fbpx

ゼロトラストアーキテクチャとは?確認事項やおすすめのツールを紹介

  • このエントリーをはてなブックマークに追加

ゼロトラストアーキテクチャとは?

ゼロトラストとは、2010年に技術や市場調査を得意とするアメリカのForrester Research社が提唱したセキュリティモデルです。アーキテクチャは「システムにおける構想」を意味するので、ゼロトラストの特徴がそのまま反映される形となります。

ゼロトラストはセキュリティ対策の概念であり、単一のセキュリティツールを導入してセキュリティレベルを確保するものではありません。多要素認証やEDR(Endpoint Detection and Response)、CASB(Cloud Access Security Broker)、SOAR(Security Orchestration, Automation and Response)といった複数のツールを組み合わせて、強固なセキュリティ対策を実現します。

ゼロトラストアーキテクチャは、企業のクラウドサービスの利用増加によって、注目度が増してきました。


ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!

ゼロトラストアーキテクチャの2つの特徴とは?

ゼロトラストアーキテクチャの特徴を紹介します。

全てのアクセスへの認証機能

ゼロトラストは「全てのアクセスを信頼しない」との考えの下、ユーザーやデバイス機器、アクセス地点を問わず全てのアクセスに認証機能を求めます。本人認証が確認できたアクセスしか、社内のデータファイルやクラウド上のアプリにログインできないため、不正アクセスのリスクを大幅に軽減できます。

また、ユーザーがアクセスをする場所や時間も関係ありません。社内でデータファイルを30秒前にログアウトしたとしても、30秒後再びログインした場合は本人認証を要求されます。

ゼロトラストは「全てのアクセスにリスクが潜んでいる」との考えなので、直前のログインでも信用しません。ゼロトラストを導入することで、「誰が、いつ、どのデバイス機器で、どのファイルやアプリ」にログインしたかがわかります。アクセスする場所や時間を問わないため、現在企業が導入を進めているテレワークを実現可能にするセキュリティソリューションだと言えます。

最小限のアクセス権

社員に対してシステム上のデータファイルや業務上必要性が低いWebサイトの閲覧を制限・禁止することができます。内部からの情報漏洩を防ぐために有効です。社員のデータの持ち出しや信頼性の低いWebサイトの閲覧による個人情報の流出やマルウェア感染を防げるからです。

例えば、あなたが営業マンだとしましょう。顧客データや売上実績、見積書など営業活動に必要なファイルは閲覧できても、技術者が使う図面や部品表、人事部が利用する従業員データなどを閲覧禁止の状態にします。

企業の機密情報が漏れた場合、社員は所属している部署に関するデータしか閲覧できないため、おのずと犯人は絞られてきます。テレワークの導入により、従来のオフィスへの出勤スタイルでは見えていた社員の行動が見えづらくなっている状態です。

監視の目は無いため、多額の金銭的な見返りのために機密情報を売る社員がいてもおかしくありません。アクセスできる範囲を限定することで、情報漏洩対策と仮に情報漏洩が発覚した場合の犯人の特定を容易にします。

ゼロトラストアーキテクチャが注目される3つの理由

企業のクラウドサービスの利用増加、テレワークの推進、現在のリモートワークを実現するVPNの課題が多いなどの理由があります。

クラウドサービスの利用増加

企業が自社でネットインフラ環境の整備・運用を行っていたオンプレミスから、クラウドサービスに移行する企業が増えています。2018年に総務省が発表した情報通信白書によると、約6割の企業が何らかの形でクラウドサービスを利用していました。GmailやOutlookといったメールソフトもクラウドサービスの1種であるため、実際の感覚よりも使っている人は多いのではないでしょうか。

クラウドサービスのメリットは、自社でネットインフラ環境を持つ必要が無い点と使いたいときに使える点です。クラウドサービスを提供しているベンダーが管理をするからです。ネットインフラの運用・整備のコストカットや管理者の業務負担軽減、場所を問わない働き方改革につながります。

テレワークの推進

テレワークの推進は企業だけでなく、社員にもメリットがあります。それぞれが得られるメリットをまとめました。

社員 企業
メリット
  • 結婚・出産を控えた女性も仕事を続ける選択が可能
  • 通勤によるストレスや体力消耗の回避
  • 人間関係の煩わしさから解放
  • 業務の効率性UP
  • 職場への満足度向上

 

  • 優秀な人材の確保・流出阻止
  • 地域を問わない能力重視の採用が可能
  • オフィス賃料や交通費のコストカット
  • 離職率の低下

 

VPNが抱える課題とは?

現在リモートワークを実施している企業の多くが導入しているVPN(Virtual Private Network)ですが、通信の安定性と脆弱性に課題を残しています。順番にみていきましょう。

通信が不安定

VPNは特定の拠点間にルーターを設置して仮想の専用線を敷いてネットワーク環境を作り出し、社内から離れた場所でもアクセスを実現できる仕組みです。そして、社内システムに入る前は、必ずVPNゲートウェイを経由してからデータファイルやアプリへログインします。ここで課題なのが、ユーザーのアクセス地点によっては通信経路が遠回りする可能性があることです。

VPNゲートウェイは特定の拠点同士を1:1でつなぐためのもので、接続先は1か所しか設置しません。社内のサーバーやデータファイルの位置、ユーザーのアクセス地点、VPNゲートウェイ位置が離れていると別のネットワークWAN(Wide Area Network)を経由する必要があるので、無駄が多くなります。

最短距離で通信のやりとりができないため、通信コストの増大や通信速度の低下、通信障害などが起きやすくなります。

脆弱性の課題

VPNはセキュリティ対策が不十分な場所でデバイス機器を使用した場合、被害が拡大しやすい傾向にあります。無料のWi-Fiスポットを用意しているカフェやファストフード店などのなかには、セキュリティ対策が十分でない店舗があります。セキュリティ保護が十分にされていない場合、情報漏洩のリスクが高まります。

取引先や上司に送るメールのメッセージ内容が暗号化されず丸見えの状態になり、社内ネットワークにアクセスする場合も攻撃者から不正侵入を許しやすく、データの盗聴や改ざんなどを許すリスクが高まります。

一度社内ネットワークに侵入を許してしまうと、従来のセキュリティ対策では「マルウェア感染したとしても被害を最小化するか」といった点に、やや弱さを抱えているので、被害が拡大しやすい傾向にあります。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

境界線型のセキュリティから侵入前提のセキュリティ対策へ

状来のセキュリティ対策は、社内と社外を明確に分けた考えでした。「社内アクセスの利用=安全」、「社外からのアクセス=危険」が伴うとの考えから、いかに不正アクセスやマルウェアといった脅威を社内システムに侵入させないかといった点に重点が置かれていました。

ですが、スマートフォンやノートPC、iPadなど社員が利用するデバイス機器の増加やサイバー攻撃の多様化によって、脅威の侵入を完全に防ぐことは困難になりつつあります。今後もテレワークの推進によって、社外からのアクセス機会はさらに増加するため、もはや社内と社外を区別する意味も薄れてきました。

企業を悩ませるサイバー攻撃やシステム上における脆弱性の発見といったセキュリティインシデントは、初動対応が非常に重要です。正しく対処できれば、被害を最小限に抑えることができるからです。

そのため、現在は「いかに脅威の被害を最小化するか」といったセキュリティ対策に考えが変わってきています。つまり、マルウェアや不正アクセスに侵入を許すことを前提としたセキュリティソリューションです。

ゼロトラストアーキテクチャは、社内ネットワークへのマルウェアや不正アクセスの侵入リスクを軽減する予防も取りつつ、脅威の被害の最小化も実現可能なセキュリティソリューションです。

ゼロトラストアーキテクチャを実現するセキュリティツール

多要素認証やEDR、CASB、SOARといったセキュリティツールの特徴をまとめました。

種類 機能 導入効果
多要素認証
  • 指紋認証や顔認証
  • スマートフォンのSMSを利用した2段階認証
  • シングルサインオン
  • 不正アクセスのリスク軽減
  • 利便性の確保
EDR
  • PCやスマートフォンなどの端末内のセキュリティ監視
  • マルウェアや脅威の検知・隔離
  • 感染経路の特定・分析
  • システムの安定化
  • セキュリティインシデント被害の最小化
  • 管理者業務の負担軽減
  • 未知の脆弱性にも対応
CASB
  • アプリやソフトウェアとの連携・制限
  • 内外部のアクセスをプロキシが制御・遮断
  • ログ解析が可能

 

  • アプリやデータファイルの使用状況の可視化
  • セキュリティレベルの確保
  • 不正アクセスやマルウェアの検知・遮断
SOAR
  • セキュリティインシデントの自動検知
  • インシデントへの対処方法と優先順位をユーザーに提示
  • 複雑な処理は自動対応
  • 対処した事例の自動保存・自動検索
  • セキュリティインシデントの予防・被害を最小化
  • 初動対応ミスの防止
  • 効率的なセキュリティ運用
  • 情報共有を円滑化
  • 人材不足に悩む企業にも導入可能

 

ゼロトラストアーキテクチャを構築する前に確認すべき3つのこと

導入コストの確保、本当に必要なセキュリティツールの見極め、自社のセキュリティ環境の状況把握が挙げられます。

導入コストの確保

ゼロトラストアーキテクチャを構成するためには、複数のセキュリティツールの導入が必要です。初期費用で数十万円~数百万円規模の出費は、確保しなければなりません。加えてランニングコストの試算も必要であるため、まずは業績を上げて多くの利益を確保する必要があります。

また、業績が良い時期が続いたとしても、段階的な導入をおすすめします。全てを一斉に導入すると社員に多くの負担がかかるため、業務効率を損なうリスクがあるからです。

本当に必要なセキュリティツールの見極め

自社のIT環境の状況やセキュリティ分野に長けた社員の有無によって、必要なセキュリティツールは変わってきます。既に複数のセキュリティツールを導入して一定の効果を上げている場合は、部分的な導入で十分でしょう。

一方で、これから本格的なセキュリティ対策を始める企業や人材不足に悩んでいる企業は強固なセキュリティ対策だけでなく、効率的な運用ができる体制も必要となります。

特に中小企業はセキュリティ分野専任の担当者を置けない企業も多く、セキュリティ分野への経験や知識が豊富な人材確保が難しい状況です。近年は大企業だけでなく、中小企業をターゲットにしたサプライチェーン攻撃も増加しています。正しいセキュリティツールを導入して、サイバー攻撃から情報資産を守りましょう。

自社のセキュリティ環境の把握

自社のネットワーク上の脆弱性やセキュリティ対策を把握する必要があります。自社のIT環境を把握しないと何が問題で、どんなセキュリティツールを導入するべきかわからないからです。

ゼロトラストアーキテクチャを構築するには、多額のコストを必要とします。高額な資金を投じて導入効果が今一つだった場合、何のために導入したのかわからなくなるので、状況を慎重に見極めましょう。

また、セキュリティ分野に精通した社員の有無をチェックすることも重要です。知識や経験豊富な社員がいれば、自社に必要なセキュリティーツールを判断できるだけでなく、セキュリティインシデントが起きた際の対応も任せられるからです。

一方で、セキュリティ分野への知識を持った社員がいない場合は、業務をこなしながら知識を吸収できるSOAR、自社のデバイス機器やネットワークのセキュリティ監視を24時間行ってくれる、SOC(Security Operation Center)の導入を検討しましょう。

情報資産を守るためのセキュリティ対策を実施しよう

今回紹介したゼロトラストアーキテクチャをはじめ、重要なのは自社の情報資産をいかに守るためのシステムを作るかといったことです。情報がお金を生む対象となっている反面、情報が流出した場合の経済的な損失と取引先からの信用損失は計り知れません。

特に独自性や専門性の強い技術やノウハウを持っている企業は、情報流出によりライバル企業にノウハウをコピーされた商品やサービス展開に遭う可能性が十分考えられます。

以前のように市場で絶対的な優位性を見せられないため、今後のビジネスは厳しい時期が続くでしょう。また、取引先からも取引を不安視されるため、受注量の低下や取引停止といったリスクもあります。

サイバー攻撃の脅威は年々上がっているため、導入を先送りにしてもあまり時間は残されていません。まずはゼロトラストアーキテクチャをはじめ、自社に必要なセキュリティツールの選定や導入意義を理解するところから、始めてみましょう。

 

 

いかがでしたでしょうか。本記事でもかなり網羅性を持ってゼロトラストセキュリティについて解説してまいりましたが、新型コロナウィルス感染症やテレワークの切り口でゼロトラストセキュリティについてまとめているホワイトペーパーもご用意しています。ゼロトラストセキュリティについてどこよりも詳しく全28ページでまとめておりますので、是非ご覧ください。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。