- AI / DX
ゼロトラストとは
ゼロトラストとは、何も信頼しないことを基準としてセキュリティの対策を立てる考え方です。デジタル活用の促進においてセキュリティリスクが顕在化していることを踏まえて提案していることが基準です。
従来のセキュリティ対策は、信頼できる部分と信頼できない部分にネットワークを分けることにより境界線で対策を立てることが一般的でした。内側はVPNやLANなどで接続されたデータセンターが、外側はインターネットが該当しています。
ゼロトラストとは
ゼロトラストとは、すべてのデバイスや接続元のロケーション、ユーザーなどを信頼できないと捉える考え方です。システムにアクセスする場合は安全性や正当性を検証して、マルウェアをはじめとしたシステムへの脅威に対するセキュリティを高めていきます。
近年は外部からだけでなく内部からの情報漏洩にも注意する必要があるため、システムにアクセスするすべてのものを信用しないゼロトラストの需要が高まっています。
ゼロトラストの需要が高まった背景
JPCERT/CCインシデント報告対応レポートによると、2023年3月に報告されたインシデント報告件数は3,751件と2022年6月以降年々減少傾向です。しかし、テレワークの普及によりセキュリティ対策が十分でない私物のPCを使ったり、クラウドサービスを利用したりすることで情報漏洩やマルウェア感染リスクは十分にあります。さらに、顕在化していないセキュリティインシデントが発生している可能性も十分にあるのです。
ゼロトラストのアーキテクチャ
従来は業務で利用するシステムがほとんど社内にあったので、ファイアウォールをはじめとしたセキュリティ対策で十分でした。しかし、近年ではリモートワークの需要が高まったりDX化が進んだりしていることから、社内外といった考え方だけでは対策しきれなくなっています。
そこで、さまざまなシステムを使った場合においてもセキュリティ対策が求められるようになりました。ゼロトラストは多様なシステムを使ってセキュリティアーキテクチャを実現できる点が特徴です。ゼロトラストアーキテクチャでは、すべてのアクセスに対して安全な環境を作ったり、被害の最小化をしたりすることが可能です。
ゼロトラストセキュリティモデル
ゼロトラストセキュリティモデルには次のようなモデルが挙げられます。
- Googleのゼロトラストセキュリティモデル
- DXの推進に必要なゼロトラストセキュリティモデル
Googleのゼロトラストセキュリティモデル
Googleでは、BeyondCorpとよばれているゼロトラストモデルを実装しています。アクセス制御をユーザー単位でおこなうことにより、どこからでも安全に作業できるようになりました。
企業がゼロトラストアーキテクチャを採用するためには、Googleのように、検索エンジンや広告、動画配信、AI、ロボット企業などのテクノロジー企業と連携する必要があります。しかし、買収時に他社のネットワークシステムを自社に適合させることは困難です。ゼロトラストセキュリティを採用することで、インターネットに接続できればインフラとして機能し、従来の方法よりもネットワークを統合する負担が軽減されます。
DXの推進に必要なゼロトラストセキュリティモデル
最近、企業がDXを進める際に自社で情報システムを作るのではなく、既に外部で提供されているクラウドサービスを使うことが一般的になってきています。これによって、DXを進めるのが手軽になり、事業の改善や働き方の改革、企業の変革が実現できます。しかし、自社と外部サービスを連携させる場合、従来の境界防御型のセキュリティ対策では不十分です。
そこで、ゼロトラストセキュリティを導入することが求められます。これは、デバイスの統制を取ったり、アクセスログをリアルタイムに収集して分析したりすることなどを含み、アクセスごとに認証をおこなうセキュリティの仕組みです。オンプレミスとクラウドを含めたシステム環境全体のセキュリティを考えると、ゼロトラストセキュリティに移行することで、より強力なセキュリティを確保できるだけでなく、DXを促進しやすくなります。
ゼロトラストのメリット
ゼロトラストを導入することで、次のようなメリットが挙げられます。
- 場所やデバイスに限らず安全なアクセスが可能
- セキュリティリスクの低減
- シンプルな設定
場所やデバイスに限らず安全なアクセスが可能
ゼロトラストを導入することによって、アクセスする場所やデバイスに関係なくネットワークを安全に構築することが可能です。そのため、テレワークをはじめとして柔軟な働き方ができます。業務効率化や生産性の向上、従業員満足度の向上につながるのです。
セキュリティリスクの低減
ゼロトラストを導入することによってすべての端末やアクセスを平等に信用しないことによって厳重なセキュリティチェックをおこないます。そのため、セキュリティリスクの低減につながります。このことから、テレワークにおいて社外で社内ネットワークにつないでも、私物の端末を使っても安心して業務ができるようになります。
シンプルな設定
従来は、セキュリティ対策をするためにファイアウォールやVPNといった複雑な設定が必要でした。しかし、ゼロトラストであればすべてのアクセスに対して同じように厳重な認証をすることから複雑な設定が少なくなったのです。
ゼロトラスト導入時に必要なこと
ゼロトラスト導入時には次のことが必要です。
- セキュリティ対策
- アクセスを明確にするシステム
セキュリティ対策
クラウドサービスには、企業の情報資産がインターネット上に直接晒されているため、一般的な境界型防御の仕組みでは保護できないことがあります。したがって、アクセスを厳密に制御するためには、アクセスの度に認証をおこなうゼロトラストの方針を採用する必要があります。さらに、従来のID/パスワードによる認証では不十分であり、生体認証やワンタイムパスワードなどの多要素認証が求められます。
また、クライアント端末のセキュリティ対策も同様に重要です。クライアント端末は、インターネットに直接接続されているため、サイバー攻撃に対するリスクが高まります。そのため、ウイルス対策だけでなく最新のエンドポイントセキュリティ対策も必要です。これらの対策をおこなうことで、アプリケーションに対する認証とアクセスの強化、クライアント端末のセキュリティを強化することができます。
アクセスを明確にするシステム
情報セキュリティにおいて、誰がどこからアクセスしているかわからなければ、安全性が保証されているとはいえません。そのため、すべてのアクセスについて透明性を確保することが必要です。アクセスログを記録することで、誰がどのデータにアクセスしたかを把握し、必要に応じて対処することができます。
アクセスログを監視することで、不正アクセスがないか、社内の従業員が不正行為をおこなっていないか、どのようなページを開いたか等のログを記録しておくことで、ユーザーの行動を把握できます。アクセスログは、万一の際に証拠となるだけでなく、ゼロトラストを導入する社内においては、社外に対しても高い透明性を示すことができます。
まとめ
ゼロトラストとは、システムにアクセスするすべてのものを信頼しないことを前提としたセキュリティ対策です。クラウドサービスやテレワークなどの導入が増えたことにより、従来のセキュリティ対策では十分ではなくなったことから需要が高まっています。
ゼロトラストを導入することによって、シンプルな設定のほかセキュリティリスクの低減や場所やデバイスに限らず安全なアクセスをできるようになります。