ゼロトラストとは?意味・定義と境界型セキュリティとの違い、製品の選び方
はじめに
ゼロトラストの考え方は、境界を問わないセキュリティの考え方として広まりつつあります。クラウドサービスの利用や在宅ワークの普及もあり、セキュリティ製品のポイントとして「ゼロトラスト対応」が目立つようになってきました。
では、そもそもゼロトラストとはどのような考え方なのでしょうか。この記事では、ゼロトラストの意味や境界型セキュリティとの違い、ゼロトラスト製品の選び方をお伝えします。
では、そもそもゼロトラストとはどのような考え方なのでしょうか。この記事では、ゼロトラストの意味や境界型セキュリティとの違い、ゼロトラスト製品の選び方をお伝えします。
ゼロトラストとは?セキュリティ分野での意味を解説
ゼロトラストの考え方は、境界を問わないセキュリティの考え方として広まりつつあります。クラウドサービスの利用や在宅ワークの普及もあり、セキュリティ製品のポイントとして「ゼロトラスト対応」が目立つようになってきました。
では、そもそもゼロトラストとはどのような考え方なのでしょうか。この記事では、ゼロトラストの意味や境界型セキュリティとの違い、ゼロトラスト製品の選び方をお伝えします。
ゼロトラストが注目されている背景には、内部と外部の境界があいまいになってきていることがあります。
セキュリティ対策は、組織の内部と外部の境界を定め、内部よりも外部の通信に対して対策を行う「境界型モデル」が主流でした。しかし昨今のセキュリティインシデントやテレワークの普及によって、状況が変わってきています。
セキュリティインシデントは、外部からのサイバー攻撃だけではなく、内部からの情報漏えいも起こっています。内部に起因するインシデントの他にも、クラウドサービスの利用で外部に重要な情報を保存するなど、どこまでが内部なのか外部なのかという判別がしにくくなっているのです。
また感染症流行の影響や働き方改革の推進によってテレワークが広く普及し、デバイスに適切なセキュリティ設定を施すことや、正しいアクセスであることの確認も難しくなっています。
これらの状況から、組織の内外にある情報資産を守ることが求められるようになり、ゼロトラストの考え方が支持されるようになってきています。
では、そもそもゼロトラストとはどのような考え方なのでしょうか。この記事では、ゼロトラストの意味や境界型セキュリティとの違い、ゼロトラスト製品の選び方をお伝えします。
ゼロトラストが注目されている理由は「境界型モデルの限界」
ゼロトラストが注目されている背景には、内部と外部の境界があいまいになってきていることがあります。
セキュリティ対策は、組織の内部と外部の境界を定め、内部よりも外部の通信に対して対策を行う「境界型モデル」が主流でした。しかし昨今のセキュリティインシデントやテレワークの普及によって、状況が変わってきています。
セキュリティインシデントは、外部からのサイバー攻撃だけではなく、内部からの情報漏えいも起こっています。内部に起因するインシデントの他にも、クラウドサービスの利用で外部に重要な情報を保存するなど、どこまでが内部なのか外部なのかという判別がしにくくなっているのです。
また感染症流行の影響や働き方改革の推進によってテレワークが広く普及し、デバイスに適切なセキュリティ設定を施すことや、正しいアクセスであることの確認も難しくなっています。
これらの状況から、組織の内外にある情報資産を守ることが求められるようになり、ゼロトラストの考え方が支持されるようになってきています。
ゼロトラストを導入するメリット
ゼロトラストを導入するメリットはセキュリティレベルの向上と、場所や時間を問わない働き方の多様化に対応できる点にあります。
ゼロトラストでは、組織の内外を問わずあらゆるアクセスを常にチェックします。そのため複雑なサイバー攻撃や未知の脅威にも対応することが可能です。アクセス管理を行い、通信を監視できる体制であるため、異変を察知しやすくなり原因究明にも貢献します。内部不正に対しても、アクセス管理を行っているため不正を行った者がわかるとともに、仕組みの存在自体が情報漏えい等を未然に防ぐための抑止力になります。
すべての通信をチェックする方針は、テレワーク時にも役立ちます。アクセスの場所や時間を問わず、自宅や出張先の企業にいる際など、社外からのアクセスに対しても安全性を確保できます。アカウント情報などの認証と認可は動的に行われるため、設定次第で端末に左右されることなく社内のシステムを利用することも可能です。
テレワークの普及に伴い、クラウドサービスを利用するシーンも増加しています。電子データのやり取りのみならず、従来紙媒体で保管していた契約書や請求書などの重要情報も電子化してクラウドサービスに保存することもあるでしょう。ゼロトラストの考え方を適用すると、これらの重要情報を保管しているクラウドサービスに対しても通信状況やアクセスログを監視できるようになります。不正アクセスによる情報漏えいのリスクを低減できるでしょう。
セキュリティレベルの向上
ゼロトラストでは、組織の内外を問わずあらゆるアクセスを常にチェックします。そのため複雑なサイバー攻撃や未知の脅威にも対応することが可能です。アクセス管理を行い、通信を監視できる体制であるため、異変を察知しやすくなり原因究明にも貢献します。内部不正に対しても、アクセス管理を行っているため不正を行った者がわかるとともに、仕組みの存在自体が情報漏えい等を未然に防ぐための抑止力になります。
テレワーク時の安全性・利便性の向上
すべての通信をチェックする方針は、テレワーク時にも役立ちます。アクセスの場所や時間を問わず、自宅や出張先の企業にいる際など、社外からのアクセスに対しても安全性を確保できます。アカウント情報などの認証と認可は動的に行われるため、設定次第で端末に左右されることなく社内のシステムを利用することも可能です。
クラウドサービス利用時のリスク低減
テレワークの普及に伴い、クラウドサービスを利用するシーンも増加しています。電子データのやり取りのみならず、従来紙媒体で保管していた契約書や請求書などの重要情報も電子化してクラウドサービスに保存することもあるでしょう。ゼロトラストの考え方を適用すると、これらの重要情報を保管しているクラウドサービスに対しても通信状況やアクセスログを監視できるようになります。不正アクセスによる情報漏えいのリスクを低減できるでしょう。
ゼロトラストの7要素
実際にどのようなことを行えば、ゼロトラストを実現できるのでしょうか。アメリカ国立標準技術研究所(NIST)ではゼロトラストの基本的な要素を定めた、NIST SP800-207 「ゼロトラスト・アーキテクチャ」を公表しています。
原則は下記の7要素です。
ーーーーーーーーーーーー
1.すべてのデータソースとコンピューティングサービスはリソースと見なす
2.ネットワークの場所に関係なく、全ての通信を保護する
3.企業リソースへのアクセスは、セッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、
その他の行動属性や環境属性を含めた動的なポリシーによって決定する
5.企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
6.全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、
それをセキュリティ対策の改善に利用する
ーーーーーーーーーーーー
引用:NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳|PwC Japanグループ
ただしゼロトラストはあくまでセキュリティ対策の概念であり、絶対的に安全となるシステム構成はありません。というのも企業の抱える課題はそれぞれ異なり、最適な対策も課題に沿って決定する必要があるためです。
原則は下記の7要素です。
ーーーーーーーーーーーー
1.すべてのデータソースとコンピューティングサービスはリソースと見なす
2.ネットワークの場所に関係なく、全ての通信を保護する
3.企業リソースへのアクセスは、セッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、
その他の行動属性や環境属性を含めた動的なポリシーによって決定する
5.企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
6.全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、
それをセキュリティ対策の改善に利用する
ーーーーーーーーーーーー
引用:NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳|PwC Japanグループ
ただしゼロトラストはあくまでセキュリティ対策の概念であり、絶対的に安全となるシステム構成はありません。というのも企業の抱える課題はそれぞれ異なり、最適な対策も課題に沿って決定する必要があるためです。
ゼロトラスト製品の選び方
ゼロトラストを構成する製品は、ネットワークからアクセスの分析まで対象となる領域が幅広いため、運用が複雑になる場合があります。またコストが高くなること、認証を常に行うためにネットワークのスピードが低下した結果、業務スピードが落ちることも懸念点として考えられます。
導入にあたっては、懸念点を考慮した上で自社の目的に応じた製品を選ぶ必要があります。
独立行政法人 情報処理推進機構(IPA)が推奨するゼロトラストの5要素とそれぞれの要素を実現する製品を挙げます。
可能な限り一元的にID 管理を行います。
製品の例:IDaaS
組織で管理すべきデバイスの洗い出しを行い、そのデバイスを保護。またユーザーがどの場所にいてもデバイスの統制が撮れる環境にしておく。
製品の例:MDM、EPP、EDR
すべての通信は保護されるべきという考え方のもと、ネットワークにセキュリティ対策を施す。
製品の例:IAP、SWG
外部からの攻撃者や内部犯行者による不正なデータ持ち出しを防ぐ。仮に持ち出されたとしてもデータを閲覧できないようにするなど、不正が行われた後の対策も施す。
製品の例:DLP、IRM
社内のIT環境を構成する機器のログを集約し、分析する。サイバー攻撃の早期検知、対策や恒久的な対策のための判断材料とする。
製品の例:SIEM
導入にあたっては、懸念点を考慮した上で自社の目的に応じた製品を選ぶ必要があります。
IPAが推奨するゼロトラストの5つの要素
独立行政法人 情報処理推進機構(IPA)が推奨するゼロトラストの5要素とそれぞれの要素を実現する製品を挙げます。
・ID統制
可能な限り一元的にID 管理を行います。
製品の例:IDaaS
・デバイス統制・保護
組織で管理すべきデバイスの洗い出しを行い、そのデバイスを保護。またユーザーがどの場所にいてもデバイスの統制が撮れる環境にしておく。
製品の例:MDM、EPP、EDR
・ネットワークセキュリティ
すべての通信は保護されるべきという考え方のもと、ネットワークにセキュリティ対策を施す。
製品の例:IAP、SWG
・データ漏えい防止
外部からの攻撃者や内部犯行者による不正なデータ持ち出しを防ぐ。仮に持ち出されたとしてもデータを閲覧できないようにするなど、不正が行われた後の対策も施す。
製品の例:DLP、IRM
・ログの収集・分析
社内のIT環境を構成する機器のログを集約し、分析する。サイバー攻撃の早期検知、対策や恒久的な対策のための判断材料とする。
製品の例:SIEM
ゼロトラストの実装に役立つSASE
ゼロトラストソリューションは包括的なセキュリティ対策ですが、すべてのシステムやデバイスをカバーするのは現実的ではありません。
ゼロトラストの実現に向けた有効な手法として注目されているのが、SASE(Secure Access Service Edge/サシー、サッシー)という方法です。
SASEとは、クラウド上でネットワーク機能とセキュリティ機能を統合するモデルです。統合することにより管理負荷の低減や、セキュリティレベル維持のしやすさが向上するなどのメリットがあります。
実際のソリューションの例をご紹介します。
 | 参考コラム:新たなセキュリティモデル「SASE」とは?ゼロトラストとの関係や導入時の注意点を解説 |
例1:CloudflareのSASE「Cloudflare One」
CloudflareのSASE「Cloudflare One」は、ZTNA、CASB、SWG、リモートブラウザー分離やDLPの他、メールセキュリティとDNSフィルタリングなどでゼロトラストを実現しています。
参考:SASEとは?|Cloudflare
例2:Google の 「BeyondCorp」
GoogleのゼロトラストモデルBeyondCorpでは、下記を原則としています。
『・接続しているネットワークによって、サービスへのアクセス可否が左右されることはない
・サービスへのアクセス権は、ユーザーとデバイスからのコンテキスト情報に基づいて付与される
・サービスへのアクセスを認証、認可、暗号化する必要がある』
引用:BeyondCorp ゼロトラスト企業セキュリティ|Google Cloud
この原則に従って、シングルサインオンや細かなアクセス制御などを行っています。
ゼロトラストセキュリティソリューション「Cloudflare Zero Trust」とは?
世界有数のCDNサービスプロバイダーであるCloudflareが提供する「 Cloudflare Zero Trust」は、ユーザーのパフォーマンスを維持しつつ、さまざまな場所にあるデバイスからの接続とデータ保護を実現するネットワークシステムです。
Cloudflare Zero TrustはZTNAと呼ばれるもので、VPN装置を導入せず、VPNよりも速くリモートアクセスを行えます。また、ユーザー数の増減にも迅速に対応できます。監視の点においても、ダッシュボードでリアルタイムにアクセスログを表示することができ、外部SIEMとの統合も可能です。
Cloudflare Zero TrustはZTNAと呼ばれるもので、VPN装置を導入せず、VPNよりも速くリモートアクセスを行えます。また、ユーザー数の増減にも迅速に対応できます。監視の点においても、ダッシュボードでリアルタイムにアクセスログを表示することができ、外部SIEMとの統合も可能です。
Cloudflareのゼロトラストはアクセリアにお任せください
企業や事業部によってセキュリティ上の課題は異なるため、ゼロトラストへの移行にはセキュリティの専門家との綿密な打ち合わせが必要です。
アクセリアで提供しているCDNサービス「Solution CDN」では、世界的なシェアを誇るCDNサービスであるCloudflareをご提供しています。Cloudflareにはゼロトラストモデルである「Cloudflare One」「Cloudflare Zero Trust」があります。
アクセリアでは、Cloudflareが提供するゼロトラスト製品のお取り扱いが可能です。導入から運用まで、ぜひアクセリアにご相談ください。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service