現在、クラウド型サービス（SaaS※、PaaS※、IaaS※）の利用や、モバイル端末の利用、BYOD（※）の活用など、会社の情報は社内にとどまらず、社外に置かれることが増えてきています。

そういった環境下でのセキュリティ概念として、“ゼロトラストセキュリティ”という言葉が脚光を浴びております。

「ゼロトラスト？？聞いたこと無いな・・・」
「ゼロトラスト・・・聞いたことあるけど説明しろと言われたら・・・」
「あー、、ゼロトラストね。何だっけ？」

今回は、そういった方向けの記事となります。
基礎的な内容となりますので、玄人の方には少し簡単な内容かもしれません。

新型コロナウィルスを契機として、テレワークなどの社外から社内のサーバなどへのアクセスも増えている中、従来の会社内部と外部を分けたセキュリティ対策では対応が困難になってきております。

そもそも、悪意あるものは必ずしも会社の外にしか存在しないわけではありません。
内側にも存在します。

そういった会社の中と外という境界にとらわれることのないセキュリティ対策が、ゼロトラストセキュリティです。

今回は、ゼロトラストの概要やその定義について解説していきます。

※SaaS：Software as a Service（必要な機能を必要な分だけサービスとして利用できるソフトウェア・提供形態）
※PaaS：Platform as a Service（必要な機能を必要な分だけサービスとして利用できるプラットフォーム・提供形態）
※IaaS：Infrastructure as a Service（必要な機能を必要な分だけサービスとして利用できるインフラ・提供形態）
※BYOD：Bring Your Own Device（社員が個人所有のデバイスを会社に持ち込んで業務で使用すること）

ゼロトラストとは？

ゼロトラストとは“境界のないセキュリティ”と呼ばれるセキュリティモデルのことを指します。
“境界の無いセキュリティ”という名の通り、全ての通信を信頼せず、攻撃されることを前提としたセキュリティ対策を実施します。

具体的には、
・全ての通信の暗号化
・認証・認可の強化
・全ての通信の監視
などが挙げられます。

皆さまの企業でも、情報資産の保管場所がオンプレミス環境から、IaaSやSaaSのサービスを活用したクラウド環境にシフトしているのではないでしょうか？
クラウドサービスは、すべてインターネットを利用するため、これまで以上にネットワーク通信のセキュリティを強化していく必要があるのです。

ゼロトラストの背景

そもそも、ゼロトラストという概念は、2010年にアメリカのフォレスターリサーチ社という調査会社が提唱しました。
その後、2017年にアメリカのグーグル社がゼロトラストに移行したことを受け、より注目が集まってきております。

企業のネットワーク環境は、従来のオンプレミス環境に限る構成から、オンプレミス環境とクラウド環境を相互接続する構成になり、社員は社内外からモバイルデバイスやノートパソコンなどを利用して、アクセスするといった利用シーンが増加しています。

ネットワークの出入り口が限られた場所にしか存在しなかった時代に比べて、現在ではあらゆるデバイスの通信がネットワーク上を行ったり来たりしているのです。
情報資産も社内だけでなく、クラウド上に置かれることが一般的になってきております。

日本でも新型コロナウィルスを契機にテレワーク化が一気に進んだため、セキュリティを見直す動きが活発化しておりますが、アメリカは、その国土の大きさからリモートワークが浸透しており、数年前より今の日本と同じ様な悩みを抱えていたのです。

そのような環境下で提唱されているのがゼロトラストセキュリティです。

ゼロトラストの定義と導入時のポイント

ゼロトラストの定義

ゼロトラストを定義するものとして、NIST（※）によるゼロトラストの7つの基本原則があげられます。
※NIST：米国国立標準技術研究所

NIST「ゼロトラストの7つの基本原則」https://csrc.nist.gov/publications/detail/sp/800-207/final （英語原文）

ゼロトラストの導入時のポイント

7つの基本原則をもとに、ゼロトラストネットワークを導入するには、次の４つのポイントがあります。

１．認証、認可
　　利用者の特定およびリソースにアクセスするための権限付与
２．クラウド
　　SaaSなどクラウド環境の利用を想定としたセキュリティ対策
３．デバイスセキュリティ
　　サイバー攻撃の踏み台や、デバイスが脅威にさらされることを防ぐため
　　デバイスごとのセキュリティ対策
４．ログ可視化
　　あらゆるデバイスのシステムログなどから脅威情報、脆弱性情報を収集

すでに対応しているポイント、まだ対応できていないポイントがあるかもしれません。
今の時代はこれらを踏まえて企業セキュリティをみていく必要があるのです。

従来のセキュリティモデルとこれからのセキュリティモデル

最後に、従来のセキュリティモデルと何が違うのかについて解説します。

・従来：境界型セキュリティモデル
・これから：ゼロトラスト型セキュリティモデル

境界型セキュリティモデル

　・社内ネットワークから社内の情報資産にアクセスする
　・ネットワークの境界（壁）を守ることで社内は安全である
　・社員は全員信頼できる

従来は、社内と社外のネットワークをつなぐ境界点のセキュリティ担保がポイントだったため、「境界型セキュリティモデル」と呼ばれていました。

境界型セキュリティは、外部と内部の境界点にファイアウォールなどで防御壁を作り、その防御壁を管理し、防御壁の内部にいる社員・デバイスは基本的に信頼するといった考え方・モデルのことを指します。

しかし、度々ニュースにもなっている、標的型攻撃によって社員のアカウントIDとパスワードが取られた場合、乗っ取られた内部のアカウントが信頼されてしまうため、対処が困難となってしまいます。

これが、従来型セキュリティの限界です。

ゼロトラスト型セキュリティモデル

　・いつでも、どこからでも、社内外の情報資産にアクセスできる
　・デバイス単位、アプリケーション単位で安全かどうかを評価する
　・信頼できない社員もいる

対して、繰り返しになりますがゼロトラストセキュリティは、すべてのネットワーク通信を信じず、攻撃を受けることが前提とされる考え方です。

デバイスやアプリケーションごとの単位で認証、デバイスの状態の管理、制御を行うため、たとえ社員のアカウントIDとパスワードが乗っ取られたとしても、多要素認証（※）などの仕組みを用いることで、情報資産が盗まれることを防ぐことが可能です。

※多要素認証について詳しくはこちら

従って、テレワークやワーケーションなどが浸透し、BYODなど、業務に利用する端末も多様化している現代では、ゼロトラストセキュリティの考え方が重要となります。

しかしながら、コスト面など鑑みて、一気に採用するのは現実的ではないでしょう。
できる限りコストを抑えつつ、段階を踏んでゼロトラストセキュリティに移行していきたいと考えると思います。

ポイントとなるのは、組織の守るべき資産に対し、今は社外だけではなく、社内ネットワークや社内端末からの攻撃にも注意を払う必要が出てきたこと、また、そのリスクをどう考えるか、どのような技術を優先順位高く導入するか、になります。

まとめ

テレワークやリモートワーク、ワーケーションなどが浸透している今、注目されている“ゼロトラストセキュリティ”について、基礎的な考え方を解説してきました。

「境界のないセキュリティ」と呼ばれる、ゼロトラストセキュリティは
・社内/社外問わず、悪意や脅威は存在するという基本思想を持つ
・社内/社外関係なく、全てのネットワーク通信を信用しない
・複数階層のセキュリティ網を突破した端末やアプリケーション単位で信用する
という考えをもちます。

従って
・全ての通信の暗号化
・認証・認可の強化
・全ての通信の監視
といったセキュリティ対策を講じる必要があります。

当然、一気に全てのセキュリティ対策を実施するのは、コスト面や、人的リソースの観点で現実的ではありません。

そのためどこから手を付けるべきなのか、企業ごとにプライオリティを決める必要がありますが、どこの企業が狙われるのか分からない現状、徐々にでもゼロトラストセキュリティ環境の構築に着手していかなければならないでしょう。​​​​​​​

■関連記事

・セキュリティリテラシーを高める！！すぐに始められる対策とは？？

・標的型攻撃メール訓練サービスとは？ 自社で利用してみたら、3つの大きな効果があった話

・Emotet（エモテット）とは？ 最恐マルウェアから情報資産を守る方法とは

※この記事は、公開時点の情報をもとに作成しています。​​​​​​​