ゼロトラストセキュリティのフレームワークとは?
基礎から解説
業務のクラウドシフトやリモートワークの推進により、従来のセキュリティモデルでは安全性を担保するのが困難になりつつあります。そこで注目されているのが、「決して信頼せず、確認せよ」をベースとするセキュリティのフレームワーク「ゼロトラスト」です。本記事では、ゼロトラストについて基礎からわかりやすく解説します。
目次
ゼロトラストとは?
「ゼロトラスト(Zero Trust)」とは、「何も信頼しない」ことを前提にしたセキュリティ管理の概念です。しばしば誤解されがちですが、セキュリティツールの名称を指す語ではありません。
従来のセキュリティ対策は、ネットワークを信頼できる「内側」と信頼できない「外側」に分け、その境界線上にファイアーウォールを設置し防御する、いわゆる「境界防御型」が主流でした。しかし近年、テレワーク化やクラウドシフトが進み、モバイル機器が普及したことで、ネットワークを内外で区別することが難しくなっています。
そこで登場したのが、ゼロトラストというフレームワークです。ゼロトラストにおいては、これまでのようなセーフティゾーンは存在しません。「内側は安全」という考えは捨て、社内外を問わず、情報資産へのアクセスを試みるすべてを「決して信頼せず、確認せよ」として、脅威から守ろうとする考え方です。
具体的には、ネットワークのシステムやアプリケーションへのアクセスは、証明書やデバイスの正当性、場所などによって厳密にチェックされ、都度認可されます。「最初にIDとパスワードをチェックし、それを通過して内部に入ったユーザーの行動はすべて信頼する」というような、単純なセキュリティ体制ではありません。
「ゼロトラストアーキテクチャ適用方針」から見る新たなセキュリティ対策
ゼロトラストのセキュリティフレームワークで実現すること
「何も信頼しない」というセキュリティフレームワークを導入すると、何が変わるのでしょうか。以下では、ゼロトラストによって得られる主なメリットを紹介します。
セキュリティレベルの向上
ゼロトラストでは社内外を問わず、システムやアプリケーションにアクセスするたびに認証が行われるため、セキュリティレベルが格段にアップします。具体的には、PCやモバイル端末などのエンドポイントを保護する「EDR(Endpoint Detection and Response)」や、セキュリティ運用を自動・効率化する「SOAR(Security Orchestration, Automation and Response)」などのソリューションを導入して実現します。
テレワークにも対応できる
セキュリティが担保されるゼロトラストのフレームワークでは、自宅やレンタルオフィスなどの社外からでも、安心して社内ネットワークにアクセスできます。従来型セキュリティの場合、境界線上のセキュリティ機器がアクセス時の障壁となるケースもありましたが、その心配もありません。スムーズにテレワークへ移行できます。
セキュリティ運用効率化
ゼロトラストではアクセスのたびにチェックと認可が発生するため、セキュリティリスクの管理タスクが大幅に増えます。しかし、インシデントの監視・分析から対応までを自動化するSOARの導入により、セキュリティ運用を効率化できます。
内部情報漏えいのリスク減少
DXの推進などに伴い、企業が扱うデータ量は増大しており、データ流出のリスクは常につきまといます。ゼロトラストでは、必要に応じて最小限のアクセス権を都度認可するため、情報漏えいしにくいシステムを構築できます。仮に外部から不正に侵入されたとしても、情報流出の被害を最小限に抑えられるでしょう。
ゼロトラストモデルのセキュリティ確認項目
ゼロトラストをフレームワークとして実装するためには、以下の7項目を確認しなければなりません。各項目をクリアしたユーザーやデバイスだけが、情報資産へのアクセスを認められます。
使用しているネットワークは安全か
ネットワークは常に、情報漏えいやサイバーテロの脅威にさらされています。使用しているネットワーク回線が、厳密なユーザー認証や監視などでしっかりと保護されているかどうか確認しましょう。
使用しているデバイスは許可されたものか
ゼロトラストでは、接続元であるデバイスの安全が十分に担保されていることが大前提です。業務のリモート化が進むにつれて、「BYOD」のように個人所有のデバイスを使用するケースも増えています。使用するデバイスのすべてが社内で承認済みかどうかを確認しなければなりません。
デバイスがマルウェアなどに感染していないか
デバイス自体がウイルスやワームなどのマルウェアに感染していないかどうか確認しましょう。PCがマルウェアに感染した場合、データの消失や書き換え、漏えいといった被害に遭い、しかもそれらは1台のPCにとどまらなく恐れすらあります。感染したPCが社内ネットワークにアクセスすれば、会社全体に感染が広がってしまうのです。
デバイスに必要な安全対策が施されているか
企業の情報資産を内外の脅威から守るためには、デバイス自体にも安全対策を講じなければなりません。具体的には、デバイスごとにウイルスチェックソフトウェアをインストールしたり、アクセス可能なデバイスを制限したりするなどの認証方法が挙げられます。
ユーザー本人によるアクセスか
いかにセキュリティを強化しようとも、ログインするのが登録済みユーザーでなければ、リスクから逃れようがありません。第三者からのログインを阻止するためにも、通常とは異なる場所からアクセスされた際、一時的にアクセス停止にするなどの処置が必要です。デバイス認証と本人認証による二要素認証で、より強固なセキュリティ環境を構築できます。
使用しているアプリケーションに脆弱性はないか
Officeなどのアプリケーションがウイルスに感染すると、ファイルが書き換えられたり、削除されたりといった危険性もあります。使用ツールやアプリケーションそのものの安全性にも配慮し、対策ソフトなどを利用しなければなりません。
不審な操作を行っていないか
単にIDとパスワードが合っているだけでは、安全とは言えません。ログインを何度も間違えるなど、不正な操作があった場合は、アカウントをロックする手段も求められます。
ゼロトラストモデルをスムーズに導入するには
実際にゼロトラストモデルを導入する場合、以下のようなステップを踏むとスムーズに進みます。
アクセス管理とIDの整理
1つ目が、アクセス管理とIDの整理です。アカウントが多いほどパスワード漏えいのリスクは増え、情報システム部門での管理も煩雑になります。ここで有効なのが、「シングルサインオン(Single Sign On:SSO)」の導入です。
シングルサインオンとは、従業員には単一のIDとパスワードだけを付与し、各システムやアプリケーションなどのアカウントは情報システム部門が管理する仕組みのことです。これにより、一度のユーザー認証で業務アプリケーションやクラウドサービスなど、オンプレミスとクラウドをまたぐ複数のシステム利用が可能になります。
これにより、情報システム部門はアクセス権限やログを一元管理できますし、ユーザーの利便性も向上します。さらに多要素認証を組み合わせれば、セキュリティはより強化されるでしょう。
エンドポイントセキュリティ対策
2つ目が、エンドポイントセキュリティ対策です。いかにネットワークセキュリティを強化しても、デバイスのセキュリティが脆弱なままでは、ゼロトラストは実現できません。ID管理や端末の識別番号による認証を行うなどの対策が必要です。
このほか、マルウェアなどを検知・駆除し、デバイスの脅威に対応する「EPP(Endpoint Protection Platform)」や、攻撃を受けたときの被害を最小現にとどめるEDRといったツールの導入も併せて検討しましょう。
まとめ
テレワークがスタンダードとなりつつある中、従来の境界防御型セキュリティモデルではウイルスなどの脅威に対応できず、企業の情報資産がリスクにさらされかねません。そのため、新しい時代に適したセキュリティのフレームワークとして求められているのがゼロトラストです。
エンドポイントセキュリティ対策は多くの企業で実施されていますが、アクセス制御とIDの一元管理(IDaaS)などについてはまだまだこれからという企業も多いのではないでしょうか。HENNGE株式会社では、国内シェアNo.1のクラウドセキュリティサービス「HENNGE One」でIDaaSなどを提供しています。現代のサイバー犯罪にも十全に対応するなら、ゼロトラスト運用をお考えの方は、ぜひHENNGE Oneの導入をご検討ください。
