近年、情報セキュリティ分野において「ゼロトラスト」というキーワードに注目が集まっています。Googleなどの有名企業が導入していることも理由のひとつですが、何よりこれからの時代に適応した対策という点が重視されています。本記事では、ゼロトラストの概要や重視される理由、メリット・デメリットなどについて解説します。
ゼロトラストセキュリティとは?原則を解説
「ゼロトラスト」とは、2010年にアメリカの大手調査会社Forester Researchによって提唱された、新しい情報セキュリティの考え方です。
「Zero」「Trust」が意味する通り「一切を信用しない」ことを前提に、すべてのデバイス・アクセス・ユーザーを毎回確認することが特徴です。それを実現するために、「すべてのアクセスに対して、常に認証と承認を行うこと」「可能な限り権限を最小にすること」「常に安全性を侵害される可能性を想定すること」が基本的な考え方です。
ゼロトラストセキュリティと従来のセキュリティとの違い
ゼロトラストセキュリティに対して、従来型のセキュリティモデルでは組織内のネットワークを「安全な側」、インターネットなど組織外のネットワークを「信頼できない側」と位置づけたうえで、ネットワークの境界にファイアーウォールなどのセキュリティ機器を置くことで、監視や制御といった対策を行います。
従来型が組織内ネットワークを「安全な側」と認識しているのに対して、ゼロトラストセキュリティでは、それすらも「信頼できない側」と捉えている点が大きく異なります。
ゼロトラストセキュリティの仕組み
米国国立標準技術研究所(NIST)が発行したガイドラインでは、ゼロトラストセキュリティにおける7つの原則が挙げられています。特徴的なのは、デバイスがリソースへアクセスする際は、毎回動的に認証を行うことです。
【1】すべてのネットワーク、アプリケーションなどの情報資産は「リソース」と捉える
【2】ネットワークの位置に関係なく、すべての通信が保護対象となる
【3】アクセス認証はセッション単位で毎回行う
【4】情報資産へのアクセスは、動的なポリシーによって決定される
【5】組織が所有するすべての情報資産は監視対象である
【6】デバイス認証は、アクセスする都度認証を行う
【7】組織は情報収集を行い、常にセキュリティを改善する
たとえば、アクセス認証を行う場合には、端末の事前登録状況やセキュリティ対策ソフトのインストール有無、ウイルス感染していないかなど、いくつかの条件を満たした安全なアクセスにだけ許可を行います。許可はセッションごとに行われるため、たとえ一度許可されたデバイスであっても拒否される可能性があります。
ゼロトラストセキュリティが重要視される理由
ゼロトラストセキュリティが重要視される理由として、大きく以下の3つが挙げられます。
テレワークの普及
「テレワーク」とは、ITを活用して場所や時間の制限なしに柔軟な働き方をする取り組みのことです。働き方改革や新型コロナウイルス対策などにより、ここ数年間で導入企業が増加しました。
テレワーク環境では、自宅や組織外の場所から組織内のネットワークへアクセスしたり、組織で利用しているデバイスを外部に持ち出したりして作業します。そのため、従来型のファイアーウォールによるセキュリティ対策では対応しづらく、十分なセキュリティを担保できません。
現にJPCERTコーディネーションセンターの発表によると、2020年2月のセキュリティインシデント発生件数は1,775件だったのに対し、同年9月には5,473件に推移しており、実に3倍にまで増加していることがわかります。安全性を考慮するなら、ゼロトラストセキュリティへの移行は避けて通れないでしょう。
クラウドサービスの利用増加
クラウド利用の増加も理由のひとつです。クラウドは今や、企業にとってなくてはならないインフラと化しています。クラウドサービスを利用する際は、インターネット上に重要なデータや機密情報を保管し、それらに社内外からアクセスするため、従来型のセキュリティ対策では安全性を保つことが困難です。
内部不正やヒューマンエラー
近年ではセキュリティの脅威が多様化しており、人的エラーによる情報漏洩やフィッシング詐欺、マルウェアなどによる不正アクセスといった、組織内部の人間・パソコンから起きる情報漏洩インシデントが増加しています。従来型のセキュリティ対策では、一度内部に入ってしまったデバイスやアクセスを監視・制御することは困難であるため、ゼロトラストセキュリティの重要性が高まっているのです。
ゼロトラストで防御される領域
ゼロトラストセキュリティで防御される領域には、各種IDやネットワークにアクセスするデバイス(エンドポイント)のほか、ネットワーク・クラウドサービス・データなどがあります。一方、従来型では主にネットワークが防御される領域です。
ゼロトラストを実施すべき理由
先述したとおり、さまざまな環境変化により従来型のセキュリティでは、もはや企業の情報資産を安全に保護することが困難になっています。クラウドサービスやテレワークなどの複雑な利用環境に適応しつつ、生産性は落とさないこと、そしてユーザー・デバイス・データなどを安全に保護できることが強く求められます。このようなニーズに応えられる手段として、多くの企業ではゼロトラストセキュリティへの移行が検討されています。
ゼロトラストセキュリティのメリット・デメリット
ゼロトラストセキュリティの導入にあたっては、メリット・デメリットを事前に把握しておくことが重要です。以下、主なメリット・デメリットについて見ていきましょう。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティを組織が導入するメリットとしては、組織内外のどこからでも安全にアクセスできる点が挙げられます。今後はよりテレワークが拡大すると考えられるため、セキュアなアクセス環境を構築できるのは大きなメリットです。
また、シンプルながら強いセキュリティが実現する点や、従来のファイアーウォールでは防げなかった攻撃にも対応できる点も魅力といえます。
ゼロトラストセキュリティのデメリット
すべてのアクセスに対して認証を行う都合、アクセスの利便性を大きく損なうおそれがあります。保管されているデータファイルなどにアクセスするたびに認証を求められるため、業務がスムーズに進まず、ストレスに感じることもあるかもしれません。
また、ゼロトラストセキュリティを実現するためには、それに必要な基盤を構築しなければなりません。現在ではさまざまなセキュリティソリューションが提供されていますが、何を導入するにせよ、ある程度のコストの発生は避けられないでしょう。無論、新たな仕組みを取り入れるのであれば、セキュリティ管理者の負担や、従業員を新システムに慣らすための教育コストなどの増加も懸念されます。
ゼロトラストセキュリティモデルを用いた事例
最後に、ゼロトラストセキュリティを導入した海外企業の先進事例を2つご紹介します。
Vodafoneの事例
世界的な大手通信会社Vodafoneでは、DX化に向けてシステムの完全なクラウド移行を推進していくにあたり、より強固なセキュリティ対策を行う必要がありました。
そこで同社は安全性を保つ選択として、ゼロトラストセキュリティのソリューションを導入します。これにより、全世界で働くスタッフが場所や時間に依存せず、安全にデータを管理・利用できるような環境の構築に成功しました。
Bridgewaterの事例
アメリカの大手金融サービス企業Bridgewaterでは従来、クラウドサーバーにデータを保管していましたが、セキュリティ上の観点から私用パソコンの持ち込みやテレワークを厳しく制限していました。
しかし、業務上の不便が生じたり、効率が下がったりするなどの問題があったため、新たにゼロトラストセキュリティの導入に踏み切ります。これにより、外部からの安全なアクセスが可能になったことで、スタッフは自宅や出張先からでもリモートアクセスできるようになり、利便性が向上しました。
まとめ
クラウドサービスやテレワークが普及するにつれて、セキュリティの脅威も多様化しています。そのような中、企業の情報資産を守るためには、ゼロトラストの概念に基づくセキュリティ基盤の構築が不可欠です。ゼロトラストセキュリティを実現するためにも、Microsoft Azureが提供する「Azure AD」をぜひご活用ください。