ゼロトラストとは?目的や導入の手順、従来のセキュリティモデルとの違いをわかりやすく解説

2022.10.14

LIBRUS株式会社 > コラム > ゼロトラストとは?目的や導入の手順、従来のセキュリティモデルとの違いをわかりやすく解説

テレワークやクラウドサービスの普及によって、社内と社外を隔てるネットワークの境界が曖昧になりつつあります。ネットワークの境界が曖昧になった環境下で情報資産を守るために、ゼロトラストと呼ばれる考え方が注目されています。本記事では、ゼロトラストの概要や従来セキュリティモデルとの違いを解説した後に、ゼロトラストの必要性やゼロトラスト導入に必要な手順・ポイントについて解説します。

ゼロトラストとは?

ゼロトラストとは、情報資産にアクセスする通信すべてを信用しないセキュリティの考え方です。テレワークやクラウドサービスの普及による業務の多様化によって、従来のセキュリティモデルでは内部からの情報漏えいに対応困難となったため、ゼロトラストの考え方が生まれました。従来のセキュリティモデルでは社内や社外などのネットワークの境界を取り除き、情報にアクセスする通信すべてに警戒を行います。重要な情報資産に対するアクセスの正当性や安全性をアクセスされるたびに検証し、サイバー攻撃の徹底した遮断を目的としたセキュリティモデルです。

従来のセキュリティモデルとの違い

ゼロトラストと従来のセキュリティモデルとの大きな違いは、ネットワークに境界を設けるか否かです。従来のセキュリティモデルは「境界型防御」が主流とされており、「Trust But Verify(信ぜよ、されど確認せよ)」という前提の元に構築されていました。そのため、アクセスすべてに対して注意を払うのではなく、ネットワークを安全区域と危険区域に区別し、危険区域に属するネットワークのみにだけセキュリティ対策を施していました。安全区域内のネットワークから情報へアクセスすれば、情報漏えいの心配はないという考えのセキュリティモデルです。一方、ゼロトラストではネットワークに境界を設けず、すべてのネットワークアクセスに対して同一のセキュリティ対策を施します。

「境界型防御」の弱点

「境界型防御」のセキュリティモデルには、安全区域内のネットワークを取り締まる機能がありません。そのため、安全区域内のネットワークがサイバー攻撃を受けてしまうと、「境界型防御」では対抗できず、重要な情報資産を簡単に盗まれてしまいます。テレワークやリモートワークが広まったことにより、組織内部からの機密情報持ち出しが容易になりました。しかし、内部からの情報漏えいに「境界型防御」は太刀打ちできないため、ゼロトラストの考え方が必要とされています。

なぜゼロトラストが必要な3つの理由

ゼロトラストが必要になった主な理由として、以下の3点があげられます。

  • テレワークの普及によるセキュリティの見直し
  • 脱VPNによって社外との仕事が円滑になる
  • シャドーITの対策になる


ここからは、それぞれの理由について詳しく解説します。

テレワークの普及によるセキュリティの見直し

ゼロトラストが必要になった理由として、テレワークの普及によるセキュリティの見直しがあげられます。テレワークの普及によって、社外から社内へのネットワークアクセスや私有PCの利用が増えました。そのため、ネットワークにおける社内外の境界が曖昧になり、従来のセキュリティモデルはテレワークが主となる企業のサイバー攻撃対策として不十分です。そこでセキュリティにゼロトラストの考え方を用いると、ネットワークの種類に関わらず、社内情報へのアクセスすべてに対して対策を行えます。

脱VPNによって社外との仕事が円滑になる

外部ネットワークによる情報アクセスの安全性を保護する手段として、VPNの利用があげられます。VPNを利用することで、テレワーク時のセキュリティ強度の向上が可能です。しかしVPNを使うことで、インターネットの通信速度や通信品質が低下してしまい、業務に支障が出る事例も見られます。また、VPNによるセキュリティは万全とは言えません。そこでゼロトラストの考え方を導入し、脱VPNを行うことで、通信速度や通信品質、セキュリティの強度を改善できます。また、外部からの仕事を円滑かつ安全に行えるようになるため、社内のテレワーク推進にもつながります。

シャドーITの対策になる

ゼロトラストの考え方をセキュリティに導入することは、シャドーITの対策にもつながります。シャドーITとは企業や組織からの許可を得ずに、利用されるソフトウェアやデバイスです。テレワークの普及によって、各個人が社内で認められていないPCやソフトウェアなどのシャドーITを利用した業務が増えています。シャドーITの利用を放置してしまうと、情報漏えいやマルウェア感染のリスクを高めてしまうため、業務に問題が発生してしまう可能性も高まります。また、シャドーITが原因で情報漏えいなどの問題が発生してしまった場合、原因の特定が困難になってしまうため、問題解決に時間を要してしまうでしょう。ゼロトラストの考え方を導入し、すべての情報アクセスに対して注意を払うことで、シャドーITが業務で利用されてもセキュリティの安全性を保つことが可能です。

ゼロトラストを実現させるために必要な手順・ポイント

ゼロトラストを実現させるためには、以下のポイントを押さえることが重要です。

  • ユーザー認証を強化する
  • 端末を保護する
  • ネットワークセキュリティ
  • クラウドセキュリティ
  • 脆弱性診断で現状に問題がないか確認する


ここからは、ゼロトラストを実現させるために必要な手順やポイントについて、詳しく解説します。

ユーザー認証を強化する

ゼロトラストを実現させる上で、ユーザー認証の強化は重要です。社内で使うデバイスであってもユーザー認証を端末ごとに行い、認証許可を得ていない端末は社内ネットワークを利用していてもアクセス拒否することで、ユーザー認証を強化できます。認証方法をSMSによる二段階認証にしたり、強度の高い複雑なパスワードを利用したりするのも効果的です。また、認証時のIDやパスワードを定期的に変更するのも重要です。

端末を保護する

社員が利用する端末の保護や徹底管理も、ゼロトラストの実現には欠かせません。EDR製品やEPP製品を利用することで、端末の保護を効果的に行なえます。各製品の概要は以下のとおりです。

EDR(Endpoint Detection and Response)

PCログの監視や分析によってマルウェアの感染を素早く察知するツール。マルウェア感染によるファイル削除の対応など、マルウェア感染後の復旧をサポートする。

EPP(Endpoint Protection Platform)

端末内に侵入したマルウェアの検知や駆除を自動的に行うツール。マルウェア感染を徹底的に防止する機能を担う。

各製品を定期的に更新し、ソフトウェアを常に最新バージョンにするのも忘れないようにしましょう。

ネットワークセキュリティ

ゼロトラストの実現を目指したネットワークセキュリティの強度向上には、SWG製品やSDP製品、SD-WAN製品の利用が求められます。各製品の概要は以下のとおりです。

SWG(Secure Web Gateway)

社内ネットワークへ安全なアクセスを実現するために提供される、クラウド型のプロキシサーバ。IPアドレスを匿名化することで情報を守ったり、危険性の高いURLをシャットアウトするフィルタリングを活用したりすることで、危険なサイトへのアクセスを遮断できる。

SDP(Software Defined Perimeter)

ソフトウェアによってネットワークの境界を仮想的に構築したり、ユーザーとリソース間のネットワークを一括制御・管理したりする技術。VPNよりも少ないコストでより高レベルのセキュリティを構築できる。

SD-WAN(Software Defined-Wide Area Network)

ネットワーク構成を柔軟にコントロールし、あらゆる状況下でのインターネット接続の最適化や回線の使い分けを実現する技術やサービス。情報のセキュリティ要件ごとにネットワーク経路を設定できるため、新たな回線敷設なしでセキュリティ強度の向上を図れる

クラウドセキュリティ

クラウドセキュリティを向上させるには、CASB製品やCSPM製品の利用が求められます。各製品の概要は以下のとおりです。

CASB(Cloud Access Security Broker)

ユーザーとクラウドプロバイダーの間にコントロールポイントを設置することで、クラウドサービスの利用状況を可視化するサービス。CASBの利用によってシャドーITを利用した業務であっても、社用デバイスと同様の監視を行える

CSPM(Cloud Security Posture Management)

クラウドの設定を自動で確認し、セキュリティに関する設定ミスやガイドライン違反の有無などを確認するツール。ユーザーの安全なクラウドサービスの利用をサポートする。

上述した製品を活用する以外にも、保護が必要な情報やユーザーにIDを付与することで、クラウド上での管理や監視を適切に行えます。

脆弱性診断で現状に問題がないか確認する

サイバー攻撃に備えてセキュリティ強度を上げたり、情報漏えい対策を行っていたりしても、システムやソフトウェアに脆弱性があると甚大な被害を受けてしまう可能性があります。そのため、デバイスやソフトウェアに対して脆弱性診断を定期的に行い、脆弱性が見られた箇所にはその都度対応することが重要です。

まとめ

本記事ではゼロトラストの概要や従来セキュリティとの違い、ゼロトラストの必要性や実現までのポイントについて解説しました。テレワークやリモートワークをより良く業務に取り入れるためには、ゼロトラストの考えに基づいたセキュリティの構築が重要です。ゼロトラストの実現を検討する際は、ぜひ本記事を参考にしてください。

【セキュリティソリューションのご紹介】

Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
https://secureknight.jp/

またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。

ご相談は無料ですので、いつでもお気軽にお問い合わせください。


問い合わせフォーム
https://librus.co.jp/contact

メール
info@librus.jp

資料請求
https://tayori.com/form/bcca83c49d8fd253395a909cb8cfcb899d32af72/

VIEW ALL
© 2020 LIBRUS Co., Ltd All rights Reserved .