ゼロトラストとは?クラウド時代に必要なセキュリティ対策
DX(デジタルトランスフォーメーション)を実施するにあたり、情報セキュリティの整備を進めている、または検討している企業は多いと思います。そのなかで、情報セキュリティに対する考え方として「ゼロトラスト」という言葉を聞いた方もいるのではないでしょうか。
この記事ではゼロトラストについてご説明し、この考え方に基づくセキュリティ対策(=ゼロトラスト・セキュリティ)について従来のセキュリティ対策との違いや導入するメリット・デメリットをご紹介します。
目次
ゼロトラストとは
トラスト(Trust)という英単語は、「信頼」「信用」という意味を持ちます。つまりゼロトラストとは「信頼・信用がゼロ」であることを意味し、「何も信用しないこと」を指します。
ゼロトラスト・セキュリティを実装するための7つの要件
ゼロトラストを最初に提唱したのは、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ氏で、2010年に提唱されました。その後、2018年に同じくForrester Research社が、「Zero Trust eXtended (ZTX)フレームワーク」と改め、ゼロトラストを実装するための7つの要件を定義しました。
以下7つの要件を実装することでゼロトラスト・セキュリティが実装できるとされています。
デバイス・セキュリティ
各端末機器(デバイス)が企業のネットワークへアクセスする際、各端末に対して認証を行うことを指します。
ネットワーク・セキュリティ
各社員がどのネットワークにアクセスするかを制御することを指します。
アイデンティティ・セキュリティ
ネットワークへのアクセスを試みるユーザーを特定して認証を行い、一定の判断基準に基づきアクセス制限を実施するものです。また、一度認証が通った後も継続して認証を行うことが含まれます。
ワークロード・セキュリティ
事業において運用に必要なアプリケーションやクラウドサービスなどのすべてのシステムを可視化することで、不正アクセスやデータの窃取・改ざんの有無をわかりやすくすることを指します。
データ・セキュリティ
内部情報の持ち出しなどの内的要因、コンピュータウイルスによる情報漏えいなどの外的要因の防止を行うことを指します。また、データの保存場所を決める過程や、データ転送における暗号化なども含まれています。
可視化と分析
すべてのセキュリティシステムの状態を可視化し、監視を行うことを指します。攻撃を受けた際に攻撃内容の検出や分析、対応を行います。また、サイバー攻撃を受ける可能性のあるサービスやアプリの使用を禁止し、該当サービスやアプリが使用された時に警告・監視する仕組みを構築しましょう。
自動化
ゼロトラストにおける各ソリューションを自動化し、集中管理するものです。自動化を行わず、管理者がログを1点ずつ確認することは現実的ではありません。
従来のセキュリティ対策(境界型防御)との違い
従来のセキュリティ対策では、ファイアウォール、IDS/IPSなどを用いて信頼できる内部(社内ネットワーク)と信頼できない外部(社外ネットワーク)の境界で対策を講じるというものが主流でした。つまり、「敵は外部にいる」という考え方であり、内部に入ってきた脅威に対しては十分に対処ができていなかった側面もあります。
その一方で、ゼロトラスト・セキュリティは内外問わずすべてのアクセスを検証し必要なセキュリティ対策を講じるものです。そのため、従来のセキュリティ対策に加えて内部の脅威から外部の脅威まで幅広い監視と制御を行うことを指します。
ゼロトラストが求められている理由
ゼロトラストは、社内・社外のネットワークを境界にする従来の情報セキュリティに加えて内部の脅威から外部の脅威まで幅広い範囲で対策を講じるものです。
現代でゼロトラストが求められることにはどのような背景があるのでしょうか。ここでは、ゼロトラストの必要性と求められる背景について見ていきましょう。
クラウドサービスの利用が増えている
ビジネスにおいても、クラウドサービスを利用して業務を行うケースが増えています。情報通信白書(令和5年度)によると企業の約7割がクラウドサービスを利用しています。
クラウドにデータを保存すると、保管場所は社内環境ではなく外部のサーバーにあたります。つまり、従来のセキュリティで重視されてきた内部(社内ネットワーク)と外部(社外ネットワーク)の境界が曖昧になるといえます。
これまで社内ネットワークを運用している企業では、社外ネットワークからのアクセスに対してセキュリティ対策を実施することで情報の漏えいや改ざんなどの脅威からシステムを守っていましたが、クラウドサービスに移行すると社外ネットワーク上にあるクラウドに重要なデータが保管されるようになります。
データの保管が便利になる一方、マルウェアなどのサイバー攻撃を受けやすくなるため、境界線に捉われない「ゼロトラスト」という考え方が求められているといえます。
テレワークの導入が増えている
昨今の社会情勢もあり、自宅やサテライトオフィスなど、オフィスから離れた場所で働くテレワークが一般化してきています。その影響により、オフィス以外の場所からインターネットや公共のWi-Fiなどを利用して、社内システムに接続する機会は今後も増えるでしょう。それにともなって、ネットワーク上でデータをやり取りする機会も増えるため、内部(社内システム)と外部(社外システム)の境界がなくなり、情報漏えいや端末のウイルス感染などセキュリティ被害のリスクも考えられます。
上記のような働き方の多様化に対し、従来のセキュリティ対策は内外の境界を軸に対策を講じるため限界があり、ゼロトラストのような内外問わず「誰も信用しない」という考え方を取り入れたセキュリティ対策が求められています。
ゼロトラスト・セキュリティ導入のメリット・デメリット
ゼロトラストの必要性を踏まえ、ゼロトラストの考え方を用いたセキュリティ体制の構築を行う場合のメリットやデメリットを以下に紹介します。
ゼロトラスト・セキュリティ導入のメリット
・強固なセキュリティ対策の実現
認証されたユーザーと端末だけがデータにアクセスすることが可能です。そのため、内部(社内ネットワーク)・外部(社外ネットワーク)の境界が曖昧になりがちなクラウドサービス利用時も、サイバー攻撃などのセキュリティリスクに備えることが可能です。アクセスを求める度に認証を行うため、アクセス履歴を残すこともでき、問題が発生した際には、履歴を確認することで原因を素早く発見することができます。
また、外部(社外ネットワーク)だけでなく内部(社内ネットワーク)からのアクセスにも認証を要求するため、強固なセキュリティの確立が可能です。
・働き方の多様化に対応できる
内外問わずアクセス認証を行うため、アクセスが許可されたユーザーの端末であれば場所を問わずに利用できます。企業も従業員が使用しているコンピュータの状態を監視し、ログも常時管理することで各個人の業務環境を守ることが可能です。このため、テレワーク・ハイブリッドワーク(※)などの新しい働き方にも対応が可能です。
※テレワークとオフィスワークを組み合わせた働き方。
具体的には、出社・在宅を含め柔軟な働き方を従業員が選択できる働き方を指す。
・データ流出の軽減
許可を受けたユーザーや端末でなければ社内のアプリケーションやデータを利用できません。各社員に必要に応じた最小限の権限しか与えないため、関係者以外の情報閲覧を防ぐことが可能です。そのため、不正アクセスによるサイバー攻撃や、それにともなう情報漏えいなどのリスクを軽減できます。
ゼロトラスト・セキュリティ導入のデメリット
・コストがかかる可能性がある
様々なセキュリティ対策を講じるため、ツールの購入や運用に費用がかかることに注意しなければなりません。コストをかけるべき部分とそれ以外の部分を事前に洗い出しておき、費用対効果の面で納得できる選択をすることが重要でしょう。
・利便性低下のリスク
さまざまな場面でアクセスの認証を行うため、すべての業務に対し同様の対策を行ってしまうと、利便性の低下を招き、生産性を下げてしまうことが想定されます。
例えば、従業員が同僚の代理でネットワーク上にあるデータをクライアントに送信するようなケースでは、アカウントに十分な権限がないとデータのアクセスを拒否されたり、不正利用を疑われたりすることで、業務を効率的に進められなくなる可能性があります。
ゼロトラストを用いたセキュリティ体制の構築では、必要な箇所に必要な対策を実施することを意識しましょう。情報セキュリティと業務効率化の両立も、重要なポイントです。
ただし、ゼロトラストが不要な箇所はセキュリティを緩くして良いというわけではありません。機密情報の漏えいを引き起こせば大きな損害に繋がってしまうため、強固なセキュリティ対策を前提とした上で対策を講じるようにしましょう。
警備会社ALSOKだからこそできるセキュリティ「ALSOK UTM運用サービス」
DXや働き方の多様化などクラウドの活用が進むにつれて、不正アクセスや情報漏えいのリスクなど複雑化するセキュリティ対策。それらに対応するためにもゼロトラストの考え方のように網羅的な対策が必要です。
そこでALSOKでは、企業向け情報セキュリティサービスを多数提供しています。なかでも、さまざまなセキュリティ機能が監視装置1台に集約された「ALSOK UTM運用サービス」は、これからの企業の情報セキュリティに最適です。
ALSOKのUTMはウイルス検知、不正侵入防止・検知、URLフィルタリング、スパムメールチェックのセキュリティ機能を備え、ネットワークを24時間365日監視。外部との通信状況や不正通信遮断などの記録を、月次レポートとして定期報告します。
警備会社のノウハウを生かした迅速な対応で情報セキュリティ対策をサポートします。
ALSOKの関連商品
まとめ
ネットワークの内外を切り分けて考えてきた従来の情報セキュリティですが、クラウドサービスの普及によって境界を分けることなく対策を講じる必要性が増しました。情報セキュリティの強化を考えている企業にとっては、クラウドサービスやテレワーク移行への対応などさまざまな課題を感じることでしょう。ALSOKでは、各企業の抱える課題をしっかりおうかがいし、ご予算やご要望に最適なセキュリティソリューションをご提案します。ぜひお気軽にお問い合わせください。