すべての通信を信用しない「ゼロトラスト」とは何なのか

　企業のセキュリティ対策というと、これまでは社内のネットワークを守るためにファイアウォールを設置し、外部の不正アクセスやサイバー攻撃を防ぐ「境界型セキュリティ」が一般的でした。

　しかし、テレワークやクラウドサービスが普及した今、社外から社内ネットワークに、もしくは社内から社外のクラウドサービスに接続する機会は日常的に起きています。そのため、従来の境界型セキュリティのままでは、セキュリティ対策が不十分で、悪意のある第三者の侵入を許してしまう恐れがあります。

　こうした従来のセキュリティ対策の一歩先を行く考え方として「ゼロトラスト」というものが存在します。ゼロトラストは、たとえ境界内部の通信であっても無条件に信用せず、全ての通信を確認し、認証・認可を行う手法となります。

　ゼロトラストは、どのようにしてセキュリティを維持するのでしょうか？従来の境界型セキュリティと比べ、どのような点が異なるのでしょうか？IPAが公開している資料「ゼロトラスト移行のすゝめ」から、その仕組みを読み解きます。

　同資料によると、ゼロトラストは、【1】ID統制（ID管理）、【2】デバイス統制・保護、【3】ネットワークセキュリティ、【4】データ漏えい防止、【5】ログの収集・分析、という5つの要素から構成されるといいます。

　【1】の「ID統制」とは、誰が社内のリソースにアクセスしようとしているのかを、その都度識別し、認証・認可を行うことを指します。

　退職した従業員のIDを使用不可にすることも、ID統制に含まれます。退職者の従業員のIDが利用できる状態になっている場合、そのアカウントが何者かに悪用され、機密ファイルが外部に流出することもあり得ます。資料ではID統制について「ゼロトラストの概念を実装するにあたり、最も重要と言える」と断言しています。

　ID統制を可能にするサービスとしては、「IDaaS（アイダース、ID as a Service）」があります。IDaaSは、複数のアプリやサービスに登録されているIDやパスワードを、クラウド上で一元的に管理するサービスのことです。IDaaSを利用すれば、従業員はアプリやサービスへのサインインを一度に行えるため（いわゆるシングルサインオン［SSO/Single Sign On]）が利用できるため、従業員の利便性にも寄与します。

　【3】のネットワークセキュリティは、すべての通信に対し、必要なセキュリティ対策を行うことを指します。たとえば、SWG（セキュア・ウェブ・ゲートウェイ、Secure Web Gateway）やCASB（キャスビー、Cloud Access Security Broker）による、不審なWebコンテンツへのアクセス制限やマルウェアの検出もこれに含まれます。

　【4】のデータ漏えい防止とは、サイバー攻撃者や内部犯行者による機密情報の持ち出し、および人為的なうっかりミスによる情報漏えいを防ぐことです。DLP（データ損失防止、Data Loss Prevention）ツール による、社内機密ファイルのダウンロード／アップロードの禁止、外部記憶媒体へのコピー禁止、メール転送禁止などが当てはまります。

　最後の【5】が、ログの集積・分析です。社内のIT環境を構成する機器からログを集約・分析することで、サイバー攻撃の早期検知や対応を行います。ログの収集と分析は、SIEM（シーム、Security Information and Event Management）というシステムを利用します。

　ここまで挙げてきたように、ひとくちに「ゼロトラスト」といっても、それを構成するためのシステムやソリューションは多岐に渡ります。IDaaSだけ、EDRだけを導入しても、ゼロトラストが成立するわけではありません。そのため、これらの機器を導入するコストと時間や手間がかかる点はデメリットといえそうです。

　ただし資料によると、ゼロトラストは「全てを信用しない」というよりも、「全てを確認した上で認証・認可を行う」という考え方に近いとしています。ファイアウォールのように社内と社外の境界線で守るのではなく、デバイスやネットワークなどさまざまな層で通信を確認するためため、セキュリティレベルは境界型セキュリティと比べ格段に高められます。ちなみに資料では、【1】のID統制と、【2】デバイス統制については、特に優先的に取り組むべきとしています。

　資料ではこのほかにも、従来の境界型セキュリティからゼロトラストへ移行する際の手順やマインドも紹介しています。テレワークやクラウドサービスを利用しているにも関わらず、まだゼロトラストに移行できていない企業は、ぜひこの資料を参考に、ゼロトラストを推し進めてみてはいかがでしょうか。