネットワーク」などと呼ばれ、実現方法は企業の数だけ存在することになります。
ゼロトラストの仕組みとは
ゼロトラストの構築においては、内側と外側を区別せずにアクセス管理や認証をおこなう仕組み作りが必須です。
ここではわかりやすく「職場である会社の」内側と外側をイメージしましょう。これまでのセキュリティ対策では、社外からのアクセスは厳しく監視をする一方、社内からのアクセスには比較的寛容に対応するやり方が一般的でした。
しかし、ゼロトラストにおいては社内外の境界線を区別することはありません。社内の環境であっても信頼しないという考え方ですべての対処をおこないます。アクセスされている間中、「許可されたユーザーであるか」「接続方法にリスクがないか」「不審な操作がないか」などを常に確認し、どのような状況でも高いセキュリティを担保することが可能です。
ゼロトラストのアクセス認証基盤とは
一般的なアクセス認証では「ユーザー識別に関する認証」「ユーザー権限に関する認可」等の手続きがありますが、ゼロトラストのアクセス認証基盤においてもそれらは同様です。ユーザー自身が入力したパスワード情報などを元にして認証をおこない、あらかじめ定義された権限を付与するというプロセスを踏みます。
異なるのはプロセスの厳格さです。例え数秒前であったとしても「過去の認証は信頼しない」ことを原則にして設計がおこなわれます。そのため、ユーザー権限の付与にあたっては必要最低限を基本とし、アクセス権限を持つアプリケーションにのみアクセスを可能にするといった施策が重要となるでしょう。
ゼロトラストにおけるアクセス認証の特徴
続けて、ゼロトラストのアクセス認証プロセスにおける大原則を2つ紹介します。これらの原則を遵守することにより、認証システムは確実なセキュリティが確保されます。
複数要素による認証システム
現在の認証システムでは、IDとパスワードを使った確認がもっともポピュラーですが、ゼロトラストにおいてはさらに別の要素を組み合わせることが望ましいとされています。
- ワンタイムパスワードを利用した認証
- 顔や指紋など体の一部を使った認証
- デバイスやIPなど利用環境の認証
上記のような認証方式を併用することによって、万が一、ID・パスワードが流出したとしてもセキュリティを担保することが可能です。
毎回アクセスするごとに認証する
Webページの認証では、一度ログインした後は別ページに遷移してもログアウトされないという挙動が多く見られますが、ゼロトラストにおいてはアクセスごと・セッションごとに認証を毎回繰り返すことが原則です。
例えば、アカウント情報を記憶させるオートコンプリート機能は利用者からすれば便利な仕組みですが、一方で不正アクセスを許してしまうというリスクが残ります。
ゼロトラストでは、利便性とトレードオフになったとしてもセキュリティを第一に考え、都度認証をおこなうことで徹底したセキュリティ確保に努めます。
ゼロトラストのメリット
ゼロトラストを意識したシステム・ネットワークの構築が実現できれば、管理者・利用者の双方にとって大きなメリットがあります。
ここではゼロトラストの実現による代表的なメリットを2つ紹介します。
セキュリティを強化できる
上でも紹介した複数要素による認証、アクセスごとの毎回認証などを実装することにより、確実なセキュリティ強化につながります。ゼロトラストを踏まえたセキュリティ対策は社内・社外からのセキュリティリスクをどちらも抑えることができ、管理者にとって大きなメリットとなるでしょう。
一方、アクセスする度に複数の認証をクリアしなければならないため、利用者にとっては生産性が下がるという側面もあります。こういったデメリットをどこまで許容するかといった課題があることも、あわせて認識をしておく必要があるでしょう。
テレワークに対応できる
社外からでも社内と変わらないセキュリティが確保できることにより、場所を選ばない働き方が可能になり、テレワークの促進につながります。
自宅からPCで接続する・外出先からタブレットで接続するなど、ユーザーは場所やデバイスを選ばない働き方を選択可能となります。このメリットは、企業側にとっても非常に大きいでしょう。ゼロトラストの実現は、「こうしたユーザー一人ひとりがよりよい働き方を模索する」ためにも、必要不可欠なテーマと言えるのです。
Azureセキュリティでほかにはないインテリジェンスにより脅威を早期に発見
ここ数年で、ゼロトラストの考え方を踏襲したサービスが続々と登場しています。その代表と言えるのがMicrosoftの展開するクラウドサービス、Azureによるセキュリティサービスです。
Azureでは、Microsoftが持つWebページ(Bing)・メール・ハードウェア(Windows機器)などから収集したビッグデータの分析情報が絶えず供給されています。そのため、常に最新のセキュリティ脅威を検出することができ、重大なインシデントが発生した際にも迅速な対応を取ることが可能です。
例えば「Azure Security Center(Microsoft Defender for Cloud)」では、不正なアクセスがないかを常に監視して運用中のサービスを防御する仕組みを提供していますし、「Azure Firewall」では、バーチャルネットワーク上のリソースを保護するクラウド環境のファイアウォールを提供しています。
Azure環境に構築した自社のサービスを利用することで、簡単にコンプライアンス認証を取得済みのサービスとして運用することもできるため、Azureのセキュリティはシステム管理者にとって心強い味方となるでしょう。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
ゼロトラストは、今後のセキュリティ対策を語る上では避けて通れないキーワードですが、実現するためには今まで以上に厳しいリスク対策をおこなう必要があり、管理者にとっても利用者にとっても負荷を増大させる恐れがあります。
闇雲にただやればいいというものでは決してありませんので、セキュリティリスクの低減やテレワークの推進といったメリットと比較した上で、それぞれの形に合ったゼロトラストを実現することが理想的です。
現在多くの企業に利用されている「Azure」などのプラットフォームにも頼りながら、セキュリティを安心・安全で快適なワークスタイルを実現していきましょう。
