ゼロトラストセキュリティに必要な7つの考え方とその具体例

今回は、ゼロトラストモデルの実現に必要な7つの基本的な考え方のポイントと、ゼロトラストモデルを実現するために必要なセキュリティ製品についてご紹介します。
ゼロトラストでセキュリティを強固にするとともに、多様な働き方を支援するセキュリティ体制を作るための参考にしていただければ幸いです。

1:ゼロトラストとは

ゼロトラストとは、社内ネットワークやインターネットといったネットワークの境界にとらわれずデータにアクセスするたびに認証・検証を実施することで脅威を防ぐというセキュリティの新しい考え方です。これまでのセキュリティモデルは境界型セキュリティと呼ばれ、ネットワークの内(社内)と外(社外)を分ける「境界」を設定し、境界内部からのアクセスはすべて信頼するという考え方でしたが、昨今の急速な業務システムのクラウドシフトやテレワークの普及によってゼロトラストが注目されるようになりました。
ゼロトラストについての詳しい解説はこちら>>

そんなゼロトラストの実現にはセキュリティソリューションの導入が不可欠ですが、2020年8月、NIST(米国国立標準技術研究所)がゼロトラストを実現するために参考となるガイドライン「NIST SP800 207 Zero Trust Architecture(以下、NIST SP800-207)」を発行しました。

2:「NIST SP800-207」ゼロトラストモデルの7つの考え方

    1. すべてのデータソースとコンピューティングサービスをリソースとみなす
      会社保有のPCだけでなく、個人保有のスマートフォンや周辺機器、クラウドサービスもリソースとしてみなします。

 

    1. ネットワークの場所に関係なく、すべての通信を保護する
      「社内は安全」といったように信頼する領域をつくらず、全てのアクセスに同等のセキュリティ対策を講じます。

 

    1. 企業リソースへのアクセスをセッション単位で付与する
      従来のネットワークアクセスではパフォーマンスを優先しており、一度アクセスが許可されると一定期間キャッシュしていましたが、ゼロトラストでは個々のセッションやリクエストごとに許可が求められます。

 

    1. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション・サービス、リクエストする資産状況、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
      IDとパスワードの組み合わせや証明書の確認など、あらかじめ設定されたポリシーによりアクセス許可を決定するのではなく、アカウント情報やソフトウェアのバージョン・パッチ適用などさまざまな属性からリスクを判定し、アクセス許可を行います。

 

    1. すべての資産の整合性とセキュリティ動作を監視し、測定する
      組織内のデバイスのソフトウェアバージョンやパッチの適用状況など認証に必要な情報を収集して監視することで、セキュリティの脆弱性が放置されていないことを確認します。

 

    1. すべてのリソースの認証と許可を行い、アクセスが許可される前に厳格に実施する
      IDとパスワードが正しくても、長期間アクセスがなかったり、はじめて使うデバイスやブラウザだったりした場合に、再認証を求めるなど、厳密に認証することが必要です。金融機関等が導入しているリスクベース認証がこれに該当します。

 

    1. 資産、ネットワークのインフラストラクチャー、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
      リソースのセキュリティ状態、ネットワークトラフィック、アクセス要求に関するデータなどを収集・分析してセキュリティ向上を行う事を求めています。

 

参考:IPA「ゼロトラスト以降のすゝめ」

3:ゼロトラストを実現する具体的な製品例

ゼロトラストを実現するために必要なセキュリティ製品の一例をご紹介します。

製品 概要
IAM製品 組織内で利用されている複数のIDの認証・認可を一元管理する製品です。
個人情報保護や情報漏洩防止を効率的に実現するとともに、スマートデバイスやクラウドサービスの安全な利用を促進するサービスとして注目されています。
ITAM製品 組織内のあらゆるIT資産の数や利用状況を把握、管理する製品です。
クオリティソフトでは、クラウド型のIT資産管理ツール「ISM Cloudone」をご提供しており、社内外を問わず、テレワークや営業先など持ち運び用端末など遠隔地にあるPCやスマートデバイスもクラウドでスムーズに一元管理できます。「ISM Cloudone」についてはこちら>>
NGAV製品 マルウェア感染予防(事前対策)に特化した製品です。端末内にマルウェアを検知するとマルウェアの駆除や隔離を実施します。
クオリティソフトでは、5つのエンジンで未知の脅威をブロックしてウィルスやマルウェアへの早期対処を可能とする「ふるまい検知」をご用意しております。「ふるまい検知」についてはこちら>>

その他にも、ネットワークセキュリティを強化する製品であれば、SWG (Secure Web Gateway)やCASB (Cloud Access Security Broker)などが挙げられます。
ゼロトラストは複数の製品を組み合わせて実現していく必要があるため、社内で問題視されているセキュリティ課題のなかで、優先度の高いところから段階的に導入を進めていくことをお勧めします。

4:ゼロトラストモデルの実現に向けて

コロナ禍のテレワーク普及などによって情報セキュリティのバズワードとなったゼロトラスト。今回は、IPAでも紹介されている、「NIST SP800-207」のゼロトラストモデルの7つの考え方と、ゼロトラストセキュリティを実現するための製品についてご紹介しました。繰り返しになりますが、ゼロトラストはセキュリティ対策の概念でありソリューションではないため、どの製品を自社に導入するか決定する必要があります。
そのためには、社内で抱えるセキュリティ課題を整理し、実現すべき項目の洗い出しから始めることが重要です。

クオリティソフトでは、IT資産管理を含めたエンドポイントセキュリティの課題を解決するクラウド型サービスを提供しております。
製品資料や導入事例ほか各種お役立ち資料もご用意しておりますので、興味のある方はぜひこちらからご覧ください。