ゼロトラストセキュリティとは?5つの構成要素と対策の具体例 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > 情報セキュリティ > ゼロトラストセキュリティとは?5つの構成要素と対策の具体例

ゼロトラストセキュリティとは?5つの構成要素と対策の具体例

ゼロトラストセキュリティのイメージ

近年、クラウド利用やテレワークの普及に伴い、「ゼロトラスト」という言葉を耳にする機会が増えました。その名の通り、「何も信頼しない」ことを前提にした情報セキュリティの考え方であることは想像がつきやすいかもしれません。しかし、具体的にはどんな製品やソリューションを導入して、どんな対策を講じる必要があるのでしょうか?今回の記事では、ゼロトラストという概念の意味や必要性、構成要素、メリット・デメリットなどについてわかりやすく説明した上で、ゼロトラスト実現までのステップについても紹介します。

 

※なお、ゼロトラストとは概念の集合体であるとされており、単一の考え方を指す言葉ではなく、「唯一の正解」が存在するわけではありません。つまり、組織や企業によって考え方が違う場合もあるということです。本記事に関しては、IPA(情報処理推進機構)NIST(米国国立標準技術研究所)などの公開資料を参考に作成しています(参考資料の一覧については、ページ下部に記載)。

目次

1, ゼロトラストとは?

ゼロトラストとは何か?用語の意味と基本的な考え方

ゼロトラストが注目される背景

ゼロトラストの必要性

2, ゼロトラストを構成する要素

ゼロトラストの5つの柱と対策の具体例、ソリューション

「自動化」の重要性

3, ゼロトラスト導入のメリット・デメリット

4, ゼロトラスト実現までのステップ

5, 最後に

6, 参考資料

ゼロトラストとは?

ゼロトラストとは何か?用語の意味と基本的な考え方

ゼロトラスト(Zero Trust)とは、「トラスト=信頼」をゼロにする、つまり、「何も信頼しない」ことを前提にしてセキュリティ対策を講じていく考え方のことを言います。具体的に言うと、ゼロトラストという概念においては、従来の境界型セキュリティでは「安全」と考えられていた社内ネットワークをはじめ、あらゆるデバイスやユーザー、アプリケーションなどを「信頼できないもの」とみなします。

ゼロトラストセキュリティのイメージ
「何も信頼しない」ことを前提にしたゼロトラストの考え方のイメージ

ゼロトラストセキュリティでは基本的に、「データや情報資産などへのアクセスがリクエストされたら、その都度リクエストを確認・検証し、安全性が認められた場合にのみアクセスを許可する」という方式を取ることで、重要なデータや情報資産を保護することを目指します。また、すべてのデバイス、ユーザー、通信、ネットワークを監視し、ログの収集・分析を行って脅威に備えることも求められます。こういったプロセスは、後ほど紹介するようなさまざまな製品やソリューション(ソフトウェアやシステム)を導入することで自動的に行います。なお、このようなゼロトラストの考え方を活用したサイバーセキュリティ計画は「ゼロトラストアーキテクチャ」と呼ばれています。

ゼロトラストが注目される背景

従来の境界型セキュリティ

これまで主流だった境界型セキュリティは、境界にファイアウォールなどを設置して内側と外側を遮断し、外部からの攻撃や内部からの情報流出を防止しようとするものでした。この考え方は、「信頼できないもの」が内部に入り込まないこと、また、内部には「信頼できるもの」のみが存在することを前提としています。境界型セキュリティの基本は、組織や利用者グループの内部に安全なネットワークを構築し、外部との接続を可能な限り制限することです。

ゼロトラスト注目の背景

このように、従来のセキュリティでは社外を安全でない領域、社内を信頼できる安全な領域とみなしていました。しかし近年、テレワークの普及やクラウド利用の増加などを背景に両者の境界が曖昧化しています。また、標的型メールや悪意を持つ従業員による内部不正など、境界型セキュリティでは防ぎきれない脅威も問題になっています。このような背景から、内部の脅威に対応するための新たなセキュリティモデルとしてゼロトラストが注目されるようになりました。

関連記事:「テレワーク用セキュリティポリシーって必要?想定すべき脅威とポリシーに含めるべき事項」

境界型セキュリティとゼロトラストセキュリティの違い
境界型セキュリティとゼロトラストセキュリティの違い

(※)リソース:データやシステム、デバイスなど、企業が保有するあらゆる資産のこと

ゼロトラストの必要性

ゼロトラストの必要性は、主に以下の3点に分けて考えることができます。

①クラウド利用時やテレワーク時の安全性確保

クラウド利用の普及により、多くの企業が社内だけでなく外部のクラウドサービス上でもデータを所有するようになっています。また、テレワークやハイブリッド勤務の広まりによって、従業員が社外から社内システムへアクセスする機会が増えています。このように、クラウドやテレワークを導入している企業の社内外の境界は曖昧化しており、従来の境界型セキュリティでは十分な安全性が確保しづらくなっています。さらに、テレワークの手段として広く使われるVPNは、社内ネットワークに不正に侵⼊するための手段として悪用される場合があるなど、セキュリティ上の問題を抱えています。こういった課題を解決するためには、社内外の区別なく、すべてを疑って認証・認可を行うというゼロトラストの考え方が有効です。

関連記事:「ISMSクラウドセキュリティ認証とは?認証基準や要求事項について解説」

②ネットワークが侵害された際の被害最小化

ファイアウォールやウイルス対策ソフトは、無敵の防御を提供してくれるわけではありません。また、近年ではフィッシング攻撃や標的型攻撃が増えており、認証情報を奪われたりマルウェアに感染したりする危険性が高まっている状況です。社内を「安全」とみなす従来型セキュリティにおいては、上記のような攻撃手段によって境界の防御壁をいったん突破されると、その後のラテラルムーブメント(※)を防止することは困難で、重要なリソースが不正アクセスを受けてしまう可能性が高いです。こういった事情から、社内ネットワークであっても信頼しないことを前提とするゼロトラストの概念を導入し、たとえネットワークが侵害されたとしても被害を最小限に抑えられるような対策を講じていくことが求められます。

 

(※)ラテラルムーブメント/水平移動:攻撃者が、侵入口となった地点からネットワーク内の別の場所に移動すること(例えば、マルウェアに感染したPCを侵入地点としてネットワーク上の別のPCやサーバーなどに感染を広げていく、など)

③内部不正対策

企業にとって脅威となるのは外部の攻撃者やマルウェアだけではありません。例えば、悪意を持つ従業員が不正に重要な情報を持ち出したり、第三者に企業システムの認証情報を提供したりする事態が起こらないとは限りません。こういった内部不正への対策において、従業員であっても信頼せず、動的に(※)認証・認可を行うというゼロトラストセキュリティは非常に効果的です。

 

(※)情報セキュリティにおいて「動的(dynamic)」という言葉は、状況や環境に合わせて変化する/させることが可能であるという意味で使われます。したがって、動的な認証・認可とは、一度アクセスを許可したことのあるユーザーやデバイスであっても、その振る舞いに応じて臨機応変にアクセスを許可/制限するような方式を指します。

ゼロトラストを構成する要素

ゼロトラストの5つの柱と対策の具体例、ソリューション

ゼロトラストセキュリティ実現に重要な要素として、以下の5点が挙げられます。(参考:IPA「ゼロトラスト移行のすゝめ」

 

①ID統制

②デバイス統制・保護

③ネットワークセキュリティ

④データ漏洩防止

⑤ログの収集・分析

 

では、それぞれについて詳しく見ていきましょう。併せて、関連するソリューションも紹介します。

①ID統制

信頼できるネットワークは存在しないというゼロトラストの概念においては、リソースへのアクセス権を、真に正当なユーザーのみに限定して付与することが大切です。そのためには、各ユーザーのID(名前、メールアドレス、所属組織、職種といったユーザーの属性情報)を適切に管理し、認証・認可を的確に行う必要があります。

具体的な対策例

・多要素認証を導入し、必要なユーザーのみに最小の権限でアクセス権を付与する

・各種クラウドサービス用IDおよびオンプレミス用IDを一元的に管理する

関連するソリューション

IDaaS(Identity as a Service):IDをクラウド上で管理するためのサービス。

クラウドサービスIDaaSの利用イメージ
クラウドサービスIDaaSの利用イメージ

②デバイス統制・保護

従来、デバイスのセキュリティ対策は境界型防御を前提としたウイルス対策ソフトの導入が中心でした。しかしゼロトラストにおいては境界型防御を前提としないため、デバイス単体での自立したセキュリティ対策が要求されます。また、企業オフィス内でのデバイス利用だけでなく、リモートでの利用も想定した対策が求められます。これらを踏まえ、管理すべきデバイスの洗い出し・保護・監視を行ったり、権限を持たないデバイスが重要なデータにアクセスしてしまうのを防いだりする必要があります。

具体的な対策例

・BYOD機器(従業員の私物でありながら、業務に使用されているデバイス)を含め、企業が管理すべきデバイスをすべて洗い出す

・すべてのデバイスが、セキュリティ設定のルールなど(ポリシー)を準拠した状態を確保する

・デバイスを常に監視し、脅威が検出された際に遅滞なく対応できるようにしておく

・デバイスの脆弱性を特定し、必要に応じてパッチを適用する

 

関連記事:「私物機器の業務利用『BYOD』のリスクとセキュリティ対策」

関連するソリューション

MDM(Mobile Device Management / モバイルデバイス管理):スマートフォンやタブレットなどのモバイルデバイスを管理するためのソフトウェアやシステム。

EDR(Endpoint Detection and Response):PCやスマートフォンなどのエンドポイント端末を監視し、脅威を検知した場合には迅速な対応を行ってくれるソフトウェア。

 

関連記事:EDRとは?EPPとの違いなど、導入前に知っておきたい基礎知識

③ネットワークセキュリティ

ゼロトラストの基本的な考え方の1つに、「ネットワークの場所に関係なく、すべての通信を保護する」というものがあります(参考:IPA「ゼロトラスト導入指南書」)。つまり、社内ネットワーク内での通信であっても安全とみなさず、企業所有でない他のネットワークからの通信と同じレベルで監視・保護を行うことが求められるということです。そのため、ゼロトラストにおいてはネットワーク単位でのアクセス認証ではなく、アプリケーション単位で認証を行うのが理想的です。また、シャドーIT(従業員が企業側に無断で使用しているクラウドサービス)への対策なども行う必要があります。

具体的な対策例

・アプリケーション単位で接続制御を行う

・すべての通信を暗号化する

・シャドーITを可視化・制限する

関連するソリューション

IAP(Identity Aware Proxy):Webアプリケーションとユーザーの仲介役となるプロキシ。

SWG(Secure Web Gateway):インターネットなど、外部へのアクセスを安全に行うためのクラウド型プロキシ。

CASB(Cloud Access Security Broker):クラウド利用の可視化と制御を行うためのソリューション。

④データ漏洩防止

ゼロトラストにおいてはすべてのデータが保護対象となるため、攻撃者や内部犯⾏者による重要情報やデータの持ち出しを防いだり、もしくは、持ち出されたとしてもデータを閲覧させないようにするための対策を行う必要があります。

具体的な対策例

・機密性の高さに応じたデータ分類やアクセス制御を行う

・データの保管場所を検討・決定する

・データの不正な取り扱いを防止する

・保管中/転送中のデータの暗号化を徹底する

関連するソリューション

DLP(Data Loss Prevention):機密性の高い情報の紛失や漏洩を防止するためのソフトウェアやシステム。

IRM(Information Right Management):文書ファイルやEメールなどを暗号化し、複製や編集などの動作を管理・制御するソフトウェア。

⑤ログの収集・分析

ゼロトラストの概念においては、「すべての資産の整合性とセキュリティ動作を監視し、測定する」ことや、「資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する」ことが求められます(参考:IPA「ゼロトラスト導入指南書」)。したがって、社内IT環境を構成する機器からログを収集・分析することでサイバー攻撃の早期検知や対応を行ったり、対策の検討を行ったりする必要があります。

具体的な対策例

・社内IT環境を構成する機器からのログ収集・可視化・分析を行う

関連するソリューション

SIEM(Security Information and Event Management):サーバーやネットワーク機器など、あらゆる資産からログを収集し、一元管理することができるセキュリティ製品。

「自動化」の重要性

こういった対策を人手で実施するのには無理がある上、作業効率を考えれば現実的ではありません。そのため、ゼロトラストにおいては運用の自動化が重視されています。上記のようなソリューションを活用してアクセスの認証・認可、ログ収集・分析などの作業を自動化し、不審な挙動が検知された際の初動対応(ネットワークの隔離やプロセスの中断など)を自動で行えるような体制を整えておくことが求められます。

ゼロトラスト導入のメリット・デメリット

ゼロトラストによって強固なセキュリティ体制を確保できることは大きなメリットですが、導入にコストがかかるなどのデメリットもあります。主なメリット・デメリットを以下の表にまとめました。

メリットデメリット
・データ漏洩・流出のリスクを下げられる
・不審な挙動や脅威の検知をしたらすぐに対応を実施できるため、被害を最低限に抑えることができる
・アプリケーション単位で認証・認可を行うため、ネットワークが侵害されたとしても、重要なデータへの不正アクセスなどは阻止できる可能性が高い
・クラウド利用やテレワークを、より安全に行えるようになる
・体制構築には新たなシステム・ソリューションが必要になるため、コスト・手間・時間がかかる
・認証が求められる場面が増えるため、業務効率が低下する可能性がある
・従業員以外のユーザー(顧客や取引先企業、サードパーティーベンダーなど)がリソースにアクセスする必要がある場合、権限付与や認証などの点で手間がかかる
・管理対象となる機器が増える

ゼロトラスト実現までのステップ

以下が、ゼロトラスト体制を実現するまでの大まかな流れです。

1:現状把握と目的の明確化

・自社のセキュリティにおける現状把握、課題の洗い出し

・現状を踏まえた導入目的の検討、明確化

 

※検討にあたっては、関係部署・部門、経営層の理解を得ることや、方針の擦り合わせが必要です。

2:設計・ロードマップ作成

・グランドデザイン(全体的な構想)の作成

・必要なソリューションの洗い出し、体制実現までのロードマップの作成

3:環境構築

・ソリューションの導入・実装

・管理すべきデバイスの洗い出し

・ゼロトラスト体制に関するルールの決定

4:PDCAサイクルを用いた継続的運用・改善

・アクセスポリシーや脅威検知ルールの見直し

・運用方式の改善

PDCAサイクル
PDCAサイクル

最後に

冒頭でもお伝えした通り、ゼロトラストには最適解があるわけではありません。つまり、理想的なゼロトラストセキュリティのあり方は各企業によって異なると言えます。また、ゼロトラストへの移行を早急に検討すべきなのか、あるいは現行のセキュリティ体制の強化を優先すべきなのかについては、取り扱う情報・データの種類やクラウド利用状況、テレワーク実施状況、企業規模などによって変わってきます。

ただ、どの企業においても同様なのは、ゼロトラスト以前に基本となるセキュリティ体制をしっかり構築しておくのが重要だということです。自社の現状を把握し、課題や必要な対策を特定した上で、ゼロトラストの導入をご検討ください。

セキュリティ体制構築支援

マキナレコードでは、「自社のセキュリティに関する課題が分からない」、「現状のセキュリティ対策を包括的に見直したい」、「インシデント発生時の体制を整備したい」といったお悩みや要望をお持ちの企業に向けて、セキュリティ体制構築支援サービスを提供しています。詳しいサービス内容については、弊社ホームページをご覧ください。

セキュリティ体制構築支援資料ダウンロードURL

弊社提供ソリューションの紹介:EDR

また、先ほどゼロトラストソリューションの1つとして紹介したEDR製品の提供も行っています。弊社が扱う「CyCraft AIR」は、政府や軍、数多くの大手企業に導入されているサービスです。インシデント発生時には即時に調査を開始して被害を最小限に抑え、平時には定期的に組織内のエンドポイントを監視することで、侵入防止やマルウェア感染防止などの「入口対策」をすり抜けた侵入を早期に発見します。CyCraft AIRについて詳しくは、こちらのページをご覧ください。

CyCraft説明資料ダウンロードURL

参考資料

[1] IPA「ゼロトラスト指南書」:https://www.ipa.go.jp/files/000092243.pdf

[2] IPA「ゼロトラスト移行のすすめ」:https://www.ipa.go.jp/files/000099778.pdf

[3] NIST “Zero Trust Architecture”:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

[4] 政府 CIO 補佐官等ディスカッションペーパー「政府情報システムにおける

ゼロトラスト適用に向けた考え方」:https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf

[5] デジタル庁「ゼロトラストアーキテクチャ適用方針」:

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630_resources_standard_guidelines_guidelines_04.pdf

筆者プロフィール

山口あさ子

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。