ゼロトラストとは？導入ステップと必要な対策を解説

リモートワークを含む多様な働き方の浸透が進み、サイバー攻撃の手口も巧妙化する中で、「ゼロトラスト」という、セキュリティの考え方が注目されています。そこでこのコラムでは、コロナ禍を経てより重要視されている「ゼロトラスト」という用語について、意味や従来のセキュリティの考え方との違いを解説。今、求められている理由や、ゼロトラストの構築に必要な要素、そして移行へのステップもお伝えします。

ゼロトラストとは？

ゼロトラストとは、2010年にアメリカの調査会社「フォレスターリサーチ」が提唱したセキュリティ概念です。「トラスト（信頼）」をゼロにするというアプローチ方法で、従来の、安全である社内ネットワーク環境と外部の境界を監視するスタイルに対して、「何に対しても信頼を与えない」という原則に基づく考え方です。

米国国立標準技術研究所（NIST)のガイドラインは、ゼロトラスト体制を構築する上で必要な基本的な考え方を、次のようにまとめています。

• 1.すべてのデータソースとコンピューティングサービスはリソースとみなす。
• 2.ネットワークの場所に関係なく、すべての通信を保護する。
• 3.企業リソースへのアクセスは、セッション単位で付与する。
• 4.リソースへのアクセスは、クライアントID、アプリケーション・サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する。
• 5.企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する。
• 6.すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する。
• 7.企業は、資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する。

ゼロトラストの考え方においては、自社の情報資産へのアクセスはすべて信用せず、ユーザーやロケーション、またクラウドサービスやアプリケーション使用上のリスクなどの観点から、その安全性を確認することが求められます。

ゼロトラストが必要になった背景

ゼロトラストは2010年頃から提唱されている概念ですが、近年、注目度が高まっています。その背景や、重要視されている主な理由は以下の通りです。

従来の「境界防御型セキュリティ」とは？

従来、企業では「境界防御型セキュリティ」と呼ばれるセキュリティモデルが主流でした。境界防御型セキュリティとは、社内のネットワークと、その外のインターネット環境を完全に分離し、その境界線上にセキュリティ機器を配置してサイバー攻撃などから情報資産を守る方法です。社内ネットワークの境界線内は「信頼できる」とみなして、境界線外のリスクに対処するという考え方です。

ただ、次のような変化や時代背景から、従来型のセキュリティ対策では安全性確保が難しくなり、セキュリティに関する新しいアプローチが求められるようになりました。

働く環境の多様化

働く環境の変化が、セキュリティ概念の変革が求められる要因のひとつです。コロナ禍によって通勤が困難になったことや、多様な働き方が広がりによってリモートワークが普及。多くの企業で導入されているVPNの利用が増えることで、ネットワークの帯域が逼迫し、速度の低下や、接続が不安定になるなどの問題が起こりました。また、そうした使用環境で脆弱化したVPNを狙う不正アクセスのリスクも増加しています。

モバイルを含むアクセス端末の増加

スマートフォンやタブレットなどのモバイル端末利用の増加も、セキュリティ対策の見直しを後押ししています。社員が、境界防御型セキュリティによって守られているパソコン以外のモバイル端末でも、業務アプリケーションやクラウドサービス、メールなどを使用する機会が増加。境界防御型セキュリティでは対応しきれない、外部環境からのアクセスに関するリスク対策が求められています。

クラウドサービスの普及

クラウドサービスの普及も、ゼロトラストの考え方が重視されている理由のひとつです。クラウドサービスという外部環境に保存され、取り扱われる情報資産を、不正アクセスや漏えいのリスクから守る必要があります。また、社員が会社外で働く時間が増えたことで、会社が許可していないクラウドサービスの利用も増加。安全が担保されていないサービスの利用を防ぐ対策も必要です。

ゼロトラストセキュリティに必要な要素

では実際に、ゼロトラストの考え方に基づくセキュリティ体制は、どのように構築すればよいのでしょうか。ゼロトラストを実施する上で必要な主な取り組みは、次のとおりです。

ID統制

「何に対しても信頼を与えない」というゼロトラストという概念の実現にあたってもっとも重要なのが、情報にアクセスするIDの管理です。生体認証やデバイス認証、ワンタイムパスワードなどの仕組みを使った多要素認証を行うことで、アクセス制御を強化しましょう。

また、IDaaS（クラウド型ID管理サービス）の導入も有効です。IDaaSとは、複数のアプリケーションやウェブサービスに登録されているIDやパスワードを一元管理できるサービス。サービスやフォルダにアクセスするIDを制御することで、ファイルの持ち出しや情報漏えいを防げます。会社全体のID管理を効率化し、IDの削除漏れや退職者のIDの悪用などを防げるというメリットもあります。

デバイス統制とエンドポイント保護

デバイスへのサイバー攻撃を防ぐため、デバイス統制・保護の施策も必要です。デバイスの機能制限や、位置の把握、紛失時のリモートロック・データ消去機能などが可能なソフトウェア・MDM（モバイルデバイス管理）などの導入が有効です。

また、ネットワークの端末であるパソコンやスマートフォンなどのエンドポイント保護も強化しましょう。マルウェアの検知・遮断を行うEPP（エンドポイント保護プラットフォーム）、ファイル操作などの不審な動きを監視するEDR（エンドポイント検知・対応）などを導入して、端末のセキュリティレベルを向上することも大切です。

ウェブセキュリティ対策

ウェブ上の脅威から情報を守るための、ネットワークセキュリティ環境の整備を行いましょう。その有効な取り組みのひとつが、IAP（アイデンティティ認識型プロキシ）です。IAPとは、ユーザーとアプリケーションの間で通信を仲介するプロキシのこと。ユーザーがアプリケーションにアクセスするたびに、認証基盤と連携して安全性を確認した上で、アクセスを許可します。境界防御型セキュリティの考え方に基づくVPNに対して、IAPはひとつひとつのアクセスリクエストを検証することで安全な環境を目指します。

シャドーIT対策

社員が会社の許可なくクラウドサービスを使用する「シャドーIT」による情報漏えいを防ぐ施策も必要です。シャドーIT対策の具体的なソリューションのひとつが、CASB（Cloud Access Security Broker）です。CASBは、クラウドストレージへの不審なアップロード・ダウンロードの監視、セキュリティポリシーに適合しないサービスを遮断するなどの機能を持っています。安全なシステムを選定するだけでなく、把握していないサービスの利用を制限する取り組みも実施しましょう。

データ漏えい防止

内部による情報も持ち出しや、サイバー攻撃によるデータ漏えいを防ぐ取り組みも重要です。ファイルのダウンロード・アップロード、記憶媒体へのコピー、メール転送禁止などの制御で、機密性の高い情報の紛失・漏洩を防止するDLP（Data Loss Prevention）や、機密ファイルやメールの暗号化とアクセス権限によって情報の閲覧や編集を防ぐIRM（Information Right Management）などのソフトウェアの導入が有効です。

ログの収集・分析

サイバー攻撃の早期検知や対応、またセキュリティ体制の改善のため、ログの収集・分析も行いましょう。IT機器からのログ収集でセキュリティ動作を監視、また現状を把握することで、より良いネットワーク環境を構築していくことができます。ログ収集・分析ツールのひとつが、SIEM（Security Information and Event Management）です。会社内のあらゆる機器のログを一元管理し、収集したログを分析。不審な通信・挙動の検知、分析による攻撃パターンの把握によって有効な対策を講じることができます。

ゼロトラスト体制への移行ステップ

働き方や社会環境の変化に対応するセキュリティ概念として注目されているゼロトラスト。では、そうしたゼロトラストに基づいたセキュリティ体制には、どのように移行すればいいのでしょうか。そのステップは次のとおりです。

課題の可視化と「ありたい姿」の検討

ゼロトラスト体制の構築を進めるため、セキュリティにおける自社の「ありたい姿」としての目的を設定しましょう。その前提として、まずはセキュリティ上の課題を洗い出します。「不要なユーザーを含むIDを把握できていない」「アクセス認証が弱い」「無断でクラウドサービスを利用する社員がいる（シャドーIT）が、対策が打てていない」などの問題点を整理します。

ユーザーや、セキュリティ運用管理上の利便性について、解決したい点も洗い出しましょう。その上で、「アクセス権限や使用端末を制御する環境を整えたい」「内部による情報漏えい対策を強化したい」など、ありたい姿としてのゼロトラスト構築の目的を明確化します。

実現までのロードマップの作成

ありたい姿をもとに、ネットワークのあり方と必要なソリューションをマッピングして、グランドデザインをまとめましょう。また、その実現に必要な機器・サービスを検討して、実装計画としてのロードマップを作成します。

まずは「ID統制」や「デバイス統制」などを行いセキュリティ基盤を固めた上で、「エンドポイント強化」「シャドーIT対策」「ログ分析」など、セキュリティ環境を監視する取り組みを進めましょう。

ゼロトラスト導入への投資判断

ゼロトラストへの移行に必要な費用に関する投資判断も必要です。ゼロトラストの構築に必要なITコストと得られるメリットについて、セキュリティレベル向上の観点だけでなく、社員の利便性や運用効率などの要素を含めて総合的に検討しましょう。

ゼロトラストの環境構築

導入する施策を決定したら、グランドデザインとロードマップに基づいて環境を構築します。システムの実装は、アクセスポリシーの策定や、他のシステムとの連携についても留意しながら進めましょう。また、ゼロトラスト環境を構築した後、社員の声や、環境の変化をふまえながら検証や改善を続けていくことも重要です。最新のサイバー攻撃のリスクや防御法について情報収集を行い、社員の使いやすさなどもヒアリングしながら、体制やルールを常に改善していきましょう。

新しい時代のセキュリティ対策を進めよう！

感染症の影響やモバイル端末の普及によって新しい働き方が浸透する中で、より広い視点でのセキュリティ対策が求められています。サイバー攻撃の手口や、インターネット上の脅威に対応するソリューションも多様化し、今後はより幅広いセキュリティの知識も必要になるでしょう。会社の大切な情報資産を守り、社員が安心して働ける環境を作るためにも、ゼロトラストの考え方を理解し、自社のセキュリティ対策に取り入れてみてはいかがでしょうか？