クラウドサービスやリモートワークの普及に伴い、従来の境界型セキュリティだけでは現代のサイバーリスクに対応しきれなくなっています。そこで本記事では、従来のセキュリティとは根本的にアプローチが異なる次世代ソリューション「ゼロトラスト製品」について解説します。
いま注目されているゼロトラスト製品とは?
そもそもゼロトラストとは、信頼(trust)がゼロであること、すなわち「何も信頼しない」という意味の言葉です。したがってゼロトラスト製品とは、システムを安全に保護するためには、どのようなアクセスポイントもトラフィックも信頼すべきではないという理念に基づいたセキュリティツール群を意味します。具体的には、端末やサーバーなどのエンドポイントを保護するEDRやEPP、またはセキュリティ運用を効率化・自動化するSOARなどがゼロトラスト製品に分類されます。
ゼロトラストがセキュリティに与えるメリット
ゼロトラストとはどのような特長を持ったセキュリティ対策なのでしょうか。以下では、ゼロトラストが企業のセキュリティに与える主なメリットを紹介します。
企業のセキュリティ対策を強化
ゼロトラストにおいては、社内からのアクセスに対しても多要素認証などの厳格な認証管理を行うと共に、管理者も含むすべてのユーザーに対して細やかなアクセス権限の管理を実施します。また、システム内に不審な兆候がないか、すべてのユーザーの行動を監視します。つまり、ゼロトラストにおいては、社外からのアクセスであろうと、社内からのアクセスであろうと、守るべき情報資産にアクセスしているすべてのユーザーを警戒の対象とするのです。
これによって外部からのサイバー攻撃はもちろん、組織内部の人間による内部不正にも迅速な対応が可能になり、企業のセキュリティ対策を強化できます。ゼロトラストセキュリティを実現するには、多様なエンドポイントの保護や、ログ監視などの煩雑な作業が必要です。しかし、エンドポイントの保護についてはEDRを、煩雑なセキュリティ運用についてはSOARを導入することで、ゼロトラストセキュリティの効率的な実施が可能になります。
テレワーク対応で働き方改革を実践できる
ゼロトラストはクラウド環境、ひいてはテレワーク環境の運用に適したソリューションです。上記したように、ゼロトラストは社内外問わず、あらゆるアクセスポイントからのトラフィックを管理できるので、場所に縛られずにサービスを利用できるクラウドのメリットを最大限に活かせます。
つまり、ゼロトラストによってクラウド環境でのデータ利活用の安全性を高めることで、脱オンプレミス化を推進できるのです。クラウドへの移行はDXへの第一歩であり、テレワークの導入など働き方改革を推進していくことにもつながります。
ゼロトラスト製品が高セキュリティを実現できる仕組み
上記のように、ゼロトラスト製品は企業のシステムを高いレベルで保護できますが、それはどのような仕組みによって可能になるのでしょうか。
ここで真っ先に挙げられるのが、ゼロトラストはネットワークの内と外を分けずにアクセス管理をする仕組みであることです。これは、現在の企業のシステム環境が、外部ネットワークから遮断されたオンプレミス環境から、インターネットへの接続が前提とされたクラウド環境へ移行していることを反映しています。
オンプレミス時代にはネットワークの「内と外」という区別があり、システムを安全に保つには限られた侵入口さえ警戒していればよいという認識でセキュリティ対策がなされていました。それが、クラウドサービスの普及によってその前提が根本的に崩れてしまったのです。
しかも現代のサイバー攻撃は非常に巧妙化しており、どんなに強固なファイアウォールに守られたシステムでもマルウェアの感染リスクをゼロにすることはできません。さらに、近年では内部不正やヒューマンエラーによって組織内部から情報流出が発生した事例も相次いでおり、自社の従業員であっても100%信頼するのは危険であるという認識が広まりつつあります。
ようするに、現在のセキュリティにおいては単にファイアウォールを強化するだけでは不十分で、そこを突破された際の次善の策が必須となっているのです。その点、ゼロトラストセキュリティは、次項で解説するように厳格な認証をその都度要求し、最小限のアクセス権限のみを各ユーザーに付与することで、ユーザーアカウントが悪用されたとしても、自由な行動を阻害できます。また、ツールを活用してログ監視を自動化することで、24時間365日ずっとシステム内のユーザー動向をモニタリングし、トラブルが発生したとしても迅速にそれを把握し、対応できるような体制を構築可能です。
ゼロトラスト製品のアクセス認証基盤について
上記のように、ゼロトラストのセキュリティは、厳格なユーザー認証とアクセス権限の管理によって成立しています。ユーザー認証に関しては、多要素認証が主な手段です。多要素認証とは、通常のIDとパスワード情報の入力に加え、指紋などの生体認証や、本人のスマホなどに送信された認証キーなどを入力する方法です。複数の角度から本人確認を要求することで、第三者による不正アクセスを防ぎやすくなります。
また、アクセス権限に関して、ゼロトラストセキュリティは必要最小限のアクセス権限をユーザーに付与することを原則としています。必要な人に、必要なデータへ、必要な時間だけアクセスできるようにするのがゼロトラストセキュリティにおける理想です。アクセス権限の管理を緻密に管理することによって、たとえそのアカウントが第三者に乗っ取られたとしても、システム内での行動を制限し、情報漏洩リスクなどを最小限に留めることが可能です。
これまでのセキュリティネットワークと異なるポイント
ここまで述べてきたことを踏まえつつ、従来のセキュリティとゼロトラストセキュリティの違いをまとめてみましょう。境界型防御と呼ばれる従来のセキュリティモデルは、組織のネットワーク内のトラフィックは信頼してよいという認識に基づいて開発されていました。この信頼に基づいたモデルでは、システム内で活動しているのは正当な権利を持ったユーザー自身であり、そしてすべてのユーザーが責任を持って正しく行動していることが前提となっています。
しかしゼロトラストモデルでは、このような信頼を脆弱性として認識しています。それゆえ、自社のシステムにアクセスしようとするすべてのユーザーに対して厳格な認証作業をその都度課し、それをクリアしてシステム内で活動しているトラフィックに対しても監視の目を欠かしません。さらに、常日頃から各ユーザーに細やかなアクセス制限を課すことで、必要な人に必要なとき以外に重要なデータが渡らないように保護します。
オンプレミス環境を前提に構築される従来の境界型防御とは対照的に、ゼロトラストはクラウド環境での運用を前提に構築されています。クラウド活用がDXに向けた大きなカギとなっている昨今、クラウド環境に適したゼロトラストはまさに次世代のセキュリティソリューションと言えるでしょう。
Azureセキュリティで重要なデータを保護
Microsoftではユーザーのデータを安全に守るために、3,500人を超えるサイバーセキュリティの専門家によって常に最新のセキュリティ環境を提供しています。Microsoft Azureには多要素認証やシングルサインオンによる認証機能が搭載されており、安全性と利便性を両立した認証管理が可能です。
また、Azureでは各チームメンバーへ職務に応じたアクセス権限を付与できるため、ガバナンスを利かせたデータ管理を実現できます。これらの機能によって、ユーザーはAzure上で効果的なゼロトラストセキュリティを実施できます。
まとめ
ゼロトラストセキュリティとはネットワークの内外問わず、あらゆるトラフィックを信頼せずに自社の情報資産を守る次世代のセキュリティソリューションです。Microsoft Azureではセキュアな認証管理とアクセス制限機能により、効果的なゼロトラストセキュリティの構築が可能です。ぜひ導入をご検討ください。