ゼロトラストとは?新しい時代のネットワークセキュリティについて徹底解説
企業のネットワークのあり方に変化が訪れています。社外からネットワークにアクセスする機会が増え、クラウドを利用して外部にデータを保存することもあり、ネットワークの境界が曖昧になっています。 ここでは、そんなネットワークを守るための新しい考え方である「ゼロトラスト」について解説します。ゼロトラストを実現するには、様々な要素を組み合わせて企業に最適な体制を確立しなければなりません。ゼロトラストを実現するための要素や注意点についても解説します。
- ゼロトラストとは
- ゼロトラストを実現するための要素
- ゼロトラスト導入時の注意点
- まとめ
ゼロトラストとは
ピンチアウトで拡大
ゼロトラストとは、ネットワーク環境における「内部」「外部」という考え方を捨て、社内外問わず全ての通信を文字通り「信頼せず」に安全性を検証して脅威を防ぐ、という考え方です。ゼロトラストは、従来のモデルでは対応しきれなくなった現代に求められる、新しいセキュリティモデルです。ここでは、ゼロトラストの概要と、ゼロトラストが必要とされるようになった背景、ゼロトラストのメリットについて解説します。
ゼロトラストとは
ゼロトラストとは、文字どおり「全てを信頼しない」という考え方に基づいたセキュリティモデルです。従来のモデルでは、企業内部の通信は信頼できるが、外部からの通信は信頼できない、という考え方を基に、内外の境界にファイアウォールなどのセキュリティ対策を実施する、というセキュリティが一般的でした。しかしゼロトラストは、ネットワークの内外問わず全ての通信を信頼せず、安全性を検証することで強固なセキュリティを実現する、というセキュリティモデルです。従来のセキュリティ対策で実施されていたものよりも厳密な認証や監視を行います。
例えば、従来のセキュリティモデルを採用すると、企業の外部から企業内のネットワークにVPN接続でアクセスする場合、IDとパスワードだけで認証が行われることも珍しくありません。しかし、ゼロトラストに基づくと、さらに以下のような項目について認証を実施する必要があります。
・接続しようとしているデバイスは正規のものか
・デバイスはマルウェアに感染していないか
・正規のユーザーによってアクセスが試みられているか
・普段と同じ場所からアクセスが試みられているか
これらの項目についても認証を行い、問題がなかった場合にのみ接続が許可されます。ゼロトラストは安全性の厳密な検証を行うことで、より強固なセキュリティを確立するためのモデルなのです。
ゼロトラストが必要とされる背景
ゼロトラストが新しいセキュリティモデルとして注目されている背景には、働き方の変化やクラウドサービスの普及、内部不正の増加といった事情があります。こうした事情の中で、従来のセキュリティモデルの不十分さが指摘されています。従来のセキュリティモデルは、ネットワークに内外の境界を設け、その境界に対してセキュリティ対策を実施することで、外部からの脅威を防ぐ「境界型セキュリティモデル」でした。しかし、昨今の事情により、ネットワークの「境界」という概念がそもそも曖昧なものになりつつあります。
新型コロナ対策を発端に人々の働き方が変化し、リモートワークや在宅勤務など、以前とは異なる働き方が推奨されています。企業の外部から内部のネットワークにアクセスし、社員が各々のデバイスから業務に携わる機会も増えています。そのため、社内ネットワークとの区別が曖昧になり、従来のセキュリティモデルでは対応しきれなくなっているのです。また、社外からの安全な接続を確立するために導入されている「VPN接続」も、問題点が指摘されています。IDとパスワードのみで認証を行っているためセキュリティに不安が残る点や、多くの社員が同時にVPN接続を行うことによるトラフィックの増加などが問題視されており、「脱VPN」も要求されています。
クラウドサービスの利用が増えたことで、社外にデータを保有し、社外のサービスを用いて業務を遂行する機会も増えつつあります。従来の境界型セキュリティモデルでは、社外にあるデータを保護しきれず、情報資産の管理に不安が残ります。
こうした背景があり、従来の「境界型セキュリティモデル」から、「ゼロトラスト」への転換が求められているのです。
ゼロトラストを実現するための要素
ピンチアウトで拡大
ゼロトラストはあくまでも、「全てを信頼しない」という考え方に基づくセキュリティモデルの1つです。そのため、実際にゼロトラストを実現するには多くのセキュリティソリューションが必要となります。ここでは、ゼロトラストを実現するために必要な要素として、代表的なものを4つご紹介します。
・ネットワークセキュリティ
・認証システム
・クラウドセキュリティ
・エンドポイントセキュリティ
それぞれについておすすめのソリューションも紹介するので、選定の参考にしてみてください。
ネットワークセキュリティ
ネットワークセキュリティは、ユーザーから社内アプリ、クラウドへの安全なアクセスを実現するためのセキュリティです。従来のセキュリティモデルとは異なり、ゼロトラストではネットワークの内外問わず全ての通信を検証します。そのため、ネットワーク単位でのセキュリティよりも、アプリケーション単位での認証が推奨されます。
ゼロトラストのネットワークセキュリティに必要な機能としては、外部サイトやクラウドサービスへのアクセスを安全に行うための「SWG」や、拠点間のセキュアな通信を確立する「SD-WAN」などが挙げられます。
ゼロトラストのネットワークセキュリティを実現するためにおすすめのソリューションの1つが、CloudFlareの「Cloudflare Access」です。「Cloudflare Access」は、アプリケーション単位での認証を実施することで、社内のインフラやクラウドサービスへのセキュアな接続を確立します。既存システムの設定変更やスケーリングなどを考慮せずに利用できるため、導入・管理コストをおさえられるというメリットもあります。
[glossary_exclude]https://cn.teldevice.co.jp/product/cloudflare_access/[/glossary_exclude]
認証システム
ゼロトラストは、全ての通信の安全性を検証することで強固なセキュリティを構築する、という考え方に基づいたモデルです。そのため、ユーザー認証はゼロトラストの大切な構成要素の1つです。
セキュアな認証システムを実現するためのソリューションとしては、クラウド上で認証情報を管理する「IDaaS」が代表的です。また、認証によるセキュリティ効果を高めるには多要素認証が必要となるでしょう。IDとパスワードによる認証だけでなく、生体認証やデバイス認証など、複数要素による認証が求められます。また、利便性との両立のために、一つの認証情報で複数のサービスを利用できるシングルサインオンを活用することもポイントです。
ゼロトラストの認証システムを実現するためにおすすめのソリューションとして、Okta社の「Okta Identity Cloud」が挙げられます。認証情報の一元管理や各種クラウドサービスとの連携、セキュリティの強固さなどが魅力のソリューションです。「Okta Identity Cloud」は、クラウド型のID管理・統合認証サービスで、多要素認証とシングルサインオン、IDの効率的な管理を実現できます。
[glossary_exclude]https://cn.teldevice.co.jp/product/okta-identity-cloud/[/glossary_exclude]
クラウドセキュリティ
ゼロトラストの背景には、クラウドサービスの普及という事情があります。そのため、クラウドサービスを安全かつ効率的に利用するためのソリューションも大切です。クラウドセキュリティの代表としては、クラウドサービスの利用状況を可視化し、安全な利用のための制御を行う「CASB」や、IaaSやPaaSなどのクラウドサービスの設定にミスがないかチェックする「CSPM」があります。最近では、企業で把握していないクラウドサービスを社員が利用する「シャドーIT」も問題となっており、サービス管理の重要性も高まっています。
ゼロトラストのクラウドセキュリティを実現するためにおすすめのソリューションとして、NetScope社の「Netskope for IaaS」や、「Next-Gen SWG」が挙げられます。クラウド利用に欠かせないCASBやCSPMだけでなく、ネットワークセキュリティに重要なSWGも提供されています。
[glossary_exclude]https://cn.teldevice.co.jp/product/netskope_iaas/[/glossary_exclude]
[glossary_exclude]https://cn.teldevice.co.jp/product/netskope_swg/[/glossary_exclude]
エンドポイントセキュリティ
「エンドポイント」とは、ネットワークの終端、つまり接続されている端末を指します。エンドポイントセキュリティは、端末を保護し、端末からのマルウェア感染をはじめとする脅威を防ぐためのしくみです。
ゼロトラストのエンドポイントセキュリティを実現するためにおすすめのソリューションとして、LogRhythmの「NextGen SIEM Platform」が挙げられます。「NextGen SIEM Platform」は、エンドポイントからネットワーク、クラウドまで環境全体を監視し、リアルタイムに脅威を検知するSIEMで、マルウェア感染やサイバー攻撃の被害を最小限に抑えるしくみとして注目されています。
[glossary_exclude]https://cn.teldevice.co.jp/product/logrhythm-nextgen-siem-platform/[/glossary_exclude]
ゼロトラスト導入時の注意点
ピンチアウトで拡大
ゼロトラストの導入はセキュリティ体制や企業のしくみを大きく転換させる可能性があり、注意すべきポイントがいくつかあります。ここでは、ゼロトラスト導入時の注意点として、以下の3点について解説します。
・利便性とセキュリティの両立
・社内ルールや情報資産に合わせた設計
・管理体制
利便性とセキュリティの両立
ゼロトラストは、全ての通信を信頼しない、という考え方に基づいたセキュリティモデルです。そのため、全ての通信に対して安全性の検証が必要となり、業務上の利便性が悪くなってしまう恐れがあります。シングルサインオンなど、利便性を高められるソリューションも利用して、セキュリティとの両立を目指すことが大切です。
社内ルールや情報資産に合わせた設計
ゼロトラストを導入する際には、社内全体のシステム環境やセキュリティ対策を見直さなければなりません。従業員の業務負荷や社内ルール、既に自社で導入しているシステムとの相性や保持しているデータなど、考慮すべきことは多数あります。ゼロトラストの導入を検討する場合は、ベンダーへの相談もふまえながら慎重な設計が求められます。
管理体制
ゼロトラストを導入する際、新しく管理体制を確立する必要があります。管理コストを下げるために、管理の手間が少ないソリューションや、連携しやすい同一ベンダーのソリューションを導入する、といった選択が大切です。
もちろん、ゼロトラストの導入は簡単にできるものではありません。一斉に新しいソリューションを導入するのではなく、情報資産の優先順位や管理業務の負荷を考慮し、試行錯誤しながらゼロトラストを実現していく必要があります。
まとめ
ピンチアウトで拡大
この記事では、ゼロトラストについて解説してきました。ゼロトラストは、ネットワークの全ての通信を信頼しない、という考え方に基づいたセキュリティモデルです。クラウドサービスやリモートワークの普及により、従来の境界型セキュリティでは対応しきれなくなってきた中で、新しいモデルとして注目が集まっています。
ゼロトラストを実現するには、ネットワークセキュリティやクラウドセキュリティなど、複数の要素やセキュリティソリューションの導入が必要です。利便性との両立や社内ルールを意識した設計など、導入時に注意すべきポイントもあり、試行錯誤しながら徐々に理想的なセキュリティ体制へと近づけていくことが大切です。
ゼロトラストを実現するためにおすすめのソリューションの1つに、Cloudflareの「Cloudflare Access」があります。アプリケーション単位での認証が設定でき、社内インフラだけでなく各種クラウドサービスとの連携も可能です。VPN機器を必要としないため、セキュアなリモートワークを実現するための脱VPNにも効果的です。
[glossary_exclude]https://cn.teldevice.co.jp/product/cloudflare_access/[/glossary_exclude]
東京エレクトロンデバイスでは、ほかにもゼロトラストの実現に役立つ各種ソリューションを提供しています。ゼロトラストによるセキュリティ対策を検討している企業の方はぜひご参考ください。
