オンライン相談
近年注目されているセキュリティ対策として「ゼロトラストセキュリティ」があります。コロナ禍に比べると、耳にする機会が減った印象のあるゼロトラストですが、その理由としては、ゼロトラストというキーワードが抽象的であるためよく理解されていないことや、具体的なセキュリティ製品とどのように結び付くのか分かりにくいことが挙げられます。本記事では、そんなゼロトラストについて分かりやすく解説していきますので、ぜひ最後までご覧ください。
【1】ゼロトラストとは?境界型セキュリティとの違い
ゼロトラストとは?考え方を知る。
ゼロトラストとは、社内の重要な情報資産やシステムにアクセスするすべてのデバイスやアプリケーションを信頼せずに、すべてのノードで検証・認証を行うことで脅威を防ぐというセキュリティの新しい考え方です。
2010年にアメリカのリサーチ会社であるForrester Research社のジョン・キンダーバーグ(John Kindervag)氏によって「ゼロトラストモデル」という言葉が提唱されました。
また、2022年6月に独立行政法人情報処理推進機構(以下IPAとします)が公開した「ゼロトラスト移行のすゝめ」では、以下のように定義されています。
ゼロトラストは、これまでの「境界内部は信頼できる領域で、境界外部は信用できない領域である」という考え方ではなく、「たとえ境界内部であっても無条件に信用せず全てにおいて確認し認証・認可を行う」という考え方に基づいて社内の情報資産を守る概念である。
(参考サイト:IPA「ゼロトラスト移行のすゝめ」)
では、境界型セキュリティとは?
これまでのセキュリティモデルは、境界型セキュリティと呼ばれ、ネットワークの内と外を分ける「境界」を設定し、境界内部(社内)からのアクセスはすべて信頼するという考え方です。
具体例としては、境界にファイアウォールやIPSなどのセキュリティ措置を施し、社外からのアクセスにはVPNを利用することでセキュリティを担保します。重要な情報資産は境界内部にある前提であれば、非常に高いセキュリティ効果を発揮します。
しかし、昨今の急速な業務システムのクラウドシフトやテレワークの普及によって、境界型セキュリティでは万全なセキュリティ対策が困難になってきました。
【2】ゼロトラストが求められる背景
現在は、多くの企業でリモートワークの導入が進み、社用PCを自宅などの社外で利用する機会や、BYODなど個人が所有するPCで社内システムへアクセスする機会が増えました。
また、クラウドサービスの利用も増加しており、重要な情報資産をクラウド上に保存するといったケースも多くなっています。
それにより、社内・社外の境界線が曖昧になり、境界型セキュリティでは万全なセキュリティ対策が困難になってきました。
ゼロトラストでは、利用するアカウントやデバイス、ネットワーク自体を常時チェックし、さまざまな認証を行うことで情報資産へのアクセスを制御します。
例えば一度認証済みのデバイスであっても、マルウェアへ感染している可能性がある場合は、即座にアクセス制限をかけます。
ゼロトラストは、常にネットワーク全体の状態を監視することで、個々のデバイスごとに適切な対応をすることができるため、従業員が時間や場所を問わずに働く「多様な働き方」を実現することが可能です。
【3】ゼロトラストのメリット・デメリット
先ほども述べたように、ゼロトラストには以下のようなメリットが挙げられます。
メリット
- 多様な働き方の実現
社内外問わず、テレワークなど社外からの通信であってもセキュリティを担保することができるため、場所・デバイス、通信環境を問わず安心して利用することができます。 - セキュリティレベルの強化
ゼロトラストでは、デバイスやネットワーク、アプリケーションなど様々な層でセキュリティ対策を実施し、すべてのチェックポイントで認証・検証を行うため、より強固なセキュリティを実現することが可能です。
これまでクラウドサービスのセキュリティに懸念があり利用を進めることができなかった企業に関しては、ゼロトラスト化することでクラウドサービスの利用を後押しする効果もあります。 - 運用工数が軽減
ゼロトラストの実現にはクラウド型のセキュリティサービスを利用することが多いです。各セキュリティを一元管理できるサービスもあるので、シンプルな運用を継続することが可能です。
ゼロトラストには、デメリットもいくつか存在します。
デメリット
- ログインに手間がかかる
ゼロトラストでは、システムログインのたびに認証を行う必要があります。
また、2段階認証や多要素認証などより安全性の高い認証方式を利用することで、セキュリティは強固になりますが、こまめに認証し直す必要がありログイン状態を維持する手間が発生します。 - 導入のハードルが高い
ゼロトラストではデバイスやネットワーク、アプリケーションなど様々な層でのセキュリティ対策を実施する必要があるため、IDaaSやEDRなど複数サービスを導入する必要があります。あまり重要度の高くない情報資産に対して、過剰にセキュリティ対策を徹底してしまうと生産性や利便性を損なうことが考えられるため、どのサービスを導入するか慎重に検討することが求められます。
【4】まとめ ゼロトラストと境界型セキュリティを組み合わせて、万全なセキュリティ対策を
ゼロトラストの実現だけが万全なセキュリティ対策に繋がるわけではありません。ゼロトラストセキュリティと境界型セキュリティにはそれぞれの強みがあるため、自社の業態や勤務形態に合ったセキュリティ対策を組み合わせることで、サイバー攻撃に対する防御力を高めていくことが重要です。
【5】おまけ ISM CloudOneで行うエンドポイントのセキュリティ対策
IPAが公開している「ゼロトラスト移行のすゝめ」では、多様な働き方が求められる現代において、デバイス側からの制御や統制が必要と言われています。クオリティソフトが提供しているクラウド型のエンドポイントセキュリティサービス「ISM CloudOne」には、「自動脆弱性診断」機能を搭載しており、OSのセキュリティパッチが更新されていない、ソフトウェアのバージョンが古く脆弱性のあるバージョンを使っているなど、セキュリティホールがある端末を可視化します。
また、脆弱性が発見された場合は、独自のクラウドストレージを利用し、様々な環境下にあるPCに最新のセキュリティパッチを配布することで、エンドポイントのセキュリティを保ちます。
