ゼロトラストアーキテクチャとは？重要項目やメリットを解説

クラウド化や働き方の多様化により、従来のセキュリティモデルでは企業のデータ資産を守ることが難しくなっています。そこで注目されているのがゼロトラストアーキテクチャです。本記事ではゼロトラストアーキテクチャの概要をはじめ、実現のための重要項目やメリットを解説します。併せてセキュリティ強化に向けたツールも紹介します。

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

ゼロトラストアーキテクチャとは

ゼロトラストアーキテクチャは、「すべてを信頼しない」という考え方に基づくセキュリティモデルです。いわば「性悪説」にたったセキュリティ対策といえます。
従来のセキュリティ対策の多くは境界型をとっていました。つまり、社内ネットワークは安全、外部ネットワークは危険とみなしたうえで、内部と外部の境界線上にVPNやファイアウォールを設ける方法をとっていたのです。この場合、社内ネットワークへのアクセスを認証された人は、その後も安全と評価されてきました。

しかしクラウド化やテレワークの浸透により、社内と社外の間に境界線を設けることが現実的には困難になりました。また、サイバー攻撃の手口も日々巧妙化していることから、セキュリティの重要性がこれまで以上に高まってきたのです。

そこで、「すべてを信頼しない」ことを前提にしたゼロトラストアーキテクチャが注目されるようになりました。ゼロトラストでは社内か社外かに関係なく、すべての端末、アクセス、ネットワーク状況について、その都度認証・検証されます。これにより、脅威をいち早く察知し、スピーディーに対処して、企業のデータ資産を保護できるのです。

ゼロトラストアーキテクチャにおける7つの重要項目

ゼロトラストアーキテクチャは、単一のソフトウェアやツールを指すものではなく、以下の7要素で構成されます。具体例を交えて説明します。

ネットワークセキュリティ

従来は「社内ネットワークは安全である」と考えられてきました。しかしゼロトラストでは、社内ネットワークでも信頼すべき対象とは考えません。すなわち社内ネットワークへのアクセスであっても、デバイスごとに認証を行い、認証されていない場合はアクセスを許可されません。

デバイスセキュリティ

社外からデータ資産へアクセスするケースの増加は、サイバー攻撃にさらされる機会が増えたことも意味します。
そのため、社員が利用するすべての機器を管理し、許可されたデバイスのみアクセス可能にする手法に移行する必要があります。
さらに使用するデバイスのセキュリティ管理も実行しなければなりません。たとえば資産管理ツールを活用して、アプリの使用状況管理やソフトの自動インストール、アップデートを行い、セキュリティ状態をつねに高くキープする必要があります。

アイデンティティセキュリティ

アクセスのログインIDやパスワードを一度設定したからといって、すべて安全とは言い切れません。付与するのは必要なデータへの最小限の権限のみにする、定期的にIDやパスワードを変更する、一度認証されたアカウントでも継続してアクセス確認するといった対策が求められます。

ワークロードセキュリティ

クラウドシフトが進み、IaaSやPaaSの利用が増えているため、社員が使うすべてのシステムを監視・確認する必要があります。
ワークロードセキュリティツールを活用すれば、情報システム部門が把握していないIaaSやPaaSを社員が導入または利用した場合に自動検知し、ユーザーへの警告および情報システム部門へ通知を行って、異常事態に即座に対応できます。

データセキュリティ

データそのものも適切に管理・保存する必要があります。
たとえば社内でデータセキュリティ教育を実施するなどして、機密保持や内部情報の扱いに関するリスク意識を高めましょう。ゼロトラストアーキテクチャ実現のためには、単なるツールの導入だけでなく、それを扱う「人」の意識を高めることも必要です。
さらに、外部ツールを導入して機密情報の監視と保護を行うほか、外的要因による情報漏洩を防止して、データセキュリティを堅牢なものにします。

セキュリティ状態の可視化と検証

サイバー攻撃を受けることを想定して機密情報をつねに保護するほか、セキュリティ状態を可視化し、攻撃を受けた際はスピーディーに内容を検出し、分析・対応する体制を整えます。
多くは、常時ネットワークやデバイスの監視を行うSOC（Security Operation Center）企業に委託することで実現します。

セキュリティ運用の自動化

情報システム管理者だけが、セキュリティの監視・運用を効率的かつ持続的に行うことは現実的ではありません。運用の自動化は不可欠です。
工数削減はもちろんですが、セキュリティインシデントの自動検知・対策ツールを導入する必要があります。このようなセキュリティ運用の自動化により、実際に問題が発生した際は、デバイスの隔離、脅威を排除するアクションが自動実行され、スピーディーな解決を実現します。

ゼロトラストアーキテクチャ導入のメリットとは

ゼロトラストアーキテクチャを導入すると、何が変わり、どのようなメリットが享受できるのでしょうか。具体的に解説します。

セキュリティを頑丈に強化

最大のメリットは、従来の境界型セキュリティに比べ、堅牢なセキュリティを構築できることです。日々進化するサイバー攻撃による被害を最小限に抑えるだけでなく、セキュリティ面で不安が残るクラウド環境を安全に利用できる点も魅力です。
なお、ゼロトラストの場合、セキュリティに関して多くの運用・管理リソースが必要です。SOAR（Security Orchestration and Automated Response）のようなセキュリティ運用の自動化・効率化を実現するツールを導入することで、システム管理の工数削減や自動化が可能です。

テレワークに対応できる運用体制を実現

社内と社外で明確に境界を分ける従来型のセキュリティの場合、社外、もしくは認証されていないデバイスは、社内ネットワークには基本的にアクセスできませんでした。
一方、ゼロトラストは社内外を問わずデバイスやID、アクセスなどを一元管理し、その都度認証します。言い換えれば安全だと評価されればどこからでもアクセス可能なので、テレワークも安全に運用できます。

複雑な設定が不要

境界型セキュリティの場合、安全を保つためにVPNやファイアウォールを導入していましたが、その運用には複雑な設定が必要でした。
ゼロトラストは新しい概念であるため、実現には複雑な設定や大きなコストが必要と考えがちです。しかし、ゼロトラストは既存のアーキテクチャ上に構築されるもので、これまでのシステムをすべて入れ変える必要はありません。よりシンプルな設定や特定のソリューション導入で実現可能なのです。

Azureでセキュリティを向上するベストプラクティス

セキュリティ向上のためのベストプラクティスがMicrosoft Azure（アジュール）です。
Microsoft Azureとは、マイクロソフト社が提供するクラウドサービスで、ネットワークセキュリティ対策も備えています。

クラウド保護に役立つサイバーセキュリティ関連のインテリジェンスが世界中からリアルタイムで供給されるので、新しい脅威を検出・特定し、迅速に対応できるのです。
このほかAzureにはAIツールであるAzure AI、効率的かつスピーディーなソフトウェア開発をサポートするDevOpsなど、多くの機能があります。

無償で使えるものもあり、分単位の従量課金制を採用するなど、コスト面でのメリットが高いことも魅力です。また、Azureは日本の法律を準拠法としているため、トラブルが起こったときの管轄裁判所は東京地方裁判所です。この点は、日系企業にとって大きなメリットといえます。