ゼロトラストのセキュリティ対策とは?

最近、IT分野においてゼロトラスト」という言葉が話題に出てくるようになりました。その名前からもわかるように「信頼できるものは一つも無い」という考え方で、セキュリティ対策の基本的な考え方になりつつあります。

なぜゼロトラストなのか?

今、企業のIT環境は様々な脅威にさらされています。特に最近問題となっているのが身代金要求型のウイルス「ランサムウェア」です。トヨタ自動車の取引先企業がサイバー攻撃を受け、トヨタの国内すべての工場が稼働を停止するという事態が起きましたが、ランサムウェアによる攻撃の可能性が高いとされています。

このランサムウェアのような脅威を防ぐには、外部からの攻撃への対策だけでは実は不十分なのです。これまでは「脅威は外部から侵入してくるもの」という考え方が主流で、そこから「内部にある端末は安全である」という考え方になっていました。しかし、IT技術の進化と社会的な背景は常に変化しており、内部と外部の境界さえ厳重に守っておけばよい、というセキュリティ対策の方法だけでは限界がきているのです。

ゼロトラストの考え方によるセキュリティ対策では、外部からの攻撃だけではなく、内部にある端末から、アプリケーション、働いている従業員に至るまで、ありとあらゆる物事について脅威の可能性になるとして、起こりうる最悪の事態を想定して対策を講じます。

もし、内部にある端末のうち、たった一台でもウイルスの侵入を許してしまえば、そこから増殖して広がってしまい、水平方向の感染拡大だけでなく垂直方向にも広がれば、特権階級の人にしかアクセス権限がない機密情報まで奪取される恐れがあるのです。したがって、内部による防御体制が今後ますます重要になっていくでしょう。

また、企業のIT利用ではクラウド化が進んでいます。従来のネットワークでのセキュリティ対策では、対応しきれなくなってきているのです。そうした背景から、ゼロトラストは今後のセキュリティ対策には欠かせない考え方になっていくと予想されます。

ゼロトラストはセキュリティの設計指針

ゼロトラストと聞くと、ある特定のセキュリティソリューションのサービス・製品だと思うかもしれませんが、固有のサービスや製品を指すものではありません。企業が提供するサービスとしてゼロトラストと名前がついたものも存在しますが、ゼロトラストモデルのシステムを構築する一つの手段にすぎません。

セキュリティシステムを構築するのは簡単なことではありません。複雑になるほど目的からはずれないように指針に沿って構築を進めることが不可欠です。そして、セキュリティシステムを構築するソリューションを提供する企業は様々な要素を考慮しなければななりません。その設計指針となるのがゼロトラストということになります。

ゼロトラストの定義

セキュリティシステムを構築する環境などによって異なるため決まっているものではありませんが、ここではゼロトラストの基本となる3つの定義を挙げます。

・違反の想定

外部からの不審なアクセスから安全を確保することは重視されますが、内部と外部の境界を守るだけでは防げない脅威として見落としがちなのが内部での違反です。この内部の違反を想定して備える事はゼロトラストの重要な要素になります。

例えば、不信なメールを確認せずに開く、外部からセキュリティを確保できていない状態のファイルを持ち込む、内部でアクセスして取得したデータを許可なく外部に持ち出すなど、これらの行為はウィルスの持ち込みや情報漏洩の原因になります。

さらには、企業を退職した人が重要な機密情報を持ち出して競合他社に転職したり、現職の人がお金目的に情報を売ってしまうケースも年々増加しています。このような内部不正はソフトウェアによるセキュリティ対策では防ぐことが困難で、人為的な対策をとるしかありません。

このような違反を想定し、それを防ぐためのルール・規定を策定して周知・徹底していくことも重要な対策になります。

最小限のアクセス権の原則

ユーザーにはそれぞれ必要な権限しか付与しないようアカウント情報を設定して管理します。これにより、各ユーザーのアカウントがハッキングや不正な脅威に晒されても最小限のリスクに留めることができます。

認証

アクセスする際は、その都度アクセス権の証明を必要とします。アクセスしてくるユーザーとデバイスが正規のものか確認されるまでは脅威として扱い、確認されてはじめて正規のユーザーとデバイスとして認識します。

ゼロトラストのメリットは?

ゼロトラストの考え方に基づくセキュリティシステムを構築するとどのようなメリットがあるのでしょうか?主なものを挙げます。

・データ流出のリスクが軽減される

企業にとっての脅威は自社の損害に留まらず、取引先や顧客の機密データが不正に使用されることによって、信用や今後のビジネスにも大きな損害をもたらすことです。企業はこのようなリスクをなるべく軽減できるように取り組む必要があります。

サイバー攻撃の手口が巧妙化したり技術が高度化する中で、従来のセキュリティモデルでは守り切れなくなっています。「社内のネットワークであれば安全」とはもはや言えません。そこで、ゼロトラストのセキュリティモデルを導入することで、正当なユーザーやデバイスのみがアプリケーションやデータへアクセスすることが許可され、不正アクセスやデータの漏洩などのリスクを大幅に削減することが期待できます。

・データ漏洩した場合でも迅速に対応できる

近年、マルウェアの攻撃が増加傾向にあり、万が一に備え、デバイス単位でアクティビティのモニタリングをすることが求められます。ゼロトラストではユーザーやデバイスがアプリケーションやデータへのアクセスを求める都度信用性を評価し、一度評価されても継続はしません。このアクセス履歴は、セキュリティ担当者がゼロトラストのネットワークでリアルタイムに確認することができます。このアクセス履歴をリアルタイムに把握して分析することで、仮に今までとは違った方法でアクセスがあったとしても、そのアクセスが悪影響を及ぼすものかどうかをいち早く特定することができるため、迅速な対応が可能となります。

・システムが複雑にならない

従来の境界を守るセキュリティ対策では、セキュリティシステムの構築が複雑でした。構築するには、仮想VPNの専用機器やハードウェア、それに付随して必要となるソフトウェアが複数あります。さらに、営業所などの拠点が地域を超えるようなグローバルな環境で展開する場合は、どうしても複雑なシステム構築になってしまいます。

ゼロトラストはクラウドがベースになるため、仮にグローバルな展開をする場合でも企業のシステムはシンプルな構築でも万全なセキュリティ環境を作れます。全ての機能がクラウドサービス内で構築できるので、システムが複雑にならないようにできます。規模の縮小や拡大などにも、すぐに対応できるので、企業の負担を軽減できるでしょう。

・セキュリティ担当者の負担を軽減できる

年々サイバー攻撃の手口が巧妙化し数も増加している中で、セキュリティ担当者の対応能力の限界を越えると予測されています。サイバーセキュリティはその質だけではなく、それを支える人材不足も世界的に深刻になっています。情報通信技術の国際的な団体によると、サイバーセキュリティの専門家は世界で200万人不足するとの予測があります。

ゼロトラストのモデルを導入することで、クラウドサービス内にある機能を使ってセキュリティシステムを構成できるので、セキュリティ担当者は継続的なモニタリングやトラブルシューティング、アップグレードなどといった作業を行う必要はありません。こうした作業負担が軽減されるのでセキュリティ担当者は他の作業をする余裕ができます。

・利便性が向上する

従来のセキュリティ対策では複数のパスワードを設定して、使い回しの禁止や複雑な長いパスワードにするなどで対応していました。しかし、毎回アプリケーションの認証を受けたり、パスワードを失念して再発行が必要になるなど、ユーザーの負担が大きくなり、生産性が低下してしまいます。

ゼロトラストでは、多要素認証やシングルサインオンの機能に対応しているので、ユーザーが複雑なパスワードを複数入力しなくても、クラウドサービス一つのパスワードですみ、さらにセキュリティの強度を高めることが可能です。

・クラウドへの移行を促進する

企業がクラウドベースの業務に移行できないという話がよく聞かれます。その理由としては、安全性や、現在使っているシステムとの互換性、コストなど様々な課題があります。また、SaaSやIaaSを活用してクラウドへ移行する企業や組織も増えているようですが、従来のファイアーウォールなどではクラウド環境での使用が想定されておらず、安全性の確保が十分できないことから移行を断念するという事例が多くなっているようです。

SaaSとは

Software as a Serviceの略で、これまでパッケージ製品として提供されていたソフトウェアを、インターネット経由でサービスとして提供・利用する形態のことを指します。

IaaSとは

Infrastructure as a Serviceの略で、情報システムの稼動に必要な仮想サーバをはじめとした機材やネットワークなどのインフラを、インターネット上のサービスとして提供する形態のことを指します。

ゼロトラストなら使っているネットワークシステムに左右されることはありません。ユーザーや端末ごとにアクセスできるアプリケーションやデータを細かく設定できるので、取引先や顧客などのアクセス権も迅速にかつ適切に付与できるので業務が滞ることもありません。ゼロトラストは、ある一定の脅威にアプローチするのではなく、ネットワーク環境全体を脅威として捉えることから、社内でもクラウドでもセキュリティの確保には変わりません。したがって、クラウド環境に移行することを不安視するのではなく、むしろ効率的かつ効果的にセキュリティを構築できるというメリットがあります。

ゼロトラストのデメリットは?

「全てを信用しない」という理念から、業務を行う上での利便性を損なうことも考えられます。というのは、社内間であってもアクセスの制限が設けられる上、外部のデータを必要とする場合などはアクセス許可の申請作業などによる負担が増え、その分の時間的なロスも生じます。このことは、ネットワークでの業務の利便性とは相反するものかもしれません。

また、クラウドが主流になりつつあり、クラウドに対する攻撃や脅威が増加する中で影響の大きいものがデータの窃取で、主にクラウドにおけるリソースが攻撃の踏み台となり悪用されているケースが多いようです。多くの攻撃者が侵入経路として利用するのがアプリケーションです。アプリケーションに不備があったり、脆弱性があったりすると、そこが狙われてしまいます。また、クラウドを利用したセキュリティシステムを導入しているところは、セキュリティ体制をクラウドに依存することになります。

ゼロトラストの導入効果は想定される被害より大きい!

ゼロトラストを導入するには従来のネットワークを刷新する必要あり、かなりの時間と労力を費やします。それに見合った導入成果が得られるのか企業にとっては気になるところです。

ある企業がゼロトラストモデルを採用するにあたって様々な計算をしたところ、ネットワークをゼロトラストモデルに合わせて新しく構築するためにかかるコストと、サイバー攻撃などのセキュリティ侵害やデータの侵害によって被るコストでは、侵害によって被るコストの方が大きくなるという結果になったと言います。

ゼロトラストを導入することで、何らかのセキュリティ侵害行為が発生したとしても、ネットワークの在り方やデータの管理方法で対策が施されていれば、その影響を最小限にとどめることができます。万が一被ると想定される被害の大きさを考えると、事前に対策をとっておくことは非常に重要です。

また、ゼロトラストを導入する企業はコンプライアンスへの対応にもなります。データを保護することや、アクセス制御やIDの管理や制御など、厳格なコンプライアンスを確保・管理することが可能となります。

ゼロトラストで変化する働き方に合った対応を!

働き方改革の推進や新型コロナウィルスの影響でワークスタイルが大きく変化を遂げているのは周知のとおりです。特に、社内で業務を行うという従来当たり前であった働き方が、自宅や外出先など社外で業務を行うことが増え、それが定着する流れもあります。そうした動きの中では、従来の境界を守るセキュリティ対策ではどうしても限界があります。また、業務のスピードや効率性をあげるためにクラウドを採用したら、ゼロトラストモデルを構築していくことが今後の主流になると考えられます。

中小企業にとっては、低予算で高いセキュリティ効果を求められる難しい課題ですが、万が一、信用が失墜すればその被害は計り知れず、存続の危機にすら直面するかもしれません。セキュリティの強化はどの企業にとっても待ったなしの課題です。

関連記事

ゼロトラストとVPNの関係は?

ゼロトラストを導入するには?

多要素認証とは?

PAGE TOP