fbpx

ゼロトラストとは?境界型に対するの仕組みから、事例まで広く解説!

  • このエントリーをはてなブックマークに追加

好きな所から読む

近年テレワークや働き方改革の影響もあり、その柔軟性が注目を集めているゼロトラストセキュリティ(ゼロトラストネットワーク)についてご存知でしょうか?本記事ではゼロトラストモデルが生まれた背景から、その仕組みや導入事例、また境界型セキュリティモデルとの比較まで広い視点で徹底的に解説しています。初心者の方でもわかるように丁寧に解説しておりますので、是非ご覧ください。

ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!

ゼロトラストとは?

近年IT分野において話題に出てくるようになった「ゼロトラスト」という言葉、聞いたことあるでしょうか?2019年を境によく用いられるようになった言葉であり、名前の通り「完全に信頼できるものはなにひとつ無い」という考え方を根底にした、セキュリティ対策モデルのことを指しています。

企業の外部からの攻撃だけではなく、企業内の端末からアプリケーション、働いている従業員に至るまで、ありとあらゆる内部の物事についても脅威の可能性となる対象として捉え、起こり得る最悪の事態を想定した情報漏洩への対策方法を講じることがこのゼロトラストというモデルのコンセプトであり、今後IT業界においてもっとも注目されるキーワードのひとつとなると言われています。

なぜゼロトラストモデルが今後そこまで重要になっていくのかについては、本記事を読むことで理解していただけると思います。尚、3分でゼロトラストを理解したい方はこちらをご覧ください。

そもそもゼロトラストの定義とは?

下記でも記述しますが、ゼロトラストは「決まった一つのもの」ではありません。ゼロトラストシステムの構築のある程度の原則はいくつかありますので紹介します。

違反を想定する

ゼロトラストは不審なアクセスを想定して安全を確保することを重視しています。ゼロトラストは境界型セキュリティでは対抗できない内部犯行に対抗するために考案されました。違反を想定して備える事はゼロトラストの重要な要素です。

最小権限の原則

ユーザーにはそれぞれの必要な権限しか付与されません。したがって、個々のユーザーアカウントがハッキングや不正な脅威に晒されても最小限のリスクで留まることができます。

認証

アクセスする際は、アクセスするユーザーとデバイスの安全が確保されるまで脅威として扱われます。安全が確保できてやっと正規ユーザーやデバイスと認識されます。よって、アクセスする際はその度にアクセス権の証明が必要となります。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

NISTによるゼロトラストの定義

アメリカの国立標準技術研究所NISTはゼロトラストの定義を「SP 800-207: Zero Trust Architecture (ZTA)」にて解説しています。このNISTによるドキュメントがゼロトラストの基本的な考え方と構築に必要なコンポーネントを示しています。

NISTはセキュリティ対策として企業内ネットワークに存在するもの、例えば人やデバイスが脅威として位置づけられ、ネットワークの内部での不正なアクセスが課題となっていたのに対して、必要最小限のアクセス権利に限定しリソースを制限することとリソースを保護し信頼を継続的に評価する必要があるとしています。よって、ゼロトラストはシステムやサービスといったネットワークへのアクセスを常に信用評価する考えを定義としています。またゼロトラストの定義やコンポーネント、ポリシーなどを利用している組織におけるセキュリティ構築をZero Trust Architecture (ZTA)と位置付けています。

しかし、NISTは必ずしも従来型の境界型セキュリティを全面的に排除する必要があると解釈している訳ではあります。先述したZTAの中でもマイクロセグメンテーションといった境界を有した利用を継続している状態です。ゼロトラストは従来型のセキュリティシステムから完全に移行すること目的としているのではなく従来型の境界型セキュリティと併用してZTAを構築するべきとしています。

NISTはZTAではアクセス先やアクセス先のショッンによってポリシーを決定し、それによって必要最小限のアクセス権を付与し、更にはそのアクセスする為のリクエストについても暗号化することでリソースアクセスを保護する必要があります。そのアクセスといったアクティビティは随時タイムリーにネットワーク全体にフィードバックされる必要もあると位置付けます。

境界型セキュリティ(ペリメタモデル)との違い

境界型セキュリティとは?

従来のファイアウォールやIPS、IDSなどを代表としたセキュリティ対策を企業の内部と外部の境目に設置し、外部からの侵入を感知し防御をおこなう方法は「境界型セキュリティ(またはペリメタモデル)」と呼ばれ、ほとんどの企業がこの考え方に基づいたセキュリティ対策の設計を採用し、運営されています。

ゼロトラストという考え方が重要視され始める以前は、「社内にある端末はすべて安全であり、企業にとって脅威となるものは基本外部から侵入してくる」という考え方が主流でしたが、現在では技術進化と社会背景の変化といった事情から、「内部と外部の境界さえ厳格に守っておけば、企業にとって脅威となる事態は起こりえない」というセキュリティ対策方法だけでは限界がきていると考えられています。

そうした時代の流れから、「境界は曖昧になっていて、内部も外部もすべてが脅威の対象である」というゼロトラストモデルでのセキュリティ対策の重要性が、必然的に増してきているのが現状です。

境界型セキュリティ防御のデメリットや弱点

外部のみに的を絞って重点的にセキュリティ対策がおこなわれているのが境界型防御の特徴のため、一度侵入に成功してしまったウイルスなどの悪意あるサイバー攻撃に対しては、まったくの無力の状態になってしまうのが大きな弱点となります。

非常にたくさんある企業の端末のうち、たったひとつの端末でも侵入を許してしまえばそこからウイルスは増殖し社内で広まってしまい、「ラテラルムーブメント」と呼ばれる水平移動による感染拡大だけでなく、特権階級の人にしかアクセス権限がない機密情報にまで到達し奪取される恐れがでてくるので、内部による防御体制が今後ますます重要になっていくと言って良いでしょう。

ゼロトラストネットワーク・ゼロトラストモデルとも呼ばれる

ゼロトラストは「ゼロトラストネットワーク」「ゼロトラストモデル」「ゼロトラストセキュリティ」とも呼ばれています。特にゼロトラストネットワークについては、社内ネットワークと社外ネットワーク、すべてのネットワーク環境を対象にした存在であることからそう呼ばれています。

といっても、ゼロトラストネットワークの定義については各企業によって「ゼロトラストとはかくあるべし」といった主張がそれぞれ異なっているので、「信頼できるものは何ひとつない」という定義や原則以外、明確な確固たる概念のようなものはまだ存在していません。

実際企業がゼロトラストネットワークを構築する場合、その実現方法は既存のネットワーク構成やITインフラに大きく依存します。

エンドポイントとの関係性

エンドポイントとはパソコンやタブレットといった端末を意味します。このエンドポイントはゼロトラストを検討する上で欠かせない事項です。従来は、境界型セキュリティの考えに基づいてエンドポイントは境界の内部にあるものだとされていました。しかし、境界がないとするゼロトラストの考えでは今までエンドポイントが不動のものであるとされたものから挙動を見越しての保護と管理が必要となりました。以前は社内のインターネットに接続されたデバイス(エンドポイント)全てを信用していました。しかし、ネットワークが無限に広がるこの情報社会では、信頼できる安全な場女はもはや無くなりつつあるのです。

ゼロトラストはあくまでもセキュリティの「設計指針」

ゼロトラストと聞いて、ある特定のセキュリティソリューションと考えている方も多いのではないでしょうか?大前提として、ゼロトラストは固有のセキュリティソリューション・製品を表すものではありません。企業が提供するソリューションとしてゼロトラストと名前がついたものも存在しますが、あくまでもゼロトラストを構築するための一つの手段であって、購入したからといってセキュリティ対策が完全なものになるわけではないことを念頭に入れておきましょう。ゼロトラストはセキュリティモデルの設計指針にとどまるわけです。セキュリティ構築の取り組みは決して簡単な問題ではありません。業務としてはかなり高度で困難な課題を担っている分野です。その中で、セキュリティを構築するソリューションを提供する企業は様々な要素を考慮しなければならないのです。

ゼロトラスト導入による成果は?

ゼロトラストを導入するには従来のネットワークを刷新する必要あるので、かなりの時間と労力を費やし、ゼロトラストに多大な投資をすることが必要となります。ここまで費やすとなると気になるのは導入成果です。ある企業ではゼロトラストモデルを採用するにあたって様々な計算をした結果を報告しています。それは、ネットワークをゼロトラストモデルに合わせて新しく構築すつ支出と、データの侵害やサイバー攻撃などのセキュリティ侵害によって被るコストを比べた結果、セキュリティ侵害にとって被るコストの方が大きくなるとの調査結果を発表しています。何らかのセキュリティ侵害行為が発生した場合でも、ネットワークの細分化や、データとの隔離措置などが施されていれば、その影響は最小限にとどまることができると、実装している企業は理解しているのです。また、ゼロトラストを導入する企業はコンプライアンスにも対応が可能とされています。データを保護することや、アクセス制御やIDの管理や制御など、厳格なコンプライアンスを確保・管理することが可能となります。

柔軟なアクセス制御・アクセス管理についてもっと知りたい方は、
こちらのページもご覧ください。テレワークやBYOD環境でも安全に業務を行う仕組みを解説しています。

ゼロトラストセキュリティの歴史

2007年、セキュリティ組織である「Jericho Forum」において「トラストモデル」と呼ばれるホストの信頼性、防御力を重視したセキュリティモデルが提案されました。ホストの防御さえ鉄壁であれば、外部からの攻撃はいっさい脅威に当たらないという考え方でしたが、すべてのホストを完璧に管理下に置いている組織というのはごく一部でしかないという課題を抱えていました。

後にいくつかのモデルの改変がおこなわれ、ネットワークアクセス制御、通称「NAC」と呼ばれる境界型によるセキュリティ制御モデルが現れましたが、こちらも先述したような内部に入られてしまうと無力といった課題点などが年々浮き彫りになってきていて、これから先のセキュリティ対策としては大きな不安を抱えています。

そうしたいくつかのモデルが登場した後に到達したのがゼロトラストでのセキュリティモデルであり、ホストもネットワークもすべて、ありとあらゆる要素において疑える所がある限り、一切の活動は許可しないという原則に基づいて作られたコンセプトです。

ゼロトラストセキュリティのあるべき形はまだ各企業が模索段階であり、今後より明確で強固なコンセプトが登場してくることでしょう。

ゼロトラストのメリットとは

先述したとおり、ゼロトラストは「全てを信用しない」理念に基づきます。それは外部でも内部でも平等です。従って、ネットワークに対して外部と内部の差異なく信用評価されます。信用評価はリソース利用に対し個別に確認と評価がされます。

ゼロトラストのメリットは、ネットワークセキュリティの脅威に対してシンプルな考え且つ構造でありながら、今までにない強固なセキュリティシステムに変換して行くことが可能となるのです。

ゼロトラストネットワークでは、最小限のアクセス権の原則に沿って、「必要な人に必要なだけのアクセス」の実現を可能にします。例えば、ある会社の営業部門の従業員には営業に必要なデータとアプリケーションの権限を付与し、技術部門の従業員には技術開発に必要なデータとアプリケーションに対して権限のみを与えることで、余分なアクセスを減らし情報を漏洩することを防ぐことができます。

企業がゼロトラストモデルのセキュリティを導入するとどのようなメリットがあるのでしょうか?6つの項目に分けて詳しくみて行きましょう。

データ流出リスクが軽減される

企業にとって一番の脅威は自社のビジネスに留まらず、取引先や顧客のデータや機密データが不正に使用されることによって膨大な被害が起きることです。被害は利益だけに留まらず信用やこの先のビジネスにも大きな損害をもたらします。企業はこのようなリスクをなるべく軽減できるように取り組まなければなりません。サイバー攻撃も手口の巧妙化や高度な技術に変化している中で、従来のセキュリティモデルでは補いきれなくなっています。また、社内であれば安全というネットワークはもはや存在しません。そこで、ゼロトラストのセキュリティモデルを導入すれば、正当なユーザーやデバイスのみのアプリケーションやデータへのアクセスしか許されず、不正アクセスやデータの漏洩といった企業が抱えるリスクを大幅に減少することが可能になります。

漏洩した場合の検出時間が短縮される

ゼロトラストはできる限りのアクセス制限で、できる限りのリスクを軽減するのに大きな役割を果たします。しかし、先述した通り、ゼロトラスト導入によって完全に安全が保証されるわけではありません。近年では、マルウェアの攻撃が増加傾向にあり、いま求められのはデバイスごとにアクティビティのモニタリングをすることだと言えるでしょう。前述の通りゼロトラストはユーザーやデバイスがアプリケーションあデータへのアクセスを求める場合は、求めるたびに各々の信用性を評価します。評価は一度なされたら継続するわけではなく、アクセスの度に評価がなされるのでそのアクティビティを把握・分析することでセキュリティシステムにつなぐことができます。このアクティビティは、セキュリティ担当者がゼロトラストのネットワークにて随時確認することができます。このリアルタイムのアクセス履歴がセキュリティの攻撃防御に役立つだけでではなく、仮に今までとは違ったアクセス方法などといった予防できないサイバー攻撃を受けた場合でも、そのインシデントをいち早く特定することが可能で、迅速な対応が可能となります。

システムの複雑さが軽減できる

ゼロトラストはセキュリティ環境を構築し、対策を得るだけではありません。先述した2点だけでも、その様なメリットがある反面、セキュリティシステムの構築が複雑だと思いになる方もいるかと思います。しかし、ゼロトラストは違います。従来の境界型セキュリティでは、セキュリティシステムの構築は複雑でした。構築する場合は、仮想VPNアプライアンスかハードウェアアプライアンスなど、必要となるソフトウェアが複数あり、ましてやグローバルな環境で展開する場合は、地域を超えたシステムの構築が必要となり複雑になることは避けられませんでした。一方、ゼロトラストはクラウドベースなので、仮にグローバル展開を望む場合でも企業のシステムはシンプルな構築で万全なセキュリティ環境を作ることができます。全ての機能がクラウドサービス内で構築でき、システムの複雑さは大幅に軽減することが可能です。規模の縮小や拡大などといった問題にも、スピーディーに対応できることも企業の負担を軽減できる事柄の一つでしょう。

人材不足への改善アプローチ

情報通信技術の国際的な団体であるISACAは、2019年までにサイバーセキュリティの専門家が世界で200万人不足すると予測しています。サイバーセキュリティはセキュリティの質だけではなく、それを支える人材不足も世界的にも深刻な課題となっています。サイバー攻撃そのものの手口が巧妙化していることや数が増加していることなどといった諸問題は、セキュリティ担当の能力の限界を越えることが見越されています。従来のセキュリティシステムでは人材の不足により広い範囲で管理が難しくなってきています。そこで、ゼロトラストモデルを導入することで、クラウドサービス内にある機能を使いセキュリティシステムを構成されるので、セキュリティ担当者は継続的なモニタリングやトラブルシューティング、アップグレードなどといった作業を行わなくても良くなります。これらに関する業務負担が大幅に軽減されるのでセキュリティ担当者は他の業務に取り組みやすい環境を作ることができます。

利便性

従来のセキュリティ対策では複数のパスワードを要し、なおかつ企業側で使い回しの禁止、複雑な長いパスワードの要求などが多くみられました。しかし、複数のパスワードをその様に設定していたら毎回アプリケーションに認証を受けたり、パスワードの失念で再発行だったり、ユーザーの負担が大きくなりがちです。この様な環境は生産性が低下するのもおかしくありません。セキュリティの向上を実現するに当たってはユーザーの利便性も向上する必要があります。ゼロトラストでは、多要素認証機能やシングルサインオン機能に対応し、ユーザーが従来の様な複雑なパシワードを複数入力しなくとも、クラウドサービス一つのパスワードですみ、さらにセキュリティの強度を高めることが可能になります。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

クラウド移行への促進

企業によっては安全性の不安や、現在使用しているシステムとの相互性、コストなど数々の疑問などからクラウドベースの業務に移行できないこともよく耳する課題ですが、ゼロトラストなら企業で今まで使っているネットワークシステムに左右されることなく効果的なセキュリティシステムを確率することができます。ユーザーや端末ごとにアクセスできるアプリケーションやデータを細かく設定できるので、取引先や顧客などのアクセス権もスピーディーかつ適切に付与することができるので業務の滞りも心配ありません。クラウドフォームへの移行としては、Software as a Service(SaaS)やInfrastructure as a Service(IaaS)を活用する企業や組織が増えてきています。しかし、そういった移行システムでさえ、運用面やコスト面でメリットを見いだせるにも関わらず、従来のファイアーウォールなどではクラウド環境での使用は想定されていないがため、完璧なセキュリティ環境を構築することは不可能であり、安全性の確保が十分ではないと移行するのを断念するといったことが多くみられるの現状です。ゼロトラストは、ある一定の脅威にアプローチするのではなく、ネットワーク環境全体を脅威として捉えています。社内でもクラウドでもセキュリティの確保には変わりません。なので、クラウド環境に移行することを不安視するのではなく、むしろ効率的かつ効果的にセキュリティを構築することができるという認識を持ってもらいたいです。

そして働き方改革の推進や新型コロナウィルスの影響でワークスタイルが大きく変化を遂げているのは今やほとんどの人が知り得ている事実であることは間違いありません。特に、社内から業務行うという従来であれば当たり前の働き方が、自宅や外出先など社外で業務を行うことが増え、それが当たり前に変わってくるかもしれません。そうしたときに、従来の様な境界型セキュリティシステムモデルではセキュリティ防御に限界があるということは現段階で念頭に入れるべき事項です。また、業務の迅速性や効率性をあげるためにも、クラウドの採用、そしてさらなるステップとしてゼロトラストモデルを構築していくことを検討するのをお勧めします。

一方ゼロトラストのデメリットや今後の課題も

全てを信用できないものとし、外部からの侵入を全て遮断するゼロトラストですが、ここでは「信用できるもの」と「信用できないもの」について考えて見ましょう。

その時では「信用できるもの」であったものは、今後ともそうであるのでしょうか。

ゼロトラストは、ネットワークを利用するにあたってその時点での「信用できるモノ」と「信用できないモノ」を区別し、信頼できるものに対して権限が与えられます。しかし、ここで区別する「信頼性」は不変なものでしょうか?そうとも限らないのがこの情報社会の現状です。

その時に一度信用できるものと判断されたものが、今後も無条件に信用できる保証はありません。ゼロトラストにおいても、完全に信頼性のある、且つ完璧なセキュリティシステムは不可能です。

セキュリティシステム自体のバージョンアップも必ず確認して下さい。旧バージョンでは対処できない、すでに不正解析によりセキュリティ構築が崩壊しているといったケースも考えられます。

さらに、全てを信用しない理念から、業務を行うに至って利便性を損なう原因になることもあります。社内間であってもアクセスの制限が設けられ、もし外部のデータを必要とする場合はアクセス許可の申請や外部の人間への伝達など時間のロスが起こることはデメリットでしょう。そういった意味では、ネットワークでの業務の利便性と相反するものかもしれません。

更には、該当のIDやパスワードが正規のユーザーによって使用されているのか、不審な振る舞いがされていないか、正規の目的を持って利用するかなど個人単位での問題に関しては、いくら情報社会が発達してもこればっかりは対処することはできません。

現在のところでは、ゼロトラストはメリットがほとんどであり、デメリットは注目されないかもしれません。しかし、ゼロトラストが導入され、社会で広範的に認識・利用された時に新たなデメリットが表出する可能性もゼロではありません。より効果的にゼロトラストを導入し、その時代に沿った使い方を考えていく必要があります。

クラウドによるデータ侵害

米IBMによればデータの侵害の原因が利用者側のセキュリティ構成に起因する責任であるのが8割に及ぶとの調査結果が出ています。クラウドが主流になりつつある中でクラウドに対する攻撃や脅威が増加する中で最も大きく影響が及んでいるのがデータの窃取ですが、主にクラウドにおけるリソースが攻撃の踏み台となり悪用されているケースが多いそうです。クラウドを侵害するために攻撃者が多く侵入経路として利用するのがアプリケーションです。従業員が構築したアプリケーションに不備があったり、脆弱性があったりといった原因が多く出ているそう。クラウドを利用したセキュリティシステムを導入しているところも、セキュリティ対策をプロバイダーに依存している傾向もあり、企業内のシステム管理部門でもm基本的なセキュリティ体制をクラウドのプロバイダーに依存している結果が出ています。

ゼロトラストが注目を集める背景

近年ゼロトラストが注目され、導入が待望されるに至ったいくつかの社会的背景、問題が存在しています。ここではそれらを紹介していきますので見ていきましょう。

利用端末の増加や、クラウドサービスの普及

なぜ2019年になって「ゼロトラスト」というセキュリティ対策が重要視されるようになってきたのか、その背景には「クラウドサービス」の大幅な普及と、ハッキング・ウイルス散布の手口の巧妙化を挙げることができます。

インターネット上にデータを置くことが主体となるクラウドサービスを導入する企業が増えたことによって、「外部」と「内部」、およびその「境界」というものが非常にあいまいとなり、従来の境界型セキュリティだけでは完全に機密情報を守ることが日々困難な状況となってきています。

なので境界という概念があいまいとなってしまった今だからこそ、境界なくすべてを疑うというゼロトラストでのセキュリティ対策を講じる必要がでてきたという訳です。

働き方改革やコロナウィルスによるテレワーク

おりしもコロナというインターネット上では無い、現実のウイルス被害によって日本では国家を挙げてのテレワークによる遠隔地での作業の導入が推進され、今までセキュリティについてさほど携わらなくてもよかった従業員全体についても、自宅や出先などの外部からスマートフォンやノートパソコンを通じての情報アクセスが当たり前となってきています。

そのため従業員全体のセキュリティに関する教育など、情報漏洩を防ぐための対策を講じる必要がでてきており、「内部は安全だ」という神話も完全に崩壊しているのが現在の社会状況であり、内部を含んだセキュリティ対策が早急に必要とされています。より詳しい新型コロナウィルス対策としてのゼロトラストセキュリティについては他のホワイトペーパーもご覧ください。

内部不正・内部犯行による情報漏えいの増加

さらには、企業を退職した人が退職する際に重要な機密情報を一緒に持ち去って競合他社に転職したり、現職の人でもお金目的に情報を売ってしまうケースも年々増加しています。内部不正においてはソフトによるセキュリティ対策ではどうこうできる物では無いだけに、今後より深く内分不正と内部犯行の問題に向き合っていく必要があると言えるでしょう。

 

他にもより詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストネットワークの仕組み

ゼロトラストネットワークは、「信頼できるものにしか、実行許可を与えない」という考え方を根本としています。そのため、下記のような複数のチェック項目が設定され、それらを多要素認証としてクリアし、安全と認められたアクセスのみに、初めてアクセス権限が付与されます。

  • アクセスする人間が、本人であるかどうか
  • アクセスしてきた端末が、登録されているものかどうか
  • 実行しようとしているアプリケーション、セキュリティ対策ソフトがアップデートによって最新の状態を保っているかどうか
  • ウイルス感染していないかどうか

また一度認証が通ったらその間利用し放題となる従来のネットワーク通信とは違い、アクセスのたびに認証行為を迫るリアルタイムなセキュリティ管理がおこなわれています。

ゼロトラストネットワークへ移行する

ゼロトラストネットワークの実現へ

ゼロトラストネットワークモデルを構築するにあたって検討すべきことは何でしょうか?

  • 通信アクセスを全て可視化し検証すること
  • 全て記録に残すこと
  • 必要最低限での認可

これらをベースにゼロトラストネットワークへのアプローチをする必要があります。ゼロトラストネットワークの構築は一つに決まっている訳ではありません。企業ごとにオフィス環境や状況に合わせた構築を検討する必要があります。

将来的には社内の全システムがクラウドに移行する可能性があるものの、現状しばらくは一部のシステムがクラウドに移行した環境にとどまることかと思われます。一部がクラウドへ移行している環境では、既存のセキュリティ対策を活用しながら、新たに導入されたクラウド環境に対するセキュリティ対策の実施と言った、環境に合わせた対策が必要となります。

既存のシステムやネットワーク構成を生かしつつゼロトラストを実現するにはクラウド上のID基盤が必要です。
多要素認証でより堅牢になったゼロトラストソリューションが気になる方はLOCKEDのサービス概要もご覧ください。

次では、ゼロトラストモデルを実現するための代表的なセキュリティソリューションを紹介します。

ゼロトラストをIDaaSやID管理で開始するケース

近年ではIdentity as a ServiceことIDaaSのようなクラウド上でのID管理サービスが存在しますが、現状IDの一元管理はセキュリティにおいて相応の問題点も含んでいるため、まずは普段利用しているアプリケーションそれぞれに、多要素認証による本人確認の機能を組み込むことから始めることをおすすめしておきます。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

クラウド上のサービスを利用することが当たり前となっていく今後のことを踏まえると、オンプレミスとクラウドにまたがる形でのインフラを構築していく必要がありますが、その際手慣れていない末端の従業員がスマートフォンからアクセスする場合も念頭に入れておかねばなりません。

特に日本は高齢化社会であることも相まって、セキュリティ対策の分野においてはIT先進国である諸外国と比べて理解が遅れていて、低予算でありながらセキュリティに対する理解の低い人間でも扱うことのできるインフラ環境が求められています。

その中で大きく効果を発揮するのはユーザーIDだけでなく、指紋認証やワンタイムパスワードなどを使った多要素認証であり、もっとも手間と知識を必要とすることなくゼロトラストの実現を目指すことができると言えるでしょう。

ゼロトラストをEDRやMDMから始めるケース

EDRとはEndpoint Detection and Responseの略称であり、エンドポイント(従業員が利用しているパソコンやスマートフォンの総称)での異常の検出と対応のことを意味していて、もう一方のMDMはMobile Device Managementの略であり、スマートフォンなどのモバイル端末を効率的に管理する手法のことを指しています。

市販のスマートフォンの認証管理の徹底振りを見ても分かる通り、端末を起点としたセキュリティ管理は非常に堅牢ですが、一方で端末を紛失・盗まれた場合のことを考えると万能なセキュリティ対策を講じることはできていないのが現状です。なのでEDRやMDM、あくまでも多要素認証におけるひとつの要素であり、他の要素と併用して導入するべきだと言えるでしょう。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

とはいえMDM自体はシャドーIT化しがちなBYOD(個人端末の業務利用)環境では有効に機能します。

ゼロトラストをCASBから始めるケース

CASBはCloud Access Security Brokerの略称であり、一般的に「キャスビー」と呼ばれています。CASBは利用者と複数のクラウドプロバイダーの間に単一のコントロールポイントを設置することにより、一貫したセキュリティ体制を敷くことができるというコンセプトであり、これによって従業員が個人的にクラウドサービスを勝手に利用するなどの問題を防ぐことができ、これからのクラウドサービスの多様化においてほぼ必須の考え方でもあります。

社内の人間が原因となって起こる情報漏洩は、意図的な内部不正、内部犯行を除けば従業員の勝手なサービス利用によるウイルス感染などが原因となっており、いくら企業側がベストなセキュリティ対策を施していても従業員の意識が低ければ、社内全体のセキュリティレベルを底上げすることは非常に困難となってしまいます。

CASBを意識したゼロトラストモデルにはそれなりのコストがかかり、年間400万円からの費用を実装と運用に見積もる必要があると言えますが、CASBは現代のクラウドサービスと相性の良いセキュリティソリューションであり、主だったサービスには多要素認証シングルサインオンアクセス制御と暗号化、ウイルス対策、ログ管理といったIDaaSの機能を含んでいるものも多く、クラウド利用時のアクセス情報の可視化が期待できます。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

しかし一方でクラウドサービスとの相性は良いものの、オンプレミス と併用したハイブリッド型の運用下においては実装と運用に至るまでに相応の時間がかかることが多く、先にクラウドサービスのみに対応させ、オンプレミスに関しては後から実装する、といった企業も多いようです。

ゼロトラストをIAMから始めるケース

「IAM」はIdentity and Access Managementの略称であり、ソリューションの導入・強化もゼロトラスト・セキュリティの実現のためには必須と言われています。ネットワークやシステムへのアクセス制御はIDとパスワードで行われるのが一般的でしたが、それではパスワードの安全性個人に委ねる問題がありました。更にはサイバー攻撃によりIDとパスワードが漏洩してしまうという危険性も否めません。

柔軟なアクセス制御・アクセス管理についてもっと知りたい方は、
こちらのページもご覧ください。テレワークやBYOD環境でも安全に業務を行う仕組みを解説しています。

そのため、ユーザー認証だけではなくデバイスのセキュリティ状態やロケーション、使用しているアプリケーションの正当性などを識別した上でアクセス制御を行うソリューションを重要視しています。

社外ネットワークも確実な本人認証の基で利用を許可する必要があるのがゼロトラストネットワークの基本。オンプレミスシステムとクラウドサービスが共存する環境で、先述したID連携や認証をクラウド上で一元的に運用可能にするIDaaS(Identity as a Service)との平行導入も検討するといいでしょう。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ファイアウォールやUTMからゼロトラストに移行する

セキュリティ対策の代名詞的存在とも言えるファイアウォールや、さまざまな視点から統合的なセキュリティ対策をおこなう「Unified Threat Management」ことUTMは、従来の境界型セキュリティにおいて非常に大事な役割を果たしてきましたが、ゼロトラストのコンセプトにおいてはそうした静的な防壁のような役割は、ごく一部のものとして機能することになります。

「何かを信頼する」という考え方は最終的に必要ですが、「ゼロトラスト」における信頼とは動的で一時的なものであり、常に最新の状態を保ち、最新の物を再評価し続け、それをクリアしたものにのみアクセス権限が与えられます。ネットワーク上には信頼できる内部も外部もなく、そのすべてを最新の状態で検証すること、そのリアルタイム性においてゼロトラストのコンセプトは実現されるという訳です。

ゼロトラストにVPNは不要?移行やリプレイスも可能

ゼロトラストについて語られるとき、VPNという通信の際に使われる暗号化技術についても同時に語られることが多いです。

VPNは低コストで遠く離れた企業間での機密情報のやりとりを実現させてきましたが、情報漏洩の可能性がゼロになるわけではありません。実際VPNのセキュリティ面における安全性についてはいくばくかの懸念があり、また日本総テレワーク化によってVPNのネットワーク回線網がパンクしてしまい、通信速度が大幅に減速しているといった問題点も挙げられてきています。

これまでのリモートアクセスの歴史においてVPNは長らくその主役の座を譲りませんでしたが、安全性にいくつかの課題点がある以上、ゼロトラストの考え方とはそぐわないものであり、今後長期的に見てVPN技術は廃れていくのかもしれないとも考えられています。

またゼロトラスト以前に、VPN自体が近年主流となってきているクラウドサービスとの相性が悪く、特にテレワークにおいて利用していくのが難しいという問題をはらんでいます。社外からスマートフォンやノートパソコンでクラウドサービスに繋ぐ場合はいったん社内のサーバーにVPN接続をおこなってから、クラウドサービス へと繋ぐという余計なデータのやり取りがおこなわれることとなり、サーバーを圧迫させてしまうこととなります。

VPN接続の場合、そこでやりとりされるすべての通信データをVPN側で暗号化していましたが、ゼロトラストでのセキュリティ対策においては暗号化は個々のアプリケーションにまかせることで、より高い安全性の確保と暗号化による余計なデータ量の増加を防ぐことが可能となっています。また、大半のアプリケーションにおいて、HTTPS通信による暗号化が実現されているので、VPNの「通信の暗号化」という責務は容易に代替可能といえるでしょう。

他にもゼロトラストでは社内ネットワークを経由せずとも直接クラウドサービスにアクセス可能であり、社内・社外・オンプレミス・クラウドと環境を問わないセキュリティ管理なので、すべてのアクセスにおいて一貫した変わらぬ形でのセキュリティポリシーを適用して敷くことが可能となります。

とはいってもゼロトラストのセキュリティモデルは必ずしも万能というわけではなく、現状いくつかの課題点があり、たとえばIDカードのような物理的なセキュリティは社内のみにしか適用されませんし、オンプレミス型の古いシステムについても噛み合わせが難しく適用することが難しいことが多いです。そういった現状の課題点が克服されない以上、VPNは現状まだまだ利用される価値のあるものであり、今後もゼロトラストとVPNの併用による活用が続くであろうと考えられています。

VPNがなぜテレワークに適していないのか、より詳しい内容はホワイトペーパーでまとめております。
今だけ無料でダウンロード出来ますので、興味のある方は是非ご覧ください。

SOARでセキュリティ対策の効率化を

SOAR(Security Orchestration, Automation and Responseは、セキュリティ対策の自動化を支援するソリューションを意味します。「インシデント対応の自動化」「インシデントの管理」「脅威情報の収集と活用」といった機能で構成されており、セキュリティ運用の自動化・効率化を実現し、効率性の高いシステム管理が可能になります。

ゼロトラストの導入事例

このセクションでは、海外の著名なゼロトラストネットワークの採用例をご紹介します。

GoogleのBeyondCorp

Googleが2020年に発表した「BeyondCorp Remote Access」はリモート環境からでもイントラネット内のWebアプリにアクセスできるシステムであり、VPNを使うことなく社内外の多くの人々が安全に利用できるため、コロナ騒動もあり現在ではGoogleに関わるほぼすべての人がBeyondCorpを使って作業をおこなっています。

認証とアクセス制御をコアとすることで、毎回最新アクセスを検証し、検証をクリアしたもののみを信頼しアクセス権限を与えるというゼロトラストモデルを実現、Googleが構想から8年にもおよぶゼロトラストネットワークの構築と、運営しているクラウドサービスを通じて得たコミュニティからのアイデアとノウハウがこのシステムには詰め込まれています。

柔軟なアクセス制御・アクセス管理についてもっと知りたい方は、
こちらのページもご覧ください。テレワークやBYOD環境でも安全に業務を行う仕組みを解説しています。

多要素認証を活用したリスクベース認証等によってVPNを使わない信頼できる通信を実現、現在ではあらゆる組織でもBeyondCorpを実現することが可能となっています。現状過度に古いシステムについては以降に非常に時間がかかってしまうといった問題点も存在しましたが、最先端のIT企業であるGoogleが7年もの時間をかけることによって、現状もっとも理想的なゼロトラストモデルのあり方を示したと言えます。

21st Century Fox

21st Century Foxはゆうに百億円を超える予算がかけられた映画のデータなどを扱っているため、情報漏洩の問題に対しては初期の頃から最大限に関心を示し、ゼロトラストについても最も早くから着目して開拓してきた企業であると言えます。何しろ企業で作っているもののほぼすべてがサイバー攻撃の対象となるわけですから、万全なセキュリティ対策作りをもっとも重要視することは、当然なおこないだと言えるでしょう。

21st Century Foxは保管されているデータが非常に価値のあるものにも関わらず、映画製作など事業の運営には世界各国に点在する複数の拠点、そこで働く数万人の従業員、そしてたくさんの外部の取引先を必要とし、企業の内外問わない形でのやりとりから境界型モデルでのセキュリティ対策に限界を感じていました。そこで誰がどのデータにアクセスしたのかをクリアに監視でき、不正ログインやフィッシングに対応した多要素認証を中心として構築されたゼロトラストモデルでのセキュリティ管理へと移行していった訳です。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストモデルを採用するにあたって、柔軟なポリシーをシステムや環境を問わず適用できるようにし、個々の取引先にたいし動的に変化し対応可能できること、そして優秀な人材が効率的に働けるように使い勝手の良さと管理の簡便さを重視しています。

PaloAlto

米国に本社を置くネットワークセキュリティ企業の一つで、サイバーセキュリティ業界のリーダー企業として 150か国以上のICT環境のセキュリティ確保を支援しているPoloAlto。 2014年の時点で、既に内部ネットワークに現在の主軸となっている次世代ファイアウォールを導入、通信内容をアプリケーション、ユーザー、コンテンツごとに分類することを提唱しています。 PaloAltoのファイアウォールはIPSとしても動作するL7ファイアウォールで、境界をまたぐサイバー攻撃にも高い確度での保護が可能となります。
最近ではTrapsという脅威解析サービスと連携した次世代エンドポイントセキュリティ製品を推奨。サンドボックス解析機能を備えたクライアント保護を目的とし、信頼性が確認されないと開かない機能を持っており、ゼロトラストネットワーク構築に大きく関わっています。

Microsoft社

言わずと知れたMicrosoft社。Microsoft 365を用いることで、ゼロトラストネットワークの実現を提唱。Microsoft365のAzure Active Directory機能を用いることでゼロトラスを導きます。構築内容は条件付きアクセスポリシーを活用することでユーザー、デバイス、場所、およびセッションのリアクションに基づき動的にアクセス制御します。Microsoftにおけるゼロトラストの狙いは、モバイル活用社会を前提でユーザーの生産性を保ちつつ、企業の資産を守ること。クラウドシステムのデメリットを踏まえながらも、今後も持続可能なレジリエンスを提唱しています。

柔軟なアクセス制御・アクセス管理についてもっと知りたい方は、
こちらのページもご覧ください。テレワークやBYOD環境でも安全に業務を行う仕組みを解説しています。

ブロードコム

米半導体大手のブロードコム(Broadcom)自体は、アクセンキュアにより米シマンテック(Symantec)のサイバー・セキュリティー・サービス(CSS)事業を買収されています。しかし、アクセンキュアにてブロードコムでの企業向けのサイバー攻撃の監視やインシデント対応などのサービスを提供する事業を引き継いでいます。ブロードコムからの世界最大規模の脅威インテリジェンスを活用したセキュリティソリューションを駆使し、ゼロトラス事業にも躍進しています。ブロードコム製品はGIN(Global intelligence Network)を保有しており、他社には真似できない高い防御力を発揮しています。世界中で収集した脅威情報を解析し、製品へ搭載することで差別化をしているのが特徴とも言えるでしょう。脅威活動の監視は世界200カ国以上へ展開し、24000以上ものセンターで活動しています。また、独自に266400以上の脆弱性情報を保有し、21300以上の連携をとっています。第三者機関によるテストでも技術革新の世界的リーダーに選ばれています。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストネットワークの参考文献

本セクションではゼロトラストモデルを調査・学習する上で参考になる文献をご紹介致します。

ゼロトラストネットワーク: 境界防御の限界を超えるためのセキュアなシステム設計

2019年10月28日に日本語訳で刊行された本書では、ファイアウォールやVPNといった従来の境界型セキュリティでは通用しなくなった現状の課題点、問題点を見つめ、すべてのトラフィックを信頼しないという原則に基づいたゼロトラストネットワークの概念を説明、実装するために必要な基礎知識が書かれています。

概念だけでなく、先述したGoogleのBeyondCorpのような具体的なケーススタディについても書かれていて、実際に運用する上で役に立つ知識を得ることが可能です。

ゼロトラスト超入門

従来型のセキュリティ対策はたくさんの抜け穴があり、またポリシーを厳格化すればビジネスの拡大は難しい。ゼロトラストはまさにそういた問題に対処するためのコンセプトであり、安全を保ちつつ場所を選ばないこれからの働き方に非常に有効でもあります。

まだまだ日本において浸透しているとは言い難いゼロトラストのコンセプトを理解し、他の人と共有できるための知識が得られます。

現在何かしらの社内システムに携わっていて、セキュリティルールを決める立場にある人、また社内のセキュリティルールに疑問を感じている人を対象に作られていて、具体的な実装方法、専門知識については省かれています。

まだ日本においては情報となる書籍が少ないので本書籍は貴重な一冊であり、日本の企業に合わせた事情、必要性についても感じられやすいかと思います。

MicrosoftのZero Trust Maturity Model

本論文はMicrosoftの提案する「成熟したゼロトラストモデル」について書かれたPDFです。原文が英語なので、ここでは要点のみを取りまとめて訳します。

クラウドサービスとテレワークによってセキュリティにおける境界は再定義され、従業員は自分の所有する端末からリモートアクセスして作業するようになり、データはインターネット上に保存され、取引先と共有されるのが当たり前となり、オンプレミスとクラウドのハイブリッド環境での運営が当たり前となってきています。

その環境の中においてファイアーウォールとVPNに依存した境界型セキュリティは可視性に欠け、ITソリューションの統合性と俊敏性に欠けています。現在ではモバイルワーカーを受け入れ、場所や端末に関係なくアプリケーションを起動することができ、データを保護するためのゼロトラストセキュリティモデルが必要とされています。

ゼロトラストではすべてのアクセスを信頼せずにその都度検証し、「マイクロセグメンテーション」と「最小特権アクセス」の原則に基づいて水平での移動を最小限に抑え、豊富なノウハウと分析によって何が危険にさらされていたのか、また再び起こらないようにするための方法を導き出します。

ゼロトラストはID、端末、アプリケーション、データ、インフラストラクチャー、ネットワークの6個の基本要素それぞれに実装する必要があります。すべてのゼロトラストモデルの実装は同じというわけではなく、組織のそれぞれの要件、既存テクノロジーとの噛み合わせ、セキュリティ対策はすべて実際の実装計画に影響してきます。顧客ごとにゼロトラストの準備状況を評価し、実装するための成熟度モデルを「Traditional」「Advanced」「Optimal」と3段階に分けて提案しています。

ゼロトラストの実装をより効果的に推進するために、これらの項目が重要であることがあることが分かっています。

  • 多要素認証とセッションリスク検出を用いた強力な認証
  • リソースの許容可能なアクセスポリシーを定義し、統治と分散の洞察、両方を提供する一貫したセキュリティーポリシーのエンジン
  • 単純な集中型ネットワークベースの境界を超えた、包括的な分散型マイクロセグメンテーションへの移行
  • 自動アラートと修復を強化し、攻撃への平均応答時間を短縮
  • クラウドインテリジェンスと利用可能なすべての信号を利用することによって、アクセス以上をリアルタイムで検出
  • 機密データを分類し保護、監視することによって悪意ある行動やアクシデントからの情報漏洩を最小限に抑える
より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストモデルはすべてのデジタル資産全体が統合された時にもっともその効果を発揮しますが、現状ではほとんどの組織は導入するにあたり、成熟度、利用可能なリソース、優先度を考慮し特定の領域を対象とした段階的なアプローチでの変更をおこなう必要があります。慎重に検討し、現在のビジネスニーズに合わせることが重要であり、最初から大きな導入をいきなり試みる必要はなく、企業が持つ既存の資産を有効活用するハイブリッドな形式において大きなメリットを得ることができます。

幸いなことに、ゼロトラストへの移行は段階を進めるごとによりリスクは軽減し、デジタル資産全体の信頼を取り戻すことが可能です。Microsoftは現在独自のアプローチによってゼロトラストに取り組んでいるので、ITショーケースにアクセスして現在の進捗状況、今後のマイルストーンの詳細をご確認ください。

ゼロトラストネットワークの構築を支える製品

現在働いている企業ですぐにでもゼロトラストでのセキュリティ管理をおこなうために、役立つ製品、サービスを紹介します。ゼロトラストというセキュリティシステムはまだまだ日本国内において未開拓の分野であると言えるので、今後ますます普及する多様なクラウドサービス への対応と、特に日本において早急を要する問題となっているテレワークによる新しいワークスタイルへの取り組みを念頭に入れ、他の企業に先駆ける形で導入を考慮しておくのも良いでしょう。

特徴 価格
Okta
  • ID管理の分野において業界トップの独立プロバイダー
  • 6500以上のクラウド、オンプレミス 、モバイルアプリケーションと事前統合
  • 20th Century Fox、JetBlue、Slack、 をはじめとする 7,000以上の企業が利用
  • 各種サービスに安全に、ワンクリックでのログインが可能
  • すべてのユーザーがワンタイムパスワードによる2要素認証を利用可能
  • 開発元が米国のため、対応している日本法人のサービスは少なめ
  • 日本語未対応
1ユーザー当たり4ドル/月〜
Locked
  • 日本語対応
  • 日本のベンダーがインテグレーションを行う
  • クラウドサービスでは一般的な認証規格であるSAMLなどに対応していない、オンプレミスで稼働しているアプリケーションにも実装不要で連携ができる
  • 100名規模から数千名の規模でも運用可能
  • SMS/メールなど複数の2段階認証が可能
  • 業務効率を落とさないリスクベース認証
1ユーザーあたり数百円

ゼロトラストに参入する大手携帯会社

ゼロトラストの製品やサービスは日本企業でも徐々に進んでいます。中でも、日本の大手企業であり三大携帯会社である中の2社がすでにゼロトラストを用いたセキュリティシステムを構築していると発表しています。その2社とも共通するのはクラウドシステムセキュリティ企業のZscalerです。

Z scalerとは?

本社をカリフォルニア州サンノゼに置き、クラウドベースの情報セキュリティシステムを提供する企業です。約185か国に渡って顧客を持ち、100を超えるデータセンターをも保有している企業です。

Zscalerのセキュリティとは?

日本の大手企業2社が選択したこのZscalerですがどういったセキュリティを提供しているのでしょうか?このZscaler社が提供するサービスはほぼ100%の割合でクラウドで構築されたゲートウェイセキュリティです。デバイスや場所、ネットワークといったものに関係なくユーザーをアプリケーションへ安全にアクセスすることを目指しています。最大の特徴はZscalerが提供するサービス「ZPA(Zscaler Private Access)」。このクラウドZPAというクラウドサービスを用いることで時間をかけなく導入し利用することができます。この迅速に導入できるメリットは、クラウドサービスでなければソリューションを導入する際にかかる数週間〜数ヶ月といったタイムロスをなくしてくれるものでもあります。随時ニーズのあったサービスを受けられることも特徴です。近年でのテレワークの以降人数は日に日に増し、最近では新型コロナウィルスの影響でテレワークへ移行する従業員が増えてきました。この増員に伴って本来ならソリューションの容量制限を考慮しなければならないところ、クラウド型のソリューションであれば企業内の帯域幅のニーズに常に合わせて拡張または縮小することできるので自由に選択することができます。さらにZPAは世界中に張り巡らされたアクセスポイントのおかげで、国内問わず海外への出張といった場面でも普段と同じ環境として利用することができます。

・KDDIとZscaler

日本の大手携帯会社の一つであるKDDIもZPAの提供を開始しています。背景としては新型コロナウィルスの影響によってテレワークでの業務体系が増加していることがあります。従来のオフィス内での業務を前提としているネットワーク構成では、テレワークを利用するにあたっての通信回線やVPN設備、セキュリティ機器のトラフィックへの対策、ネットワークの維持や管理にかかる業務負担ならびに金銭的コストが増加していくのが見込まれます。またそれ以外でもクラウドサービス利用の拡大、働く場所が社内に限らず自宅やサードプレイスなど限定的ではなく会社と個人の境界が曖昧になってきていることなどによって場所やネットワークによらないセキュリティ確保が求められているのも背景としてあげられます。

KDDIは「Zscaler with KDD」として2019年の6月から国内提供を開始、その中でもインターネット上でのクラウドサービスにおいてセキュアなアクセスを実現する目的としてZscalerの「Zscaler Internet Access (TM)」を提供してきました。そして2020年7月、アクセス場所やネットワークを問わない、VPNを使用しないZPAの提供を開始しました。導入によって社内で管理すIaaSやデータセンターといったシステムに社外からでも安全にアクセスすることが可能との見方をしています。またアクセス場所を問わずにセキュリティポリシーを統一することができ、VPN構築のために必要なコストを削減することが可能で運用や費用のコストを最低限に削減することができます。さらには、昨年から提供を開始したZscaler Internet Access とZPAを組み合わせて導入することによってよりセキュアな状態を保つことが可能になり、ゼロトラストの概念である場所やネットワークを問わず同一のアクセスポリシーに基づいたアクセスが可能なります。「Zscaler Internet Access設定代行オプション」にて、ユーザーのZPAに関する運用業務を代行して行ってくれるサービスもありますので直接導入するのが難しい方や企業にオススメなオプションもあります。

SoftBankとZscaler

SoftBankもまた同様にZscalerのセキュリティシステムを提供しています。いくつかのセキュリティサービスを提供する中でZscalerによるセキュリティサービス「Zscaler™プライベートアクセス」はクラウド型のリモートアクセスソリューションになります。従来型のオンプレミス型のリモートアクセスとは違い、ゼロトラストセキュリティモデルに基づいたSDP(Software Defined Premiter)により、より柔軟性を持ったアクセスポリシーの適用やセキュリティレベルの向上、シンプルでよりタイムレスな展開を実現することで企業のリモートアクセス環境の向上を図ります。

「Zscaler™プライベートアクセス」は主に3つのコンポーネントから成り立っています。①ZPAコネクタ②ZPAクラウド③Zscaler App の3つです。ZPAについてはKDDIGA提供するZPAとさほど変わりません。Zscaler Appとは、ユーザーデバイスからZPAクラウドにアクセスするに必要なSDPクライアントになります。対応OSはWindows、mac、iOSと網羅しています。「Zscaler™プライベートアクセス」のサービス特徴は主にKDDIのZPAと変わりませんがSoftBankならではのサービスサポートを取っています。KDDIのオプションサービスと同様にSoftBankが設計導入、運用までトータル的にサポートするサービスを取っています。導入後も運用に関して高度な製品知識を持った専門部門が24時間365日のカスタマーサポートを提供するユーザーへの手厚いサービスが受けられます。また、SoftBankが提供する「Zscaler™インターネットアクセス」との併用利用が可能でより質の高いセキュリティシステムを構築できることが期待されます。(他のZscaler以外のセキュリティソリューションとも併用可)

日本政府も検討するゼロトラストアーキテクチャ

新型コロナウィルスの蔓延により、企業でもリモートワークが増えている中で、政府も情報セキュリティに関して検討を始めています。

政府の要請により、多くの会社が急遽リモートワークを実施した最中で、現代のIT環境における課が多く浮き彫りになりました。ネットワーク社会が主流になった現在でも情報システムをうまく活用できないことも表向きになりました。リモートワークを実施する中で、社外アクセスによるセキュリティリスクの増加、不要なデータの持ち出しなど、問題は山積みです。

政府は、パブリック・クラウドの利用、働き方改革、APIによる官民連携等が政策上の大きなテーマと掲げている中、これらを推進するには、これまでの境界型セキュリティの考え方だけでは実現は不可との見解を示してします。

2020年6月、「政府CIOポータル」にて「政府情報システムにおけるゼロトラスト適用に向けた考え方」を表題とした文書がディスカッションペーパーとして公表されました。この文書は、政府CIO(最高情報責任者)補佐官などといった有識者により検討された内容として、政府の情報システムにてゼロトラストを適用するための取り組みの方向性が検討されていることが書かれています。

その他にも、政府情報システムにおけるゼロトラストの適用の検討として

  1. パブリック・クラウド利用可能システムと利用不可システムの分離
  2. システムのクラウド化徹底とネットワークセキュリティ依存の最小化
  3. エンドポイント・セキュリティの強化
  4. セキュリティ対策のクラウド化
  5. 認証、及び認可の動的管理の一元化

といったものが公示されています。該当サイトでは、ゼロトラスト適用に向けた考え方に対し、コメントフォームにて意見を募集しているのでのぞいてみてはいかがでしょうか?(掲載期限あり)

政府情報システムにおけるゼロトラストの適用の取り組みを1)パブリック・クラウド利用可能システムと利用不可システムの分離、2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化、3)エンドポイント・セキュリティの強化、4)セキュリティ対策のクラウド化、5)認証、及び認可の動的管理の一元化、として記述しています。

 

いかがでしたでしょうか。本記事でもかなり網羅性を持ってゼロトラストセキュリティについて解説してまいりましたが、新型コロナウィルス感染症やテレワークの切り口でゼロトラストセキュリティについてまとめているホワイトペーパーもご用意しています。ゼロトラストセキュリティについてどこよりも詳しく全28ページでまとめておりますので、是非ご覧ください。

  • このエントリーをはてなブックマークに追加