2023.11.17 (Fri)
いま企業に求められる情報セキュリティ対策(第5回)
ゼロトラストとは何か?導入のメリットを解説
ゼロトラストとは、情報セキュリティのアプローチを従来の枠組みから一変させる、新たなセキュリティの概念です。
従来のセキュリティ対策は「境界型防御」とも呼ばれ、「自社ネットワーク内のユーザーとデバイスは信頼できる」ことが前提となっていました。そのため、社内・社外の境界にセキュリティ機器などを設置することで対策をすることが一般的でした。
しかし近年、クラウドサービスの普及により、守るべきデータやシステムが自社ネットワーク内だけでなく、社外のインターネット上にある企業も増えてきました。コロナ禍をきっかけに在宅勤務などのリモートワークが増えたことで、PCやタブレットなどさまざまなデバイスから社内情報にアクセスする機会も増えました。
これらによって、業務の利便性や生産性向上につながる一方、新たなセキュリティリスクも顕在化するようになりました。例えば、会社が許可していないアプリケーションを従業員が無断使用したことでサイバー攻撃の被害にあったり、外出先でノートPCなどのモバイル端末を紛失し、情報漏えいが起こるといったことです。また、悪意のある社員が故意に社内情報を社外に持ち出すといったことも起こりえます。
加えて、サイバー攻撃は年々巧妙化し、アンチウイルスソフトやファイアウォール、それらを統合するUTMなど、従来型のセキュリティ対策を突破する標的型攻撃やランサムウェアも増加しています。そのため、こういったことから、従来の境界型防御によるセキュリティリスクの増大を危惧する声が高まり、「ゼロトラスト」による新たなセキュリティ対策が、より注目されるようになりました。
ゼロトラストと従来のアプローチとの最大の違いは、ネットワーク上のあらゆるトラフィックに対して「ゼロトラスト=信頼ゼロ」という、常に疑う姿勢で検証を行う点です。例えば、ゼロトラストでは、ユーザーがログインする際には身元確認を行い、セキュリティポリシーに基づいてアクセス権限を与えます。また、デバイスも同様に評価し、安全性が確保されていることを要求します。さらに、アクセス時のトラフィックも検査し、異常な通信がないかを確認します。このようなユーザー、デバイス、トラフィックへの検証を通じて、情報セキュリティを最大限に強化するのです。
ゼロトラストのメリット- 企業に何をもたらすのか?
情報セキュリティのゼロトラストへの移行は、企業に多くの利点をもたらします。
一つ目のメリットは、セキュリティレベルの向上です。従来のアプローチでは、ユーザーは一度認証されると、ネットワーク内で制限を受けずに活動できました。しかしゼロトラストでは、そのユーザーが信頼できるか否かを常に確認し続けるため、不正アクセスによる侵入者が悪意ある行動を取ったときに、迅速に検知することができます。
二つ目のメリットは、ユーザーの利便性を損なわずセキュリティ対策を強化できることです。ゼロトラストでは、ユーザーごとでのアクセスや行動のログを細かく把握することができます。そのため、BYOD(Bring Your Own Device)やリモートワークにおいても、アクセスするデバイスや地域などにとらわれず、セキュアなネットワーク環境を提供することができます。
以上が、ゼロトラスト導入によって企業にもたらされる利点です。情報セキュリティを強化しながら柔軟性や生産性を向上させ、かつコストも削減することが可能です。企業において情報漏えいやサイバー攻撃への対策強化が求められる現代において、ゼロトラストは有力な選択肢と言えるでしょう。
ゼロトラストに必要なソリューション
前提として、ゼロトラストは情報セキュリティの「概念」であって、特定のソリューションやパッケージではありません。企業がゼロトラストを導入するにあたっては、自社が重視したい要件を確認し、目的に合致したセキュリティのソリューションやパッケージを組み合わせることが必要になります。
ゼロトラストを実現するためのソリューションはいくつもありますが、これから検討をしていく場合には、以下のような流れを意識していくことがポイントとなります。
まず、ゼロトラストにおいて重要な「ID管理」やサイバー攻撃に効果的な「デバイスセキュリティ」を中心に整備していきます。
IDセキュリティには、ID認証やIDパスワード管理、シングルサインオン (SSO)、アクセス制御などクラウド管理できるサービスが存在します(IDaaS:Identity as a Service)。
デバイスセキュリティには、PCやスマートフォンといった端末を一元管理するシステム(MDM:Mobile Device Management)とエンドポイントの状況および通信内容などを監視し、標的型攻撃やランサムウェアなどによるサイバー攻撃を検出/発見して、対処するソフトウェア(EDR:Endpoint Detection and Response)が有効です。
上記が整ったら、次のステップとして「クラウドセキュリティ」に着手します。
ソリューションとしては、クラウドサービスの利用状況を可視化/制御することで一貫性のあるセキュリティポリシーを適用するサービス(CASB:Cloud Access Security Broker)に加え、クラウド型プロキシによってWebアクセスのURLやアプリケーションフィルタ、アンチウイルス、サンドボックスなどの機能を提供するサービス(SWG:Secure Web Gateway)が挙げられます。
これらのソリューションは、社内外のネットワーク経路変更が必要となるため製品の選定は慎重に行い、段階的に移行していくことが大切になります。
SASEとは何が違うのか
SASE(Secure Access Service Edge)は、ゼロトラストとしばしば混同される概念ですが、両者には重要な違いがあります。
まず、SASEは米国の調査会社が提唱したもので、VPNやリモートアクセス、ファイアウォールやウイルス対策などを統合した情報セキュリティの機能を、クラウドを利用して一体的に提供する考え方です。これにより、企業は従来の分散型のセキュリティインフラを統合し、効率的かつ簡略化されたアプローチを取ることができます。
一方、ゼロトラストは信頼性に基づくアプローチであり、すべてのアクセスを厳密に検証します。ゼロトラストは、「不信任」を前提としており、認証・認可・暗号化などのセキュリティプロトコルを用いてユーザーとデバイスの正当性を確認します。ゼロトラストはアクセス制御のためのフレームワークとして最適化されており、信頼できるユーザー認証によってアクセス環境を提供することについては、ゼロトラストネットワークアクセス(Zero Trust Network Access、ZTNA)とも呼ばれています。
ゼロトラストの概念を、クラウドサービスを活用して実現するのがSASE、という捉え方もできます。企業は従来の境界や信用を超えてセキュリティを確保する必要があります。SASEとゼロトラストの組み合わせによって、効率的で堅牢な情報セキュリティアーキテクチャを構築することが可能となるでしょう。
ゼロトラスト導入の課題と解決策
ゼロトラスト導入は、企業にとって重要な決断ですが、その実現にはいくつかの課題が存在します。ここでは、ゼロトラストをスムーズに導入するためのヒントについて考えてみましょう。
導入時の最初の課題は、既存のネットワークアーキテクチャやセキュリティポリシーとの整合性です。従来のアプローチでは、信頼された内部ネットワークを前提としているため、既存のシステムとゼロトラストの原則とを照らし合わせて適切な変更やアップデートを行う必要があります。
次に考えるべき課題は、ゼロトラストへの移行に関わる時間とコストです。新しいセキュリティエコシステムを構築するためには人員や予算が必要です。そのため、移行計画を立てる際には、リソースの確保とスケジュールの調整が重要です。
さらに、ユーザー体験とセキュリティ強化のバランスも考慮すべきです。ゼロトラストでは、従来のネットワークアクセスよりも多くの認証プロセスが必要となります。結果的に、ユーザーは煩雑な手続きや遅延を経験する可能性があります。この問題を解決するためには、自動化技術やシングルサインオン(SSO)などの新たな方法を活用し、使い勝手を向上させることが求められます。
最後に、情報共有やコラボレーションを円滑に行うためには、パートナーやサプライヤーとの連携も重要です。ゼロトラストでは信頼できるエンドポイントへのアクセス制限が行われるため、他社との連携に対して制約が生じる場合があります。しかし、外部関係者へのセキュアな通信を実現するためには、ゼロトラストを適切に構築・運用する必要があります。自社での対応が難しい場合は、外部の専門家を活用することも検討しましょう。
情報セキュリティの次なるステップとは
ゼロトラストは今後ますます重要性を増していくでしょう。モバイルデバイスやクラウドサービスの普及により、従来の企業内ネットワークだけでなく、外部へ接続する要素も増えています。そのため、企業が保有する情報のリスク管理がますます困難になっています。これからも新たな脅威や攻撃手法が登場することは間違いありませんから、より柔軟かつ強固なセキュリティフレームワークが求められるでしょう。
技術の進化・発展や環境・ワークスタイルの変化に伴い、新たな情報セキュリティ上の脅威が生まれる可能性もあります。企業が情報セキュリティを保つためには、常に最新技術や脅威に対する知識をキャッチアップしていくことも大切になります。ビジネスニーズに合わせた最適なゼロトラスト戦略を策定し、安全かつ効果的なビジネス運営を実現していきましょう。
ゼロトラスト・セキュリティ導入の手引き
近年注目を集めている「ゼロトラスト・セキュリティ」。社内外のネットワークをすべて信用しないことを前提にして、情報セキュリティレベルを向上させる考え方ですが、
・なぜ、ゼロトラスト・セキュリティが必要なのか?
・ゼロトラスト・セキュリティのあるべき姿とはどういうものなのか?
・ゼロトラスト・セキュリティを、具体的にどのように導入すればよいのか?
本資料では、NTT東日本のソリューションの紹介も交えつつ、分かりやすくご紹介していま
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
- 第19回 返金されない?オンラインゲームの無断課金にご注意2024.05.22 (Wed)
- 第20回 その動画、本物?偽物?ディープフェイクの脅威2024.07.11 (Thu)
- 第21回 攻撃を察知し先手を取る。「能動的サイバー防御」とは2024.07.12 (Fri)
- 第22回 悪質な通販サイトを見分けるポイントとは2024.07.12 (Fri)
- 第23回 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖2024.07.12 (Fri)
- 第24回 詐欺トレンド、ライブ配信を狙ったフィッシング詐欺にご注意2024.08.08 (Thu)
- 第25回 自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは2024.08.08 (Thu)
- 第26回 パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く2024.08.08 (Thu)
- 第27回 あなたは見破れるか?ビジネスメールに扮した「BEC詐欺」の手口2024.09.24 (Tue)
- 第28回 頼れる存在「ホワイトハッカー」を社内で育成する方法2024.09.24 (Tue)
- 第29回 その情報、拡散しても大丈夫?災害時のニセ情報の見分け方2024.10.08 (Tue)
- 第30回 日本のセキュリティ知識は世界最下位!?どうすれば向上するのか2024.10.18 (Fri)
