デジタル時代の今、企業のセキュリティ対策において「ゼロトラスト」という用語を目にする機会が増えています。社会や技術の変化によって、従来型セキュリティでは十分な安全性を保証しきれなくなり、新しいセキュリティの考え方「ゼロトラスト」が広がっているのです。
ここでは、従来型の境界型セキュリティが持つ課題に触れつつ、新しいゼロトラストの概念について解説します。
境界型セキュリティとは?
まず「境界型セキュリティ」という言葉に、なじみのある方も多いかと思います。これは一言でいうと、今まで行っていた「ネットワーク重視型のセキュリティ対策」のことです。新しいセキュリティ概念「ゼロトラスト」が登場したことで、従来のセキュリティを指すものとして「境界型」という言葉も広まりました。
境界型セキュリティでは、PCやサーバーを社内で結んでいるネットワークと、外部ネットワークとの「境界線(ペリメータ)」にファイアウォールやIPSなどのセキュリティ措置を施します。このように「社内と社外の接点で侵入を防ぐことで、“社内“の安全性を保つ」という発想に基づいて行われるセキュリティ対策です。従来型とはいえ、現在も基本的にはこの境界型セキュリティが多くの企業でITインフラを支えています。
境界型セキュリティの弱点
しかし現在、境界型セキュリティでは企業や組織のシステムや情報を安全に保つことが難しくなっています。
先述したように、境界型セキュリティは外部の脅威に対して対策を行う考え方です。そのため何らかの方法で悪意ある第三者が一度でも社内ネットワークに侵入した場合、そこから先は自由に社内の情報にアクセスできるようになってしまいます。
例えば、1人の社員が誤って偽サイトにアクセスし、自分のIDやパスワードなどの情報を外部へ漏らしてしまった場合を考えてみましょう。もし第三者がそのIDとパスワードを使って、正規のルートで侵入しようとしたら、それを防ぐことはできません。また、社員のPCがウイルス感染してしまった場合、社内でそれが感染拡大することを防ぐ手立ても境界型セキュリティにはありません。境界型セキュリティは、中に入ってしまえば、さらには例えば、一度侵入を許してしまったウイルスに対して無力なのです。
また現在はクラウドサービスの普及によって、顧客データなどの重要データが社外のネットワークに保存されることも増えています。そのため、社内ネットワークだけを保護する境界型セキュリティは、現代の企業形態や働き方にそぐわなくなってきています。
ゼロトラストとは
ゼロトラストとは、アメリカの市場調査会社であるフォレスター・リサーチのアナリストが提唱した、新しいセキュリティ概念です。これは基本的に性悪説的な発想です。つまり、従来の境界型セキュリティでは組織の情報資産を安全に守れなくなった状況を踏まえ、「何も信頼しない(=Zero Trust)」ことを前提にして、あらゆる攻撃に備えたセキュリティ対策を行います。
具体的には、利用するユーザー・端末・ネットワーク自体を常時確認し、さまざまな認証を挟みながら、アプリケーションや情報資産(データやコンテンツ)へのアクセスを制御します。このとき、例えば一度認証をクリアした端末であっても、マルウェアへ感染している可能性が浮上すると、即座にアクセス制限をかけます。このようにゼロトラストは、常にネットワーク全体の状態を監視することで、個々のデバイスごとへの適切な安全対応を実現しているのです。
ゼロトラストモデルでのソリューションには以下のようなものがあります。それぞれに対応した製品がベンダーから提供されています。
・EDR(Endpoint Detection and Response)
マルウェアなど脅威の侵入検知や、万が一侵入された場合の対応を行う
・EPP(Endpoint Protection Platform)
マルウェアを発見し、適切に駆除するなど、利用する端末を脅威から保護するプラットフォーム
・CWPP(Cloud Workload Protection Platform)
クラウドを横断し、システムを一元管理するプラットフォーム
・SOAR(Security Orchestration, Automation and Response)
セキュリティ対策の自動化支援
・IAM(Identity and Access Management)
ユーザー、端末などを識別、認証した上で、誰にどのような権限を与えるかを管理するシステム
海外の先進的な企業はゼロトラストへのシフトを進めており、GoogleやMicrosoft、Symantecなどがゼロトラストに移行しています。日本国内の企業は、まだ多くの企業が境界型セキュリティを使っていますが、ゼロトラストへの移行も確実に進み始めています。それに伴い、導入支援サービスなども提供されるようになりました。政府機関でもゼロトラストへの移行を検討しており、2021年には実証実験を開始する予定です。
ゼロトラストが注目される背景
ゼロトラストは10年前に提唱された概念ですが、ここ数年で急激に注目度が高まっています。その理由は主に3つあります。
まず大きいのは、従来型のネットワークを保護する対策法では防げないサイバー犯罪の増加です。
例えば、他者になりすましてウイルスつきのメールを送付する「標的型メール攻撃」では、取引先の顧客名や、取引内容に関する件名を用いるなど、手段が巧妙化しています。
ほかにも、特別定額給付金の申請サイトを模したフィッシングサイトなどは、本物と見紛うような出来になっており、気づかずにこれらの偽サイトへ社内からアクセスしてしまうと、そこからウイルス感染を引き起こす恐れが生じます。
このような高度化したサイバー攻撃を防ぐためには、外部からの脅威を防ぐだけでなく、社内のデバイスやネットワークを常に監視する必要があるのです。
次に、内部不正や人的ミスによる情報漏えいが近年増加傾向にあることです。2014年に起きたベネッセの顧客情報漏えい事件などは、社会的影響力も大きく、テレビでも取り上げられました。従来の境界型セキュリティでは、社内でアクセス許可を出した端末の監視などは常時実施しているわけではないため、防止が非常に困難な事件でした。
上記2つに加え、企業のクラウドサービス利用が増加したことも要因となっています。クラウドサービスでは前述のように必要なデータをイントラネットの外部に保存することになります。そのため、「内部=安全、外部=危険」という基本発想の境界型セキュリティでは、クラウド時代に対応できなくなっているのです。
その上、新型コロナウイルスの影響によりテレワークが増加しました。テレワーク中の従業員は、スマートフォンやタブレットなど多様なデバイスでさまざまな場所から、社内ネットワークのみならず、クラウド環境へアクセスします。こうした環境の変化により、「疑わしいものが社内に入り込んでいる」という前提でセキュリティ対応を実行し続けるゼロトラストが必要とされるのです。
ゼロトラスト・セキュリティのメリット
企業が今、ゼロトラスト・セキュリティを導入するメリットとして、以下3つが挙げられます。
安全性の担保
ゼロトラストでは、認証された正当なユーザーと端末だけがデータにアクセスできます。重要なことは、社外だけでなく社内からのアクセスにも、きちんと認証ステップを要求する点です。これは、内部不正によるデータの流出対策になることはもちろん、マルウェアや不正アクセスによる情報漏えいの防止にもなり、社内情報の保全を徹底します。
利便性の向上
ゼロトラストでは制御・権限管理自体が複雑になりすぎ、人の手では運用できません。しかしそのため、むしろ制御・管理が自動化されており、従来のセキュリティ機器のような複雑な設定や煩雑な管理などが不要となりました。IT担当者の負担軽減にもつながっています。
もちろん、実際にネットワークを利用する従業員にとっても高い利便性を発揮します。シングルサインオンなどに対応し、個人が複数のパスワードを保管・運用する必要がないからです。従業員1人が、1つのパスワードでさまざまな機能を安全に利用できるため、効率的な業務遂行が可能です。さらに、そのような自動化された最新の職場環境を企業がアピールすれば、人材不足解消にもつながるでしょう。
テレワーク導入の促進
社内・社外問わずにアクセス認証を行うゼロトラストは、リモートワーク環境を安定させることができます。従業員が使用している端末の状態を監視し、ログも常時管理することで、各個人の業務環境を守ります。これは従業員一人ひとりの安心感にもつながり、かつ、社会でのテレワーク促進や多様な働き方を支えることに直結するでしょう。
ただし今後、より多くの企業がテレワークを導入していくと、それに伴ってVPN利用者数の増大が起こる、と懸念されています。VPN利用者数が増大すると、個々の回線速度が低下してしまうのです。つまりVPNに依存せず「一定の回線速度を保てる、ゼロトラストの導入方法」を考えることが、企業の課題となってくるでしょう。
新しいセキュリティ発想へ移行することに不安を感じる方は多いでしょう。しかしゼロトラストについて、事前にしっかり理解し、準備しておくことで、後のリスクを最小限に抑えることが可能です。今すぐに導入するわけではなくても、ここでまとめたゼロトラストの本質を参考に、今後のセキュリティ対策の立案・検討へつなげてみてください。
まとめ
ゼロトラストは、時代の流れに沿ったセキュリティ概念です。働き方が多様化し、クラウドサービスの利用が増え、テレワークも進む今の世の中にマッチした次世代型のセキュリティ概念であるといえます。事実、大手企業や先進的なIT企業から導入されはじめています。
何を守る必要があるのかをはっきりとし、「何も信頼しない」ことを前提にした情報、端末、ユーザー保護の対策は、クラウド利用が前提となるこれからのセキュリティ対策で、今後ますます主流になっていくでしょう。
