業務でのクラウドサービス利用、リモートワーク(テレワーク)の普及など、組織の働き方はより柔軟に、より便利になっています。その一方で、従来のような閉じられたネットワークでなくなるため、従来のセキュリティ手法では組織の情報資産を安全に保つのが困難になっています。
サイバー攻撃や不正アクセスを防ぐためには、今までとは異なる思想のセキュリティ対策が必要です。
そこで注目を集めているのが、全てのトラフィックを信頼せず毎回認証・承認する方法で、安全性を保つ「ゼロトラストセキュリティ」です。
本記事では、ゼロトラストセキュリティの概念を押さえた上で、基本的な仕組みや実現に必要なツールを紹介します。
ゼロトラストは「信頼するものは何もない」という前提で行うセキュリティ対策 のことです。たとえ、通常はセキュリティの脅威が低いと考えられる社内からのアクセスであっても、毎回アクセスごとに認証を行って安全性を確認します。
従来セキュリティ対策の主流として行われていた「社内ネットワークを安全に保ち、ファイアウォールで外部からの侵入を防ぐ」対策は、境界型(ペリメタ)モデルと呼ばれています。
ゼロトラストセキュリティの導入により、クラウドサーバーへのアクセスや社外からのリモートアクセスを安全に保つだけでなく、万が一社内に不正侵入したアクセスに対しても適切な措置を行えます。そのためより高い安全性を確保できるのです。
従来行われていたファイアウォールなどのセキュリティ対策とは根本から思想が異なるため、戸惑う方もいるかもしれません。そこで、まずは従来のセキュリティ対策との違いを理解しましょう。
ゼロトラストセキュリティモデルと従来型セキュリティモデルとでは、考え方が根本的に異なります。
従来型(境界型)セキュリティモデルはコンピューターやデータなどの保護対象が組織ネットワーク内にあることを前提とした対策です。組織内のネットワークを「安全」、インターネットなど外部からのアクセスを「危険」とみなし、ファイアウォールやウイルスソフトなどにより「外部の脅威を防ぐ」ことが主な対策となります。
一方で、悪意があるコンピューターでもネットワークの中に入ってしまえば、防御が困難になるのが弱点です。
ゼロトラストセキュリティモデルでは、保護対象が社内ネットワーク以外にもあることを前提として、保護対象となる情報資産にコンピューターがアクセスするたびに安全性や正当性をチェックします。
そのため不正侵入したアクセスも防御可能であるのがメリットです。
しかし安全性は高い反面、チェックの手間はかかるという課題があります。そのためシステムによる自動化が不可欠です。
それぞれのセキュリティモデルの概要を表にまとめると以下のようになります。
従来型(境界型) |
ゼロトラスト |
|
基本的な考え方 |
保護対象は組織内ネットワークにある |
保護対象はネットワーク内外に存在する |
対策 |
外部からの脅威を防ぐ |
全てのユーザー、全てのネットワーク、全てのデバイスに対して、安全性を確認する |
何から保護するか |
外部からのサイバー攻撃による不正アクセスやマルウェア感染から情報資産を護る(内部からの攻撃には弱い) |
内部犯行・既に侵入済みの端末からの情報流出、データ改ざんを防ぎ、情報資産を護る |
ゼロトラストの概念は、2010年に米調査会社フォレスター・リサーチのアナリストが提唱しました。
それから10年近く経った2019年、ゼロトラストに対する関心は急激に高まりました。なぜ急激に関心が高まったのか。その理由としては、以下の3つの背景が考えられます。
テレワークとは、ITを活用して場所や時間の制約を減らしながら柔軟に仕事をする働き方です。日本国内でも企業規模や業種でばらつきがあるものの、2020年の非常事態宣言をきっかけに急速に導入が進みました。
テレワークでは、自宅・滞在先など社外からクラウドサービスにログインしたり、社内サーバー上に保存されているデータに対して参照・編集を行う機会が増えることから、それを踏まえた適切なセキュリティ対策が必要になります。
日本国内では、2020年時点で約7割の企業がファイル保管、会計管理システム、プロジェクト管理など、何らかの形でクラウドサービスを利用しています。それはすなわち、インターネット上のサーバーに企業の情報資産を保管し、社内外からアクセスするのが一般的になっているということです。従来型のIDとパスワードによる認証では安全性が低く、より高い安全性を保つ手段が求められます。
2021年上半期でもマルウェア感染の被害やサイバー攻撃による情報流出が多発しているように、不正アクセスによる侵入や内部不正による情報漏洩が増加傾向にあります。境界型セキュリティモデルは、一度内部に入ったアクセスから防御するのは困難です。そのため、それに代わる手段としてゼロトラストセキュリティモデルによる防御も求められつつあります。
ゼロトラストネットワークの基本的な仕組みは、毎回、全てのデバイスやユーザーに対して認証・認可を行うことです。さらに常に監視を行い、データへのアクセスは動的なポリシー(指針)によって毎回決定します。
基本的な考え方として、米国国立標準技術研究所(NIST)が7つの理念を公開しています。この考え方に基づき、アクセス認証や監視、権限付与などを行います。
NIST SP 800-207によると、ゼロトラスト・アーキテクチャの基本的な考え方は以下のとおりです。
1)すべてのデータソースとコンピューティングサービスはリソースとみなす
2)ネットワークの場所に関係なく、すべての通信を保護する
3)企業リソースへのアクセスを、セッション単位で付与する
4)リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状況、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5)すべての資産の整合性とセキュリティ体制を監視し、測定する
6)すべてのリソースの認証と許可を行い、アクセスが許可される前にされる前に厳格に実施する
7)資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それを使用してセキュリティ体制の改善に利用する
ゼロトラスト導入指南書(IPA)
ゼロトラストセキュリティモデルを採用するメリットを知ることで、自社で導入すべきか判断する材料になるでしょう。導入メリットとして、大きく以下の4つがあります。
ゼロトラストセキュリティモデルでは、与える権限を最小限にすることが原則です。そのためサイバー攻撃を受けたとしても、情報漏洩などの被害やその対応に要するコストを最小限に抑えられます。
ゼロトラストセキュリティモデルでは、全てのアクセスに対して毎回認証・承認を行った後、リアルタイムにアクセスログを記録します。そのためセキュリティ事故が発生した際にも原因の特定が容易です。
シングルサインオンなどの機能を提供し、従来のようなIDとパスワードの使い分けが不要になるため、ユーザーの利便性が向上します。
DXでは、導入スピードが早く柔軟に運用可能なクラウドサービスの利用が欠かせません。クラウド環境を安全に利用できる環境を整えDXを実現するためにも、ネットワーク外からのアクセスを前提にしたゼロトラストセキュリティモデルの適用が重要です。
一方で、 ゼロトラストセキュリティモデルも万能ではありません。特に採用する際は、一時的に以下の2つのデメリットが発生する可能性があります。
ゼロトラストセキュリティモデルを採用すると、特定システムへのアクセスが禁止されるなど、今まで出来ていた作業が制限される場合があります。そのため、社員が新しいフローに慣れるまで不便だと感じることがあるほか、一時的に生産性が低下する可能性があります。
ゼロトラストセキュリティモデルを採用する際には、後述するようなツールの導入が必要になるため、初期導入費用やトレーニング費用などのコストが発生します。さらに移行期間中や境界型セキュリティモデルと併用する場合には、運用コストが上昇します。
ゼロトラストセキュリティモデル実現するには、細かなチェックや対応が求められます。そのため手動では難しく、自動化を実現するツールが欠かせません。ここではゼロトラストを構成する代表的な5つの要素を紹介します。ゼロトラストセキュリティモデルでは、これら要素を備えたツールの導入が欠かせません。
エンドポイントとはネットワークの終端に接続された機器のことで、多くはユーザーが利用している端末を指します。EPPとはアンチウイルスソフトのことで、マルウェアなどの危険から端末を保護するツールの総称です。
ユーザーが利用している端末(パソコン・サーバー等)の監視を行うと共に、サイバー攻撃を発見した際には早急に対処するツールの総称です。前述のEPPがサイバー攻撃を防御するのに対して、EDRは攻撃されネットワークに侵入された際に被害を最小限にする役割を担います。
IDとアクセス権限を管理するためのツールがIAMです。利用者情報とIDを保管するIDデータベースとアクセス権限を規定するアクセスポリシーによりIDと権限を管理します。多要素認証もIAMが管理します。
SOAR(ソアー)は、タスクの自動化や脆弱性の管理などセキュリティ関連対策を自動化する技術の総称です。SOARによりゼロトラストセキュリティ運用を効率化できます。
クラウドサービスを利用している企業の多くは複数サービスを併用しています。多数のクラウドサービスを一元管理する目的で用いられる技術がCWPPです。トラフィックの可視化や脆弱性の管理などを行います。
ゼロトラストは、業務でクラウドサービスを多用する企業やリモートアクセスが標準的な企業では欠かせない思想です。現在は大企業や先進企業の導入にとどまっている感もありますが、これまで以上にクラウドサービスやリモートワークが当たり前になると、業務を社内ネットワークで閉じるのは不可能になります。そのため多くの企業でゼロトラストへのシフトが現実的になるでしょう。
従来型のセキュリティ対策から変更するのは容易ではありませんが、セキュリティの脅威は年々高まっています。。自社はゼロトラストとは無関係だと遠ざけるのではなく、最適なセキュリティ対策を模索し続ける姿勢が求められているのではないでしょうか。