fbpx

ゼロトラストとは?境界型に対するの仕組みから、事例まで広く解説!

  • このエントリーをはてなブックマークに追加

好きな所から読む

近年テレワークや働き方改革の影響もあり、その柔軟性が注目を集めているゼロトラストセキュリティ(ゼロトラストネットワーク)についてご存知でしょうか?本記事ではゼロトラストモデルが生まれた背景から、その仕組みや導入事例、また境界型セキュリティモデルとの比較まで広い視点で徹底的に解説しています。初心者の方でもわかるように丁寧に解説しておりますので、是非ご覧ください。

ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!

ゼロトラストとは?

近年IT分野において話題に出てくるようになった「ゼロトラスト」という言葉、聞いたことあるでしょうか?2019年を境によく用いられるようになった言葉であり、名前の通り「完全に信頼できるものはなにひとつ無い」という考え方を根底にした、セキュリティ対策モデルのことを指しています。

企業の外部からの攻撃だけではなく、企業内の端末からアプリケーション、働いている従業員に至るまで、ありとあらゆる内部の物事についても脅威の可能性となる対象として捉え、起こり得る最悪の事態を想定した情報漏洩への対策方法を講じることがこのゼロトラストというモデルのコンセプトであり、今後IT業界においてもっとも注目されるキーワードのひとつとなると言われています。

なぜゼロトラストモデルが今後そこまで重要になっていくのかについては、本記事を読むことで理解していただけると思います。尚、3分でゼロトラストを理解したい方はこちらをご覧ください。

境界型セキュリティ(ペリメタモデル)との違い

従来のファイアウォールやIPS、IDSなどを代表としたセキュリティ対策を企業の内部と外部の境目に設置し、外部からの侵入を感知し防御をおこなう方法は「境界型セキュリティ(またはペリメタモデル)」と呼ばれ、ほとんどの企業がこの考え方に基づいたセキュリティ対策の設計を採用し、運営されています。

ゼロトラストという考え方が重要視され始める以前は、「社内にある端末はすべて安全であり、企業にとって脅威となるものは基本外部から侵入してくる」という考え方が主流でしたが、現在では技術進化と社会背景の変化といった事情から、「内部と外部の境界さえ厳格に守っておけば、企業にとって脅威となる事態は起こりえない」というセキュリティ対策方法だけでは限界がきていると考えられています。

そうした時代の流れから、「境界は曖昧になっていて、内部も外部もすべてが脅威の対象である」というゼロトラストモデルでのセキュリティ対策の重要性が、必然的に増してきているのが現状です。

境界型防御のデメリットや弱点

外部のみに的を絞って重点的にセキュリティ対策がおこなわれているのが境界型防御の特徴のため、一度侵入に成功してしまったウイルスなどの悪意あるサイバー攻撃に対しては、まったくの無力の状態になってしまうのが大きな弱点となります。

非常にたくさんある企業の端末のうち、たったひとつの端末でも侵入を許してしまえばそこからウイルスは増殖し社内で広まってしまい、「ラテラルムーブメント」と呼ばれる水平移動による感染拡大だけでなく、特権階級の人にしかアクセス権限がない機密情報にまで到達し奪取される恐れがでてくるので、内部による防御体制が今後ますます重要になっていくと言って良いでしょう。

ゼロトラストネットワーク・ゼロトラストモデルとも呼ばれる

ゼロトラストは「ゼロトラストネットワーク」「ゼロトラストモデル」「ゼロトラストセキュリティ」とも呼ばれています。特にゼロトラストネットワークについては、社内ネットワークと社外ネットワーク、すべてのネットワーク環境を対象にした存在であることからそう呼ばれています。

といっても、ゼロトラストネットワークの定義については各企業によって「ゼロトラストとはかくあるべし」といった主張がそれぞれ異なっているので、「信頼できるものは何ひとつない」という定義や原則以外、明確な確固たる概念のようなものはまだ存在していません。

実際企業がゼロトラストネットワークを構築する場合、その実現方法は既存のネットワーク構成やITインフラに大きく依存します。

ゼロトラストセキュリティの歴史

2007年、セキュリティ組織である「Jericho Forum」において「トラストモデル」と呼ばれるホストの信頼性、防御力を重視したセキュリティモデルが提案されました。ホストの防御さえ鉄壁であれば、外部からの攻撃はいっさい脅威に当たらないという考え方でしたが、すべてのホストを完璧に管理下に置いている組織というのはごく一部でしかないという課題を抱えていました。

後にいくつかのモデルの改変がおこなわれ、ネットワークアクセス制御、通称「NAC」と呼ばれる境界型によるセキュリティ制御モデルが現れましたが、こちらも先述したような内部に入られてしまうと無力といった課題点などが年々浮き彫りになってきていて、これから先のセキュリティ対策としては大きな不安を抱えています。

そうしたいくつかのモデルが登場した後に到達したのがゼロトラストでのセキュリティモデルであり、ホストもネットワークもすべて、ありとあらゆる要素において疑える所がある限り、一切の活動は許可しないという原則に基づいて作られたコンセプトです。

ゼロトラストセキュリティのあるべき形はまだ各企業が模索段階であり、今後より明確で強固なコンセプトが登場してくることでしょう。

ゼロトラストのメリットとは

先述したとおり、ゼロトラストは「全てを信用しない」理念に基づきます。それは外部でも内部でも平等です。従って、ネットワークに対して外部と内部の差異なく信用評価されます。信用評価はリソース利用に対し個別に確認と評価がされます。

ゼロトラストのメリットは、ネットワークセキュリティの脅威に対してシンプルな考え且つ構造でありながら、今までにない強固なセキュリティシステムに変換して行くことが可能となるのです。

ゼロトラストネットワークでは、最小限のアクセス権の原則に沿って、「必要な人に必要なだけのアクセス」の実現を可能にします。例えば、ある会社の営業部門の従業員には営業に必要なデータとアプリケーションの権限を付与し、技術部門の従業員には技術開発に必要なデータとアプリケーションに対して権限のみを与えることで、余分なアクセスを減らし情報を漏洩することを防ぐことができます。

一方でデメリットや今後の課題も

全てを信用できないものとし、外部からの侵入を全て遮断するゼロトラストですが、ここでは「信用できるもの」と「信用できないもの」について考えて見ましょう。

その時では「信用できるもの」であったものは、今後ともそうであるのでしょうか。

ゼロトラストは、ネットワークを利用するにあたってその時点での「信用できるモノ」と「信用できないモノ」を区別し、信頼できるものに対して権限が与えられます。しかし、ここで区別する「信頼性」は不変なものでしょうか?そうとも限らないのがこの情報社会の現状です。

その時に一度信用できるものと判断されたものが、今後も無条件に信用できる保証はありません。ゼロトラストにおいても、完全に信頼性のある、且つ完璧なセキュリティシステムは不可能です。

セキュリティシステム自体のバージョンアップも必ず確認して下さい。旧バージョンでは対処できない、すでに不正解析によりセキュリティ構築が崩壊しているといったケースも考えられます。

さらに、全てを信用しない理念から、業務を行うに至って利便性を損なう原因になることもあります。社内間であってもアクセスの制限が設けられ、もし外部のデータを必要とする場合はアクセス許可の申請や外部の人間への伝達など時間のロスが起こることはデメリットでしょう。そういった意味では、ネットワークでの業務の利便性と相反するものかもしれません。

更には、該当のIDやパスワードが正規のユーザーによって使用されているのか、不審な振る舞いがされていないか、正規の目的を持って利用するかなど個人単位での問題に関しては、いくら情報社会が発達してもこればっかりは対処することはできません。

現在のところでは、ゼロトラストはメリットがほとんどであり、デメリットは注目されないかもしれません。しかし、ゼロトラストが導入され、社会で広範的に認識・利用された時に新たなデメリットが表出する可能性もゼロではありません。より効果的にゼロトラストを導入し、その時代に沿った使い方を考えていく必要があります。

ゼロトラストが注目を集める背景

近年ゼロトラストが注目され、導入が待望されるに至ったいくつかの社会的背景、問題が存在しています。ここではそれらを紹介していきますので見ていきましょう。

利用端末の増加や、クラウドサービスの普及

なぜ2019年になって「ゼロトラスト」というセキュリティ対策が重要視されるようになってきたのか、その背景には「クラウドサービス」の大幅な普及と、ハッキング・ウイルス散布の手口の巧妙化を挙げることができます。

インターネット上にデータを置くことが主体となるクラウドサービスを導入する企業が増えたことによって、「外部」と「内部」、およびその「境界」というものが非常にあいまいとなり、従来の境界型セキュリティだけでは完全に機密情報を守ることが日々困難な状況となってきています。

なので境界という概念があいまいとなってしまった今だからこそ、境界なくすべてを疑うというゼロトラストでのセキュリティ対策を講じる必要がでてきたという訳です。

働き方改革やコロナウィルスによるテレワーク

おりしもコロナというインターネット上では無い、現実のウイルス被害によって日本では国家を挙げてのテレワークによる遠隔地での作業の導入が推進され、今までセキュリティについてさほど携わらなくてもよかった従業員全体についても、自宅や出先などの外部からスマートフォンやノートパソコンを通じての情報アクセスが当たり前となってきています。

そのため従業員全体のセキュリティに関する教育など、情報漏洩を防ぐための対策を講じる必要がでてきており、「内部は安全だ」という神話も完全に崩壊しているのが現在の社会状況であり、内部を含んだセキュリティ対策が早急に必要とされています。より詳しい新型コロナウィルス対策としてのゼロトラストセキュリティについては他のホワイトペーパーもご覧ください。

内部不正・内部犯行による情報漏えいの増加

さらには、企業を退職した人が退職する際に重要な機密情報を一緒に持ち去って競合他社に転職したり、現職の人でもお金目的に情報を売ってしまうケースも年々増加しています。内部不正においてはソフトによるセキュリティ対策ではどうこうできる物では無いだけに、今後より深く内分不正と内部犯行の問題に向き合っていく必要があると言えるでしょう。

他にもより詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストネットワークの仕組み

ゼロトラストネットワークは、「信頼できるものにしか、実行許可を与えない」という考え方を根本としています。そのため、下記のような複数のチェック項目が設定され、それらを多要素認証としてクリアし、安全と認められたアクセスのみに、初めてアクセス権限が付与されます。

  • アクセスする人間が、本人であるかどうか
  • アクセスしてきた端末が、登録されているものかどうか
  • 実行しようとしているアプリケーション、セキュリティ対策ソフトがアップデートによって最新の状態を保っているかどうか
  • ウイルス感染していないかどうか

また一度認証が通ったらその間利用し放題となる従来のネットワーク通信とは違い、アクセスのたびに認証行為を迫るリアルタイムなセキュリティ管理がおこなわれています。

ゼロトラストネットワークへ移行する

ゼロトラストネットワークの実現へ

ゼロトラストネットワークモデルを構築するにあたって検討すべきことは何でしょうか?

  • 通信アクセスを全て可視化し検証すること
  • 全て記録に残すこと
  • 必要最低限での認可

これらをベースにゼロトラストネットワークへのアプローチをする必要があります。ゼロトラストネットワークの構築は一つに決まっている訳ではありません。企業ごとにオフィス環境や状況に合わせた構築を検討する必要があります。

将来的には社内の全システムがクラウドに移行する可能性があるものの、現状しばらくは一部のシステムがクラウドに移行した環境にとどまることかと思われます。一部がクラウドへ移行している環境では、既存のセキュリティ対策を活用しながら、新たに導入されたクラウド環境に対するセキュリティ対策の実施と言った、環境に合わせた対策が必要となります。

既存のシステムやネットワーク構成を生かしつつゼロトラストを実現するにはクラウド上のID基盤が必要です。
多要素認証でより堅牢になったゼロトラストソリューションが気になる方はLOCKEDのサービス概要もご覧ください。

次では、ゼロトラストモデルを実現するための代表的なセキュリティソリューションを紹介します。

ゼロトラストをIDaaSやID管理で開始するケース

近年ではIdentity as a ServiceことIDaaSのようなクラウド上でのID管理サービスが存在しますが、現状IDの一元管理はセキュリティにおいて相応の問題点も含んでいるため、まずは普段利用しているアプリケーションそれぞれに、多要素認証による本人確認の機能を組み込むことから始めることをおすすめしておきます。

クラウド上のサービスを利用することが当たり前となっていく今後のことを踏まえると、オンプレミスとクラウドにまたがる形でのインフラを構築していく必要がありますが、その際手慣れていない末端の従業員がスマートフォンからアクセスする場合も念頭に入れておかねばなりません。

特に日本は高齢化社会であることも相まって、セキュリティ対策の分野においてはIT先進国である諸外国と比べて理解が遅れていて、低予算でありながらセキュリティに対する理解の低い人間でも扱うことのできるインフラ環境が求められています。

その中で大きく効果を発揮するのはユーザーIDだけでなく、指紋認証やワンタイムパスワードなどを使った多要素認証であり、もっとも手間と知識を必要とすることなくゼロトラストの実現を目指すことができると言えるでしょう。

ゼロトラストをEDRやMDMから始めるケース

EDRとはEndpoint Detection and Responseの略称であり、エンドポイント(従業員が利用しているパソコンやスマートフォンの総称)での異常の検出と対応のことを意味していて、もう一方のMDMはMobile Device Managementの略であり、スマートフォンなどのモバイル端末を効率的に管理する手法のことを指しています。

市販のスマートフォンの認証管理の徹底振りを見ても分かる通り、端末を起点としたセキュリティ管理は非常に堅牢ですが、一方で端末を紛失・盗まれた場合のことを考えると万能なセキュリティ対策を講じることはできていないのが現状です。なのでEDRやMDM、あくまでも多要素認証におけるひとつの要素であり、他の要素と併用して導入するべきだと言えるでしょう。

とはいえMDM自体はシャドーIT化しがちなBYOD(個人端末の業務利用)環境では有効に機能します。

ゼロトラストをCASBから始めるケース

CASBはCloud Access Security Brokerの略称であり、一般的に「キャスビー」と呼ばれています。CASBは利用者と複数のクラウドプロバイダーの間に単一のコントロールポイントを設置することにより、一貫したセキュリティ体制を敷くことができるというコンセプトであり、これによって従業員が個人的にクラウドサービスを勝手に利用するなどの問題を防ぐことができ、これからのクラウドサービスの多様化においてほぼ必須の考え方でもあります。

社内の人間が原因となって起こる情報漏洩は、意図的な内部不正、内部犯行を除けば従業員の勝手なサービス利用によるウイルス感染などが原因となっており、いくら企業側がベストなセキュリティ対策を施していても従業員の意識が低ければ、社内全体のセキュリティレベルを底上げすることは非常に困難となってしまいます。

CASBを意識したゼロトラストモデルにはそれなりのコストがかかり、年間400万円からの費用を実装と運用に見積もる必要があると言えますが、CASBは現代のクラウドサービスと相性の良いセキュリティソリューションであり、主だったサービスには多要素認証、シングルサインオン 、アクセス制御と暗号化、ウイルス対策、ログ管理といったIDaaSの機能を含んでいるものも多く、クラウド利用時のアクセス情報の可視化が期待できます。

しかし一方でクラウドサービスとの相性は良いものの、オンプレミス と併用したハイブリッド型の運用下においては実装と運用に至るまでに相応の時間がかかることが多く、先にクラウドサービスのみに対応させ、オンプレミスに関しては後から実装する、といった企業も多いようです。

ゼロトラストをIAMから始めるケース

「IAM」はIdentity and Access Managementの略称であり、ソリューションの導入・強化もゼロトラスト・セキュリティの実現のためには必須と言われています。ネットワークやシステムへのアクセス制御はIDとパスワードで行われるのが一般的でしたが、それではパスワードの安全性個人に委ねる問題がありました。更にはサイバー攻撃によりIDとパスワードが漏洩してしまうという危険性も否めません。

そのため、ユーザー認証だけではなくデバイスのセキュリティ状態やロケーション、使用しているアプリケーションの正当性などを識別した上でアクセス制御を行うソリューションを重要視しています。

社外ネットワークも確実な本人認証の基で利用を許可する必要があるのがゼロトラストネットワークの基本。オンプレミスシステムとクラウドサービスが共存する環境で、先述したID連携や認証をクラウド上で一元的に運用可能にするIDaaS(Identity as a Service)との平行導入も検討するといいでしょう。

ファイアウォールやUTMからゼロトラストに移行する

セキュリティ対策の代名詞的存在とも言えるファイアウォールや、さまざまな視点から統合的なセキュリティ対策をおこなう「Unified Threat Management」ことUTMは、従来の境界型セキュリティにおいて非常に大事な役割を果たしてきましたが、ゼロトラストのコンセプトにおいてはそうした静的な防壁のような役割は、ごく一部のものとして機能することになります。

「何かを信頼する」という考え方は最終的に必要ですが、「ゼロトラスト」における信頼とは動的で一時的なものであり、常に最新の状態を保ち、最新の物を再評価し続け、それをクリアしたものにのみアクセス権限が与えられます。ネットワーク上には信頼できる内部も外部もなく、そのすべてを最新の状態で検証すること、そのリアルタイム性においてゼロトラストのコンセプトは実現されるという訳です。

ゼロトラストにVPNは不要?移行やリプレイスも可能

ゼロトラストについて語られるとき、VPNという通信の際に使われる暗号化技術についても同時に語られることが多いです。

VPNは低コストで遠く離れた企業間での機密情報のやりとりを実現させてきましたが、情報漏洩の可能性がゼロになるわけではありません。実際VPNのセキュリティ面における安全性についてはいくばくかの懸念があり、また日本総テレワーク化によってVPNのネットワーク回線網がパンクしてしまい、通信速度が大幅に減速しているといった問題点も挙げられてきています。

これまでのリモートアクセスの歴史においてVPNは長らくその主役の座を譲りませんでしたが、安全性にいくつかの課題点がある以上、ゼロトラストの考え方とはそぐわないものであり、今後長期的に見てVPN技術は廃れていくのかもしれないとも考えられています。

またゼロトラスト以前に、VPN自体が近年主流となってきているクラウドサービスとの相性が悪く、特にテレワークにおいて利用していくのが難しいという問題をはらんでいます。社外からスマートフォンやノートパソコンでクラウドサービスに繋ぐ場合はいったん社内のサーバーにVPN接続をおこなってから、クラウドサービス へと繋ぐという余計なデータのやり取りがおこなわれることとなり、サーバーを圧迫させてしまうこととなります。

VPN接続の場合、そこでやりとりされるすべての通信データをVPN側で暗号化していましたが、ゼロトラストでのセキュリティ対策においては暗号化は個々のアプリケーションにまかせることで、より高い安全性の確保と暗号化による余計なデータ量の増加を防ぐことが可能となっています。また、大半のアプリケーションにおいて、HTTPS通信による暗号化が実現されているので、VPNの「通信の暗号化」という責務は容易に代替可能といえるでしょう。

他にもゼロトラストでは社内ネットワークを経由せずとも直接クラウドサービスにアクセス可能であり、社内・社外・オンプレミス・クラウドと環境を問わないセキュリティ管理なので、すべてのアクセスにおいて一貫した変わらぬ形でのセキュリティポリシーを適用して敷くことが可能となります。

とはいってもゼロトラストのセキュリティモデルは必ずしも万能というわけではなく、現状いくつかの課題点があり、たとえばIDカードのような物理的なセキュリティは社内のみにしか適用されませんし、オンプレミス型の古いシステムについても噛み合わせが難しく適用することが難しいことが多いです。そういった現状の課題点が克服されない以上、VPNは現状まだまだ利用される価値のあるものであり、今後もゼロトラストとVPNの併用による活用が続くであろうと考えられています。

VPNがなぜテレワークに適していないのか、より詳しい内容はホワイトペーパーでまとめております。
今だけ無料でダウンロード出来ますので、興味のある方は是非ご覧ください。

SOARでセキュリティ対策の効率化を

(Security Orchestration, Automation and Response)
「SOAR」(Security Orchestration, Automation and Responseは、セキュリティ対策の自動化を支援するソリューションを意味します。「インシデント対応の自動化」「インシデントの管理」「脅威情報の収集と活用」といった機能で構成されており、セキュリティ運用の自動化・効率化を実現し、効率性の高いシステム管理が可能になります。

ゼロトラストの導入事例

このセクションでは、海外の著名なゼロトラストネットワークの採用例をご紹介します。

GoogleのBeyondCorp

Googleが2020年に発表した「BeyondCorp Remote Access」はリモート環境からでもイントラネット内のWebアプリにアクセスできるシステムであり、VPNを使うことなく社内外の多くの人々が安全に利用できるため、コロナ騒動もあり現在ではGoogleに関わるほぼすべての人がBeyondCorpを使って作業をおこなっています。

認証とアクセス制御をコアとすることで、毎回最新アクセスを検証し、検証をクリアしたもののみを信頼しアクセス権限を与えるというゼロトラストモデルを実現、Googleが構想から8年にもおよぶゼロトラストネットワークの構築と、運営しているクラウドサービスを通じて得たコミュニティからのアイデアとノウハウがこのシステムには詰め込まれています。

多要素認証を活用したリスクベース認証等によってVPNを使わない信頼できる通信を実現、現在ではあらゆる組織でもBeyondCorpを実現することが可能となっています。現状過度に古いシステムについては以降に非常に時間がかかってしまうといった問題点も存在しましたが、最先端のIT企業であるGoogleが7年もの時間をかけることによって、現状もっとも理想的なゼロトラストモデルのあり方を示したと言えます。

21st Century Fox

21st Century Foxはゆうに百億円を超える予算がかけられた映画のデータなどを扱っているため、情報漏洩の問題に対しては初期の頃から最大限に関心を示し、ゼロトラストについても最も早くから着目して開拓してきた企業であると言えます。何しろ企業で作っているもののほぼすべてがサイバー攻撃の対象となるわけですから、万全なセキュリティ対策作りをもっとも重要視することは、当然なおこないだと言えるでしょう。

21st Century Foxは保管されているデータが非常に価値のあるものにも関わらず、映画製作など事業の運営には世界各国に点在する複数の拠点、そこで働く数万人の従業員、そしてたくさんの外部の取引先を必要とし、企業の内外問わない形でのやりとりから境界型モデルでのセキュリティ対策に限界を感じていました。そこで誰がどのデータにアクセスしたのかをクリアに監視でき、不正ログインやフィッシングに対応した多要素認証を中心として構築されたゼロトラストモデルでのセキュリティ管理へと移行していった訳です。

ゼロトラストモデルを採用するにあたって、柔軟なポリシーをシステムや環境を問わず適用できるようにし、個々の取引先にたいし動的に変化し対応可能できること、そして優秀な人材が効率的に働けるように使い勝手の良さと管理の簡便さを重視しています。

PaloAlto

米国に本社を置くネットワークセキュリティ企業の一つで、サイバーセキュリティ業界のリーダー企業として 150か国以上のICT環境のセキュリティ確保を支援しているPoloAlto。 2014年の時点で、既に内部ネットワークに現在の主軸となっている次世代ファイアウォールを導入、通信内容をアプリケーション、ユーザー、コンテンツごとに分類することを提唱しています。 PaloAltoのファイアウォールはIPSとしても動作するL7ファイアウォールで、境界をまたぐサイバー攻撃にも高い確度での保護が可能となります。
最近ではTrapsという脅威解析サービスと連携した次世代エンドポイントセキュリティ製品を推奨。サンドボックス解析機能を備えたクライアント保護を目的とし、信頼性が確認されないと開かない機能を持っており、ゼロトラストネットワーク構築に大きく関わっています。

Microsoft社

言わずと知れたMicrosoft社。Microsoft 365を用いることで、ゼロトラストネットワークの実現を提唱。Microsoft365のAzure Active Directory機能を用いることでゼロトラスを導きます。構築内容は条件付きアクセスポリシーを活用することでユーザー、デバイス、場所、およびセッションのリアクションに基づき動的にアクセス制御します。Microsoftにおけるゼロトラストの狙いは、モバイル活用社会を前提でユーザーの生産性を保ちつつ、企業の資産を守ること。クラウドシステムのデメリットを踏まえながらも、今後も持続可能なレジリエンスを提唱しています。

ブロードコム

米半導体大手のブロードコム(Broadcom)自体は、アクセンキュアにより米シマンテック(Symantec)のサイバー・セキュリティー・サービス(CSS)事業を買収されています。しかし、アクセンキュアにてブロードコムでの企業向けのサイバー攻撃の監視やインシデント対応などのサービスを提供する事業を引き継いでいます。ブロードコムからの世界最大規模の脅威インテリジェンスを活用したセキュリティソリューションを駆使し、ゼロトラス事業にも躍進しています。ブロードコム製品はGIN(Global intelligence Network)を保有しており、他社には真似できない高い防御力を発揮しています。世界中で収集した脅威情報を解析し、製品へ搭載することで差別化をしているのが特徴とも言えるでしょう。脅威活動の監視は世界200カ国以上へ展開し、24000以上ものセンターで活動しています。また、独自に266400以上の脆弱性情報を保有し、21300以上の連携をとっています。第三者機関によるテストでも技術革新の世界的リーダーに選ばれています。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストネットワークの参考文献

本セクションではゼロトラストモデルを調査・学習する上で参考になる文献をご紹介致します。

ゼロトラストネットワーク: 境界防御の限界を超えるためのセキュアなシステム設計

2019年10月28日に日本語訳で刊行された本書では、ファイアウォールやVPNといった従来の境界型セキュリティでは通用しなくなった現状の課題点、問題点を見つめ、すべてのトラフィックを信頼しないという原則に基づいたゼロトラストネットワークの概念を説明、実装するために必要な基礎知識が書かれています。

概念だけでなく、先述したGoogleのBeyondCorpのような具体的なケーススタディについても書かれていて、実際に運用する上で役に立つ知識を得ることが可能です。

ゼロトラスト超入門

従来型のセキュリティ対策はたくさんの抜け穴があり、またポリシーを厳格化すればビジネスの拡大は難しい。ゼロトラストはまさにそういた問題に対処するためのコンセプトであり、安全を保ちつつ場所を選ばないこれからの働き方に非常に有効でもあります。

まだまだ日本において浸透しているとは言い難いゼロトラストのコンセプトを理解し、他の人と共有できるための知識が得られます。

現在何かしらの社内システムに携わっていて、セキュリティルールを決める立場にある人、また社内のセキュリティルールに疑問を感じている人を対象に作られていて、具体的な実装方法、専門知識については省かれています。

まだ日本においては情報となる書籍が少ないので本書籍は貴重な一冊であり、日本の企業に合わせた事情、必要性についても感じられやすいかと思います。

MicrosoftのZero Trust Maturity Model

本論文はMicrosoftの提案する「成熟したゼロトラストモデル」について書かれたPDFです。原文が英語なので、ここでは要点のみを取りまとめて訳します。

クラウドサービスとテレワークによってセキュリティにおける境界は再定義され、従業員は自分の所有する端末からリモートアクセスして作業するようになり、データはインターネット上に保存され、取引先と共有されるのが当たり前となり、オンプレミスとクラウドのハイブリッド環境での運営が当たり前となってきています。

その環境の中においてファイアーウォールとVPNに依存した境界型セキュリティは可視性に欠け、ITソリューションの統合性と俊敏性に欠けています。現在ではモバイルワーカーを受け入れ、場所や端末に関係なくアプリケーションを起動することができ、データを保護するためのゼロトラストセキュリティモデルが必要とされています。

ゼロトラストではすべてのアクセスを信頼せずにその都度検証し、「マイクロセグメンテーション」と「最小特権アクセス」の原則に基づいて水平での移動を最小限に抑え、豊富なノウハウと分析によって何が危険にさらされていたのか、また再び起こらないようにするための方法を導き出します。

ゼロトラストはID、端末、アプリケーション、データ、インフラストラクチャー、ネットワークの6個の基本要素それぞれに実装する必要があります。すべてのゼロトラストモデルの実装は同じというわけではなく、組織のそれぞれの要件、既存テクノロジーとの噛み合わせ、セキュリティ対策はすべて実際の実装計画に影響してきます。顧客ごとにゼロトラストの準備状況を評価し、実装するための成熟度モデルを「Traditional」「Advanced」「Optimal」と3段階に分けて提案しています。

ゼロトラストの実装をより効果的に推進するために、これらの項目が重要であることがあることが分かっています。

  • 多要素認証とセッションリスク検出を用いた強力な認証
  • リソースの許容可能なアクセスポリシーを定義し、統治と分散の洞察、両方を提供する一貫したセキュリティーポリシーのエンジン
  • 単純な集中型ネットワークベースの境界を超えた、包括的な分散型マイクロセグメンテーションへの移行
  • 自動アラートと修復を強化し、攻撃への平均応答時間を短縮
  • クラウドインテリジェンスと利用可能なすべての信号を利用することによって、アクセス以上をリアルタイムで検出
  • 機密データを分類し保護、監視することによって悪意ある行動やアクシデントからの情報漏洩を最小限に抑える

ゼロトラストモデルはすべてのデジタル資産全体が統合された時にもっともその効果を発揮しますが、現状ではほとんどの組織は導入するにあたり、成熟度、利用可能なリソース、優先度を考慮し特定の領域を対象とした段階的なアプローチでの変更をおこなう必要があります。慎重に検討し、現在のビジネスニーズに合わせることが重要であり、最初から大きな導入をいきなり試みる必要はなく、企業が持つ既存の資産を有効活用するハイブリッドな形式において大きなメリットを得ることができます。

幸いなことに、ゼロトラストへの移行は段階を進めるごとによりリスクは軽減し、デジタル資産全体の信頼を取り戻すことが可能です。Microsoftは現在独自のアプローチによってゼロトラストに取り組んでいるので、ITショーケースにアクセスして現在の進捗状況、今後のマイルストーンの詳細をご確認ください。

ゼロトラストネットワークの構築を支える製品

現在働いている企業ですぐにでもゼロトラストでのセキュリティ管理をおこなうために、役立つ製品、サービスを紹介します。ゼロトラストというセキュリティシステムはまだまだ日本国内において未開拓の分野であると言えるので、今後ますます普及する多様なクラウドサービス への対応と、特に日本において早急を要する問題となっているテレワークによる新しいワークスタイルへの取り組みを念頭に入れ、他の企業に先駆ける形で導入を考慮しておくのも良いでしょう。

特徴 価格
Okta
  • ID管理の分野において業界トップの独立プロバイダー
  • 6500以上のクラウド、オンプレミス 、モバイルアプリケーションと事前統合
  • 20th Century Fox、JetBlue、Slack、 をはじめとする 7,000以上の企業が利用
  • 各種サービスに安全に、ワンクリックでのログインが可能
  • すべてのユーザーがワンタイムパスワードによる2要素認証を利用可能
  • 開発元が米国のため、対応している日本法人のサービスは少なめ
  • 日本語未対応
1ユーザー当たり4ドル/月〜
Locked
  • 日本語対応
  • 日本のベンダーがインテグレーションを行う
  • クラウドサービスでは一般的な認証規格であるSAMLなどに対応していない、オンプレミスで稼働しているアプリケーションにも実装不要で連携ができる
  • 100名規模から数千名の規模でも運用可能
  • SMS/メールなど複数の2段階認証が可能
  • 業務効率を落とさないリスクベース認証
1ユーザーあたり数百円

 

日本政府も検討するゼロトラストアーキテクチャ

新型コロナウィルスの蔓延により、企業でもリモートワークが増えている中で、政府も情報セキュリティに関して検討を始めています。

政府の要請により、多くの会社が急遽リモートワークを実施した最中で、現代のIT環境における課が多く浮き彫りになりました。ネットワーク社会が主流になった現在でも情報システムをうまく活用できないことも表向きになりました。リモートワークを実施する中で、社外アクセスによるセキュリティリスクの増加、不要なデータの持ち出しなど、問題は山積みです。

政府は、パブリック・クラウドの利用、働き方改革、APIによる官民連携等が政策上の大きなテーマと掲げている中、これらを推進するには、これまでの境界型セキュリティの考え方だけでは実現は不可との見解を示してします。

2020年6月、「政府CIOポータル」にて「政府情報システムにおけるゼロトラスト適用に向けた考え方」を表題とした文書がディスカッションペーパーとして公表されました。この文書は、政府CIO(最高情報責任者)補佐官などといった有識者により検討された内容として、政府の情報システムにてゼロトラストを適用するための取り組みの方向性が検討されていることが書かれています。

その他にも、政府情報システムにおけるゼロトラストの適用の検討として

  1. パブリック・クラウド利用可能システムと利用不可システムの分離
  2. システムのクラウド化徹底とネットワークセキュリティ依存の最小化
  3. エンドポイント・セキュリティの強化
  4. セキュリティ対策のクラウド化
  5. 認証、及び認可の動的管理の一元化

といったものが公示されています。該当サイトでは、ゼロトラスト適用に向けた考え方に対し、コメントフォームにて意見を募集しているのでのぞいてみてはいかがでしょうか?(掲載期限あり)

政府情報システムにおけるゼロトラストの適用の取り組みを1)パブリック・クラウド利用可能システムと利用不可システムの分離、2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化、3)エンドポイント・セキュリティの強化、4)セキュリティ対策のクラウド化、5)認証、及び認可の動的管理の一元化、として記述しています。

 

いかがでしたでしょうか。本記事でもかなり網羅性を持ってゼロトラストセキュリティについて解説してまいりましたが、新型コロナウィルス感染症やテレワークの切り口でゼロトラストセキュリティについてまとめているホワイトペーパーもご用意しています。ゼロトラストセキュリティについてどこよりも詳しく全28ページでまとめておりますので、是非ご覧ください。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。