ゼロトラストとは？クラウド時代に必要なセキュリティ対策

DX（デジタルトランスフォーメーション）を実施するにあたり、情報セキュリティの整備を進めている、または検討している企業は多いと思います。そのなかで、情報セキュリティに対する考え方として「ゼロトラスト」という言葉を聞いた方もいるのではないでしょうか。
この記事ではゼロトラストについてご説明し、この考え方に基づくセキュリティ対策（＝ゼロトラスト・セキュリティ）について従来のセキュリティ対策との違いや導入するメリット・デメリットをご紹介します。

ゼロトラストとは

トラスト（Trust）という英単語は、「信頼」「信用」という意味を持ちます。つまりゼロトラストとは「信頼・信用がゼロ」であることを意味し、「何も信用しないこと」を指します。
社内ネットワークであっても、VPNを経由していても、すべてのアクセスを信頼せず、その都度検証を行います。これは単なる不信感によるものではなく、アクセスする主体（ユーザーやデバイス）、アクセスされる対象（データやアプリケーション）、そしてアクセスが行われる状況（時間、場所、方法など）を総合的に評価し、適切な権限を動的に付与することです。

なぜ今ゼロトラストなのか

企業のIT環境は、クラウドサービスの普及やテレワークの一般化により、従来の境界防御モデルでは対応が困難な状況に直面しています。社内と社外を明確に区分けできた時代は終わり、場所や時間を問わない柔軟な働き方が標準となっています。このような環境下では、従来型の「内側は信頼し、外側から守る」というアプローチはもはや通用しません。サイバー攻撃も高度化・巧妙化し、一度侵入を許せば内部での横展開を許してしまうリスクが高まっています。

ゼロトラスト・セキュリティを実装するための7つの要件

ゼロトラストを最初に提唱したのは、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ氏で、2010年に提唱されました。その後、2018年に同じくForrester Research社が、「Zero Trust eXtended (ZTX)フレームワーク」と改め、ゼロトラストを実装するための7つの要件を定義しました。
以下7つの要件を実装することでゼロトラスト・セキュリティが実装できるとされています。

デバイス・セキュリティ

各端末機器（デバイス）が企業のネットワークへアクセスする際、各端末に対して認証を行うことを指します。

ネットワーク・セキュリティ

各社員がどのネットワークにアクセスするかを制御することを指します。

アイデンティティ・セキュリティ

ネットワークへのアクセスを試みるユーザーを特定して認証を行い、一定の判断基準に基づきアクセス制限を実施するものです。また、一度認証が通った後も継続して認証を行うことが含まれます。

ワークロード・セキュリティ

事業において運用に必要なアプリケーションやクラウドサービスなどのすべてのシステムを可視化することで、不正アクセスやデータの窃取・改ざんの有無をわかりやすくすることを指します。

データ・セキュリティ

内部情報の持ち出しなどの内的要因、コンピュータウイルスによる情報漏えいなどの外的要因の防止を行うことを指します。また、データの保存場所を決める過程や、データ転送における暗号化なども含まれています。

可視化と分析

すべてのセキュリティシステムの状態を可視化し、監視を行うことを指します。攻撃を受けた際に攻撃内容の検出や分析、対応を行います。また、サイバー攻撃を受ける可能性のあるサービスやアプリの使用を禁止し、該当サービスやアプリが使用された時に警告・監視する仕組みを構築しましょう。

自動化

ゼロトラストにおける各ソリューションを自動化し、集中管理するものです。自動化を行わず、管理者がログを1点ずつ確認することは現実的ではありません。

従来のセキュリティ対策（境界型防御）との違い

従来のセキュリティ対策では、ファイアウォール、IDS/IPSなどを用いて信頼できる内部（社内ネットワーク）と信頼できない外部（社外ネットワーク）の境界で対策を講じるというものが主流でした。つまり、「敵は外部にいる」という考え方であり、内部に入ってきた脅威に対しては十分に対処ができていなかった側面もあります。

その一方で、ゼロトラスト・セキュリティは内外問わずすべてのアクセスを検証し必要なセキュリティ対策を講じるものです。そのため、従来のセキュリティ対策に加えて内部の脅威から外部の脅威まで幅広い監視と制御を行うことを指します。

ゼロトラストが求められている理由

ゼロトラストは、社内・社外のネットワークを境界にする従来の情報セキュリティに加えて内部の脅威から外部の脅威まで幅広い範囲で対策を講じるものです。
現代でゼロトラストが求められることにはどのような背景があるのでしょうか。ここでは、ゼロトラストの必要性と求められる背景について見ていきましょう。

クラウドサービスの利用が増えている

ビジネスにおいても、クラウドサービスを利用して業務を行うケースが増えています。情報通信白書（令和5年度）によると企業の約7割がクラウドサービスを利用しています。
クラウドにデータを保存すると、保管場所は社内環境ではなく外部のサーバーにあたります。つまり、従来のセキュリティで重視されてきた内部（社内ネットワーク）と外部（社外ネットワーク）の境界が曖昧になるといえます。
これまで社内ネットワークを運用している企業では、社外ネットワークからのアクセスに対してセキュリティ対策を実施することで情報の漏えいや改ざんなどの脅威からシステムを守っていましたが、クラウドサービスに移行すると社外ネットワーク上にあるクラウドに重要なデータが保管されるようになります。

データの保管が便利になる一方、マルウェアなどのサイバー攻撃を受けやすくなるため、境界線に捉われない「ゼロトラスト」という考え方が求められているといえます。

出典：「令和5年版情報通信白書」（総務省）より作成

テレワークの導入が増えている

昨今の社会情勢もあり、自宅やサテライトオフィスなど、オフィスから離れた場所で働くテレワークが一般化してきています。その影響により、オフィス以外の場所からインターネットや公共のWi-Fiなどを利用して、社内システムに接続する機会は今後も増えるでしょう。それにともなって、ネットワーク上でデータをやり取りする機会も増えるため、内部（社内システム）と外部（社外システム）の境界がなくなり、情報漏えいや端末のウイルス感染などセキュリティ被害のリスクも考えられます。
上記のような働き方の多様化に対し、従来のセキュリティ対策は内外の境界を軸に対策を講じるため限界があり、ゼロトラストのような内外問わず「誰も信用しない」という考え方を取り入れたセキュリティ対策が求められています。

ゼロトラスト・セキュリティ導入のメリット・デメリット

ゼロトラストの必要性を踏まえ、ゼロトラストの考え方を用いたセキュリティ体制の構築を行う場合のメリットやデメリットを以下に紹介します。

ゼロトラスト・セキュリティ導入のメリット

・強固なセキュリティ対策の実現

認証されたユーザーと端末だけがデータにアクセスすることが可能です。そのため、内部（社内ネットワーク）・外部（社外ネットワーク）の境界が曖昧になりがちなクラウドサービス利用時も、サイバー攻撃などのセキュリティリスクに備えることが可能です。アクセスを求める度に認証を行うため、アクセス履歴を残すこともでき、問題が発生した際には、履歴を確認することで原因を素早く発見することができます。
また、外部（社外ネットワーク）だけでなく内部（社内ネットワーク）からのアクセスにも認証を要求するため、強固なセキュリティの確立が可能です。

・働き方の多様化に対応できる

内外問わずアクセス認証を行うため、アクセスが許可されたユーザーの端末であれば場所を問わずに利用できます。企業も従業員が使用しているコンピュータの状態を監視し、ログも常時管理することで各個人の業務環境を守ることが可能です。このため、テレワーク・ハイブリッドワーク（※）などの新しい働き方にも対応が可能です。

※テレワークとオフィスワークを組み合わせた働き方。
具体的には、出社・在宅を含め柔軟な働き方を従業員が選択できる働き方を指す。

・データ流出の軽減

許可を受けたユーザーや端末でなければ社内のアプリケーションやデータを利用できません。各社員に必要に応じた最小限の権限しか与えないため、関係者以外の情報閲覧を防ぐことが可能です。そのため、不正アクセスによるサイバー攻撃や、それにともなう情報漏えいなどのリスクを軽減できます。

ゼロトラスト・セキュリティ導入のデメリット

・コストがかかる可能性がある

様々なセキュリティ対策を講じるため、ツールの購入や運用に費用がかかることに注意しなければなりません。コストをかけるべき部分とそれ以外の部分を事前に洗い出しておき、費用対効果の面で納得できる選択をすることが重要でしょう。

・利便性低下のリスク

さまざまな場面でアクセスの認証を行うため、すべての業務に対し同様の対策を行ってしまうと、利便性の低下を招き、生産性を下げてしまうことが想定されます。
例えば、従業員が同僚の代理でネットワーク上にあるデータをクライアントに送信するようなケースでは、アカウントに十分な権限がないとデータのアクセスを拒否されたり、不正利用を疑われたりすることで、業務を効率的に進められなくなる可能性があります。

ゼロトラストを用いたセキュリティ体制の構築では、必要な箇所に必要な対策を実施することを意識しましょう。情報セキュリティと業務効率化の両立も、重要なポイントです。

ただし、ゼロトラストが不要な箇所はセキュリティを緩くして良いというわけではありません。機密情報の漏えいを引き起こせば大きな損害に繋がってしまうため、強固なセキュリティ対策を前提とした上で対策を講じるようにしましょう。

ゼロトラストの導入ステップ

ゼロトラストへの移行は、一朝一夕には実現できません。組織の現状を正確に把握し、計画的に進めていく必要があります。

現状評価とギャップ分析

ゼロトラスト導入の第一歩は、自組織の現状を正確に把握することから始まります。まずは資産の可視化を行い、どのようなデータやアプリケーションがあり、それらがどのように利用されているのかを明確にします。ユーザーやデバイスの認証方法、ネットワークの分離状況、アクセス制御の仕組みなど、現在のセキュリティ対策を詳細に評価します。この評価結果とゼロトラストの理想形との差異を分析することで、取り組むべき課題が明確になります。

優先度付けとロードマップ作成

限られたリソースを効果的に活用するため、優先順位を付けた実装計画が重要です。特に重要なデータやシステム、セキュリティリスクの高い領域から着手することで、早期に効果を得ることができます。また、予算やリソースの制約、既存システムへの影響なども考慮しながら、現実的な実装スケジュールを策定します。このとき、短期的な対策と中長期的な施策をバランスよく組み合わせることで、持続可能な改善を実現できます。

段階的な実装

実装は、小規模なパイロットプロジェクトから開始することをお勧めします。例えば、特定の部門や業務システムを対象に導入を進め、そこで得られた知見や課題を活かしながら、順次対象を拡大していきます。この際、ユーザーへの影響を最小限に抑えることが重要です。新しいセキュリティ対策の導入に伴い、業務効率が著しく低下することは避けなければなりません。そのため、ユーザーへの事前説明や教育、段階的な移行期間の設定など、変更管理の視点も欠かせません。

効果測定と改善

実装後は、定期的に効果を測定し、必要に応じて改善を行います。セキュリティインシデントの発生状況、不正アクセスの検知数、システムの応答時間、ユーザーからのフィードバックなど、多角的な観点から評価を行います。特に重要なのは、セキュリティ強化と利便性のバランスです。過度に厳格なセキュリティ対策は、ユーザーの生産性を低下させ、ルール違反や回避策の利用を誘発する可能性があります。定期的な見直しを通じて、セキュリティと利便性の最適なバランスを追求し続けることが、ゼロトラストの持続的な運用には不可欠です。

また、技術の進化や脅威の変化に応じて、セキュリティ対策も進化させていく必要があります。新たなセキュリティ技術や製品の動向を常に注視し、必要に応じて導入を検討します。組織の事業環境や働き方の変化にも柔軟に対応し、セキュリティ対策を最適化し続けることが重要です。

警備会社ALSOKだからこそできるセキュリティ「ALSOK UTM運用サービス」

DXや働き方の多様化などクラウドの活用が進むにつれて、不正アクセスや情報漏えいのリスクなど複雑化するセキュリティ対策。それらに対応するためにもゼロトラストの考え方のように網羅的な対策が必要です。

そこでALSOKでは、企業向け情報セキュリティサービスを多数提供しています。なかでも、さまざまなセキュリティ機能が監視装置1台に集約された「ALSOK UTM運用サービス」は、これからの企業の情報セキュリティに最適です。
ALSOKのUTMはウイルス検知、不正侵入防止・検知、URLフィルタリング、スパムメールチェックのセキュリティ機能を備え、ネットワークを24時間365日監視。外部との通信状況や不正通信遮断などの記録を、月次レポートとして定期報告します。
警備会社のノウハウを生かした迅速な対応で情報セキュリティ対策をサポートします。

まとめ