ここ数年で、企業を取り巻く環境は大きく変化しました。それに伴い、情報セキュリティへの考え方も変わり、ゼロトラストに注目が集まっています。本記事では、ゼロトラストの概要や境界型防御策との違い、その重要性、メリット・デメリットなどについて解説します。
ゼロトラストとは
トラスト(Trust)は、信頼や信用を意味する英単語です。ゼロトラストとは、わかりやすくすると「信頼しないことを前提とする情報セキュリティの考え方」を指します。
近年、注目を集めているゼロトラストですが、この考え方自体は以前からありました。2010年、アメリカの調査会社に勤務していた調査員により、提唱されたのが始まりです。
ゼロトラストでは、あらゆるネットワーク接続を信用しません。外部はもちろん、内部からの攻撃もあり得るものと考え、セキュリティ対策を実行するのが特徴です。
日本においては、IPA独立行政法人情報処理推進機構などが調査・研究を進めており、企業への導入促進を図っています。
従来の「境界型防御」との違い
従来のネットワークセキュリティは、境界型防御と呼ばれます。ファイアウォールにより境界を設け、外部からの悪意ある攻撃に対処するセキュリティモデルです。
ファイアウォールの実装により、サイバー攻撃やマルウェアの侵入を防ぎ、安全な社内ネットワーク環境を構築できます。社内と社外をつなぐネットワークの境界、接点に強固な防御壁を設置し、社内ネットワークを安全に保つのが境界型防御です。
このセキュリティモデルでは、社内ネットワークや、社内デバイスによるデータのやり取りに関しては、セキュリティが保たれていることを前提としています。あくまで、外部からの攻撃に対して防御体制をとっており、内部は安全であると考えて業務を行います。
従来は、このセキュリティモデルでも十分対応はできていました。ところが、さまざまな事情により、近年では境界型防御では対応しきれなくなっているのが現実です。
境界型防御は、外部からの攻撃には対応できるものの、内部からの攻撃には対応が難しいという課題があります。確実に外部からの侵入をシャットアウトできていたとしても、外部からの攻撃に呼応する内通者や、自発的な内部不正、なりすまし、意図しない脅威の持ち込みなどに対しては防御体制が不十分なのです。こうしたセキュリティリスクを抑止するためにゼロトラストが用いられます。内部が安全であるのか、そうでないことを前提とするのかが境界型防御との最大の違いです。
コロナ禍の今、ゼロトラストセキュリティに注目が集まる理由とは
いまだ収束の兆しが見えない新型コロナウイルスの猛威により、企業を取り巻く環境は大きく変化しました。多くの企業が、ウイルス感染対策の一環としてリモートワークを導入し、社員の働き方も変わったのです。
コロナ禍でゼロトラストセキュリティに注目が集まっている理由のひとつは、働き方の変化です。リモートワークでは、個々の社員が自宅から個人所有の端末を用いて、社内ネットワークにアクセスします。
もし、社員以外の者が、社員の端末を使用して、社内ネットワークにアクセスしたとしたらどうでしょうか。このようなケースにおいては、従来の境界型防御では対応しきれません。また、社員の使用している端末がすでにマルウェアへ感染していた場合、社内ネットワークへの侵入を許してしまうおそれもあります。
クラウドサービスの利用が増加したのも、ゼロトラストセキュリティに注目が集まっている理由といえるでしょう。近年では、社内で扱うさまざまなデータを、クラウドで保存するシーンが増えました。従来のように社内で保存するのではないため、これまでのようなセキュリティモデルでは安全性を確保できません。
また、先述したように、境界型防御では内部からの攻撃に対処できない課題があります。近年では、内部不正により組織の機密情報や顧客情報が外部に流出する、といった事件も発生しています。
ゼロトラストがもたらすメリット・デメリット
ゼロトラストの考えに基づけば、強固なセキュリティ環境の構築が可能です。テレワークやクラウド環境において発生するリスクの回避が可能であり、万が一トラブルが発生したときの対応力も向上します。
一方、導入から運用までのハードルが高く、コストが発生する課題があるのも事実です。社内外での横断的な利用、デバイスの切り替えをどうするのか、といった問題もあります。以下、ゼロトラストがもたらすメリットとデメリットを解説しましょう。
ゼロトラストセキュリティのメリット
全てを信用しない、との考えを前提としたセキュリティモデルであるため、強固なセキュリティ環境の構築が可能です。適切なアクセス権限の付与や多要素認証の導入などにより、アクセスする場所や端末に拘わらず、第三者の侵入を許しません。
テレワーク環境下では、社員個々の端末から社内ネットワークへアクセスし、データのやり取りを行うシーンが増加します。必然的にリスクが高まりますが、ゼロトラストに基づいたセキュリティならリスクを軽減できます。
クラウドサービスの利用が多い企業にとっても、多大なメリットを得られるでしょう。社外で情報の保管を行う場合、従来のセキュリティモデルでは安全性を担保できません。機密情報の流出につながるおそれに対しても、内部対策を含めた堅牢なセキュリティ環境の構築により、対策が可能です。
万が一、データの流出やマルウェアへの感染などが発生したとき、適切な対応をとれるのもメリットといえるでしょう。たとえば、AIを用いたマルウェア検知システムを導入すれば、どのような経路で侵入したのかを可視化できるため、感染後の調査や復旧が可能です。
ゼロトラストセキュリティのデメリット・課題
ゼロトラストの考えに基づくセキュリティ環境を構築するとなると、新たなツールやシステムの導入が欠かせません。どのようなツール、システムを導入するのかにもよりますが、コストが高くついてしまうおそれがあるため注意が必要です。
また、ツールやシステムを導入しても、適切に使いこなせなければ意味がありません。必要に応じて、社員への教育が必要となり、運用までに時間がかかってしまう可能性があります。
ゼロトラストを実践すると、環境によってはことあるごとにパスワードの入力など認証作業をしなくてはならず、業務に支障をきたすおそれがあります。また、同僚の代わりにデータを送信する、といったシーンでは、セキュリティチェックに引っかかってしまい、うまくいかない可能性もあります。
ゼロトラスト実現のためのポイントは?NISTが提唱する「7つの基本原則」
NISTとは、米国国立標準技術研究所のことです。NISTは、2020年にゼロトラストに関するガイドラインを発表し、そこには7つの基本原則が定められています。
- データソースとコンピュータサービスは、全てリソースと見なす
- 「ネットワークの場所」に関係なく、通信は全て保護される
- 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
- リソースへのアクセスは動的なポリシーによって決定される
- 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
- リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
- 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する
1は、業務で使用するアプリやクラウドサービス、データなどを全てリソースと見なすことを定めています。2は、環境に左右されず、全ての通信を暗号化するとの原則です。
3の原則は、セッションのたびに認証や許可が必要であると定めた内容です。4は、クライアント環境からリスクを把握し、そのうえでポリシーを決めることを定めています。
5は、適切なアップデートやパッチの適用などにより、デバイスのセキュリティを保たなくてはならないということです。6は、多要素認証や再認証などにより、その都度認証が必要であること、7は情報収集を怠らず、常にセキュリティの改善を実施することを求めています。
まとめ
変化する時代に対応するため、企業にはゼロトラストに基づいたセキュリティの構築が求められています。この機会に、従来のセキュリティを見直してみてはいかがでしょうか。
TCSのゼロトラストソリューションなら、ハイブリッドなクラウド環境の構築ができ、高度なセキュリティ保護も実現可能です。クラウド環境下におけるセキュリティ対策を充実したい場合は、検討してみることをおすすめします。
