サイバーセキュリティの新たな潮流として注目を集める「ゼロトラスト」は、従来の境界型防御とは一線を画すものです。本記事では、ゼロトラストの概要や背景、具体的なメリットとデメリット、そして導入時のポイントについて詳しく解説します。ゼロトラストの基本を理解し、実際の導入に向けた第一歩を踏み出しましょう。

そもそもゼロトラストとは？

近年、サイバーセキュリティの重要性がますます高まる中で、「ゼロトラスト」という言葉を耳にする機会が増えてきました。

まずは、ゼロトラストとは何なのかを、その概要や定義、ゼロトラストが求められている背景・理由の観点からわかりやすく説明します。

ゼロトラストの概要/定義について

ゼロトラストは、英語で「Zero Trust」と表記され、その名の通り「信頼しない」という考え方に基づいた新しい考え方です。

従来のネットワークセキュリティは、社内ネットワークとインターネット間に境界を作り、「社内は信頼できる」が「社外は信頼できない」といった「境界型防御」の考え方に基づいたものでした。

一方で「ゼロトラストモデル」では、内部ネットワークも含め、情報資産へのあらゆるアクセスを検証・監視します。社内、社外にかかわらず、どのような端末からのアクセスであっても、アクセスの都度認証を行うことで、不正アクセスを未然に防ぐなど、セキュリティを強化することができます。

組織のセキュリティを強化するために、ゼロトラストの概念を取り入れる際には、日本のデジタル庁が推奨する「ゼロトラストアーキテクチャ」を採用することが有効です。

デジタル庁では、「ゼロトラストアーキテクチャ」を以下のように定義しています。

■ゼロトラストアーキテクチャの定義
ゼロトラストアーキテクチャは、ゼロトラストの概念を利用し、クラウド活用や働き方の多様化に対応しながら、政府情報システムのセキュリティリスクを最小化するための論理的構造的な考え方。

＊出典：デジタル庁/ゼロトラストアーキテクチャ 適用方針(https://www.digital.go.jp/assets/contents/node/basicpage/fieldrefresources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630resourcesstandardguidelinesguidelines04.pdf)

また、ゼロトラストには基本的な考え方として以下の7つがあります。

■基本的な7つの考え方

1. すべてのデータソースとコンピューティングサービスをリソースと見なす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスをセッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

＊出典：独立行政法人 情報処理推進機構/産業サイバーセキュリティセンター/中核人材育成プログラム ４期生/ゼロトラストプロジェクト 「ゼロトラスト導入指南書〜情報系・制御系システムへのゼロトラスト導入〜」

(https://www.ipa.go.jp/jinzai/ics/corehumanresource/final_project/2021/ngi93u0000002klo-att/000092243.pdf)

ゼロトラストの7つの原則を理解し、それに基づいたセキュリティ戦略を構築することは、現代の複雑なサイバーセキュリティ環境において非常に重要であるため、しっかりと押さえておきましょう。

ゼロトラストが求められている背景/理由は？

ゼロトラストが注目されるようになった背景には、「リモートワークの普及」や「クラウドサービスの普及」などがあります。

リモートワークの普及により、従業員が自宅などの社外からでもネットワークにアクセスできる環境が求められるようになりました。また、クラウドサービスの普及により、情報資産を社外に保管するケースも増加しています。

さらに昨今では、外部からのサイバー攻撃だけではなく、内部不正やヒューマンエラーなどによる内部からの情報漏洩も深刻化しています。

このように社内外のネットワーク境界が曖昧になりつつある状況下では、従来のような環境型防御のセキュリティ対策では不十分と言えるでしょう。

その他、ゼロトラストは、サプライチェーンやランサムウェアなどの脅威に対しても対策ができるため、より高度なセキュリティ対策としても注目が集まっています。

ゼロトラストのメリット/デメリット

ゼロトラストには多くのメリットがありますが、同時にデメリットも存在します。ここでは、その両面について詳しく解説します。

ゼロトラストのメリットは？

ゼロトラストには以下のメリットがあります。

1. 高度なセキュリティ対策
   ゼロトラストでは、社外だけでなく、社内からのアクセスも全て検証するため、不正アクセスを効果的に防止することができます。
2. また、ゼロトラストには、ユーザーやデバイスに対して必要最低限の権限だけを与えるという考え方があるため、不正アクセスや内部からの脅威が発生した際の被害を最小限に抑えることができます。
3. リモートワークやクラウドサービスに対応
   ゼロトラストは、どこからでも安全にアクセスできる環境を構築することができるため、リモートワークやクラウドサービスにも柔軟に対応することができます。
4. 管理の効率化や管理コストの削減
   ゼロトラストでは、セキュリティ管理がクラウド上で一元化されるため、管理が効率化されます。また、管理コストについても従来の境界型防御と比較すると削減することができます。

ゼロトラストのデメリットは？

画期的なゼロトラストですが、メリットだけではなく、デメリットについても確認をしておきましょう。

ゼロトラストには以下のデメリットがあります。

1. コストがかかる
2. ゼロトラストの導入時には、初期費用がかかります。従来のセキュリティ対策から徐々に切り替える場合には、セキュリティ対策が重複している間、コストが増大する可能性があります。
3. 利便性が低下する場合がある
4. ゼロトラストはアクセスの都度認証作業が必要になるため、セキュリティが強化される一方で、社員が業務を行う上での利便性が低下する可能性があります。

ゼロトラストの導入/活用に必要なこと

ここでは、ゼロトラストを効果的に導入・活用できるように「ゼロトラストを実現するために欠かせない要素」や「導入時に気を付けるべきポイント」、「ID管理の強化」の視点から説明します。

ゼロトラストの実現において重要なアクセス管理については、アクセス管理とは―現代のセキュリティに不可欠な仕組みで詳しく解説しています。具体的な仕組みや導入ポイントの理解にお役立てください。

ゼロトラストを実現するために欠かせない要素

ゼロトラストを実現するために必要な要素として、以下のようなものがあります。

1. ユーザーの認証と認可
2. ゼロトラストネットワークの実現には、適切な認証・認可が常に行える状態を作ることが必要です。認証の技術としては「多要素認証 (MFA)」や「シングルサインオン (SSO)」があります。
3. 自社内だけで、ゼロトラストのシステムを構築することは難しいため、自社に適したソリューションの導入を検討しましょう。
4. クラウドセキュリティ対策
5. クラウドサービスにアクセスするタイミングで認証・認可を行うソリューションを導入することで、各種クラウドサービス上の情報資産を適切に保護することができます。
6. デバイスのセキュリティ対策
7. エンドポイントデバイス(PCやスマートフォン)のセキュリティ対策を導入し、ネットワークに接続する全てのデバイスが安全であることを確認しましょう。代表的なエンドポイントのセキュリティ対策として「EDR（Endpoint Detection and Response）」があります。
8. ログデータの収集・分析
9. ゼロトラストは、様々な場所にデータが分散されているため、SIEM（セキュリティ情報イベント管理）などを使用し、社内システムやクラウドサービス、デバイスのログデータを収集・分析することで効果的なゼロトラストの運用が期待できます。

これらの要素を組み合わせることで、セキュリティをより強化し、リスクを最小限に抑えることができます。

ゼロトラストを導入する際に気をつけるべきポイントは？

ゼロトラストを導入・検討する際は、以下のポイントを参考にしてみてください。

1. 現状のセキュリティ環境の把握
2. 自社のネットワーク構成やセキュリティポリシー、使用しているデバイスやアプリケーションなどを把握し、現在のセキュリティ環境の課題を見つけましょう。
3. セキュリティ環境の目標設定
4. 現在のセキュリティ環境の課題を見つけたら、それらを解決するために必要なセキュリティ対策を明確にしましょう。また、どの程度のセキュリティレベルを目指すのかについても具体的な目標を設定しましょう。
5. コストの確保
6. ゼロトラストを実現するには、先述している通り、様々なソリューションの導入も必要です。

そのため、事前に導入コストを確保しておきましょう。

さらに、ゼロトラストの実効性を高めるためにはSaaS管理によるコンプライアンス遵守とデータ保護の強化も欠かせません。詳しくはSaaS管理によるコンプライアンスとデータ保護の強化をご参照ください。

計画的な導入

ゼロトラストは事前検討を含め、多くの工数や時間が必要となるため、一度に全てを導入するのではなく、計画を立てて段階的に進めることも一つの手です。

また、ゼロトラストを導入したら終わりというわけではなく、導入後もセキュリティポリシーの見直しや継続的な改善を行い、セキュリティの強化を図りましょう。

まずはID管理の強化から始めよう

ゼロトラストを実現するためには、様々なソリューションの導入が必要であると述べましたが、まず最初に取り組むべきはID管理の強化です。

特に企業での利用が増えているSaaSサービスの管理から始めることをおすすめします。アカウントの発行・削除、権限管理、台帳への反映など、意外と効率化できていない部分が多く、ここを整備することでセキュリティの基盤を強化できます。

本記事では、信頼できるSaaS管理業務のアウトソーシング先として、「ジョーシス」を推奨しています。ジョーシスを使えば、アカウント管理や台帳管理はもちろん人為的なミスの心配も不要です。

SaaSサービスの管理をご検討の方は、下記URLより詳細をご確認ください。

【ジョーシス】
https://jp.josys.com/function/bpo/saas

まずはID管理の強化から始め、効率的で安全なシステムを構築しましょう。

まとめ

リモートワークやクラウドサービスの普及によって、ゼロトラストの重要性はますます高まっており、安全かつ柔軟なネットワーク環境を構築するためには欠かせない考え方といえます。

一方で、ゼロトラストの導入には、自社に適したソリューションを導入するなど、手間やコストが掛かります。そのため、まずは運用体制を整えることが重要であり、本記事では、ID管理の強化から始めることを推奨しています。特にSaaSサービスの管理はセキュリティ基盤の強化に直結するため、ゼロトラストの導入と併せてご検討ください。

本記事が、ゼロトラストを導入・検討している方の参考になりますと幸いです。