1. 法人のお客さまトップ
  2. クラウドソリューション
  3. コラム
  4. ゼロトラストセキュリティが必要とされる理由と4つの実装方法

COLUMN

ゼロトラストセキュリティが必要とされる理由と4つの実装方法

ゼロトラストとは、社内・社外にかかわらず、ネットワークやデバイスすべてを信用できないものとしてインシデントを防ぐセキュリティの考え方です。従来のセキュリティは内部を信頼するセキュリティでしたが、リモートワークや内部不正による情報漏えいなどが増えたため、より強力なゼロトラストセキュリティが注目を集めています。

しかし、ゼロトラストを理解せずに実装しようとしても、従来のセキュリティとの違いや何を実装すればいいのかがわからなければ、ゼロトラストセキュリティの設計はできません。まずはゼロトラストの理解を深めて、実際にどのように実装をすればいいのかを知る必要があります。

本記事では以下の内容を詳しく解説しています。

  • ゼロトラストと従来のセキュリティの違い
  • ゼロトラストの基本原則
  • ゼロトラストセキュリティが必要な理由
  • ゼロトラストセキュリティの実装方法
  • ゼロトラストセキュリティを実装するメリット

この記事を読むことで、ゼロトラストへの理解を深めることができ、どこから着手すればいいのかがわかります

また、クラウドでゼロトラストセキュリティを設計する方法も解説していますので、最後までお読みください。

目次:

1.ゼロトラストとは
1-1.ゼロトラストセキュリティと境界型セキュリティとの違い
1-2.ゼロトラストの基本原則
2.ゼロトラストセキュリティが必要とされる理由
2-1.リモートワークの普及
2-2.クラウドサービスの利用増加
2-3.内部不正によるセキュリティ被害の増加
2-4.社外コラボレーションの増加
3.ゼロトラストセキュリティ実装方法
3-1.【第1段階】ネットワークレベルでの認証
3-2.【第2段階】デバイスレベルでの認証
3-3.【第3段階】ユーザーレベルでの認証
3-4.【第4段階】ユーザーの役割・場所・振る舞いに応じた認証
4.ゼロトラストセキュリティを実装するメリット
4-1.セキュリティの向上
4-2.システムアクセスに対する利便性の向上
4-3.セキュリティインシデントに対して早急な対応が可能
4-4.DXを推進できる
5.AWSでゼロトラストセキュリティを設計する方法
6.クラウド環境でゼロトラストセキュリティを実装するならNTT東日本「クラウド導入・運用for AWS/Microsoft Azure」
6-1.セキュリティの高いネットワーク・クラウドが利用できる
まとめ

1.ゼロトラストとは

ゼロトラストとは、社外に限らず社内のネットワークやデバイスもすべて「信頼できないもの」とし、重要な情報資産やシステムへのアクセス時に安全性や正当性を検証し、マルウェア感染などのインシデントを防ぐセキュリティの考え方です。

はじめに、ゼロトラストについてより詳しく理解するために、境界型セキュリティとの違いとゼロトラストの基本原則について解説します。

1-1.ゼロトラストセキュリティと境界型セキュリティとの違い

境界型セキュリティとは、ゼロトラストが注目される以前に主流だったセキュリティモデルです。ゼロトラストセキュリティとの違いは、「外部のみ」を疑うか「すべて」を疑うかという点です。

境界型セキュリティは外部のネットワークとの境界にセキュリティ対策を講じるため、内部を信頼するセキュリティといえます。しかし、一度外部から社内ネットワークにアクセスが許可されると、社内ネットワークに自由にアクセスできてしまうリスクが潜んでいます。

対してゼロトラストセキュリティは、外部に限らずあらゆる通信経路を疑い、各アクセスポイントにおいて認証を必要とします。そうすることで、あらゆるセキュリティ上の脅威から社内の情報を守ることができるのです。

1-2.ゼロトラストの基本原則

2020年8月、米国国立標準技術研究所(NIST)が「Zero Trust Architecture」を正式公開しました。SP 800-207は、米政府がゼロトラストについて言及する際に、政府標準として扱われるべく提言されたものです。

SP 800-207には、ゼロトラストについて理解を深めるために重要な「ゼロトラストにおける7つの原則」が記載されています。

1. すべてのデータソースとコンピューティングサービスはリソースと見なす

2. ネットワークの場所に関係なく、すべての通信が保護される

3. 個々の組織リソースへのアクセスは、セッション単位に付与される

4. リソースへのアクセスは、クライアントID、アプリケーション/サービス、および要求元の状態を含む動的ポリシーによって決定され、他の動作属性および環境属性が含まれる場合がある

5. 組織が所有するデバイスは、セキュリティが保たれるよう監視および測定する

6. すべてのリソースの認証と許可は動的であり、アクセスが許可される前に厳密に実施される

7. 企業は、資源、ネットワークインフラストラクチャ、および通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティを改善する

原則を知っておくことは今後ゼロトラストについて考える上で重要になるので、1つずつ解説していきます。

1-2-1.すべてのデータソースとコンピューティングサービスはリソースと見なす

ネットワークに接続されているすべての機器やクラウドサービス、業務アプリケーションなどはリソースとして捉えます。また、リソースにアクセスした個人が所有する機器もリソースとして考えます

1-2-2.ネットワークの場所に関係なく、すべての通信が保護される

ネットワークの場所とは、境界型セキュリティでいうところの内側・外側を指しています。境界型のように内側は信用し、通信を保護しないということはせず、内側・外側に関係なく通信を保護することがゼロトラストセキュリティの基本です。

1-2-3.個々の組織リソースへのアクセスは、セッション単位に付与される

従来のネットワークアクセスは、一度認証を行うと一定時間キャッシュしてパフォーマンスを効率化していました。ゼロトラストでは、個々のセッションやリクエストごとに許可されるべきであり、アクセス時に許可される権限は、そのアクセスに対して権限を必要最小限にすべきであるとされています。

これは、セキュリティよりもパフォーマンスを優先したことによるアクセス侵害を防ぐため重要な項目です。

1-2-4.リソースへのアクセスは、クライアントID、アプリケーション・サービス、および要求元の状態を含む動的ポリシーによって決定され、他の動作属性および環境属性が含まれる場合がある

従来のネットワークアクセスは、ユーザーIDとパスワードの組み合わせやクライアント証明書の確認など、あらかじめ設定されたポリシーによりアクセス許可を決定していました。

ゼロトラストでは、ユーザーアカウント・ソフトウェアのバージョン・環境属性などさまざまな属性をパラメーター化してリスクを判定し、アクセス許可を行います

属性などは時間によって常に変化するため、データへのリクエストをするたびに最新の状態からアクセス許可を決定します。

1-2-5.組織が所有するデバイスは、セキュリティが保たれるよう監視および測定する

組織内のデバイスがセキュリティを保ち正常に動作しているかを監視し、状況に応じてソフトウェアのアップデートやパッチ適用の実施を行います。

ゼロトラストセキュリティは「すべてを疑う」ことが前提であるため、セキュリティの脆弱性が起こっていないかを監視する必要があるからです。

組織が所有するデバイスのみでなく、組織に接続する個人所有のデバイスに対しても監視を行いセキュリティの保持に努めなくてはなりません。

1-2-6.すべてのリソースの認証と許可は動的であり、アクセスが許可される前に厳密に実施される

従来のセキュリティでは再認証による手間を軽減するために、一度認証された結果を使い回すことが想定されていました。しかし、ゼロトラストセキュリティの原則においては、実行中の通信においても継続的に信頼性を再評価し、場合より再認証の実施を求めます。

金融機関が導入しているリスクベース認証がこれに該当します。

1-2-7.企業は、資源、ネットワークインフラストラクチャ、および通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティを改善する

組織のネットワークやデバイスに関する情報を常に取得し、分析結果を基にポリシー作成やセキュリティ改善を行うことが求められます。

テクノロジーの進歩や組織の成長によってネットワーク形態やデバイス、ユーザーの利用状況は変化します。それに応じてポリシーやセキュリティも更新し続ける必要があるからです。

2.ゼロトラストセキュリティが必要とされる理由

ゼロトラストが大きな注目を集め、必要とされる背景には以下のような理由があります。

  • リモートワークの普及
  • クラウドサービスの利用増加
  • 内部不正によるセキュリティ被害の増加
  • 社外コラボレーションの増加

なぜこれらが理由となるのかについて、詳しく解説していきます。

2-1.リモートワークの普及

ゼロトラストセキュリティが大きな注目を集めたきっかけは、新型コロナウイルスによるリモートワークの普及です。多くの企業が感染対策の一環としてリモートワークを導入し、中には新型コロナウイルスに関係なく、新たな働き方としてリモートワークの継続を決定した企業もあります。

しかし、リモートワークは社外で業務に取り組むため、社外から社内ネットワークにアクセスしなければなりません。すると、境界型セキュリティでは充分なセキュリティを担保できず、ゼロトラストセキュリティに注目が集まったのです。

2-2.クラウドサービスの利用増加

近年、企業のクラウドサービス利用が増加し、企業のあらゆる情報がクラウドに集約されています。経済産業省でも行政サービスのプラットフォームとしてAWSを採用したことを発表しており、企業のみならず行政でもクラウドサービスの利用が開始されています

個人情報などの重要な情報まで多くのデータが集まるクラウドには、社内外から多くの人がアクセスします。そのため、重要なデータを守るためにもゼロトラストに基づく強固なセキュリティが必要だと考えられます。

2-3.内部不正によるセキュリティ被害の増加

情報処理推進機構の「情報セキュリティ10大脅威 2022」によると、「内部不正による情報漏えい」が5位にランクインしています。2020年の調査では2位にランクインしており、内部不正によるセキュリティ被害は早急に対応しなければならない問題であるといえます。

社内ネットワークを信頼する境界型セキュリティでは内部不正による情報漏えいを防ぐことは困難ですが、このような内部の脅威に対してもゼロトラストセキュリティは有効です。

2-4.社外コラボレーションの増加

最近では、パートナーや取引先などの企業とのクラウドサービスを介したコラボレーションが行われるようになりました。

例えば、顧客からの要望でオンラインストレージを利用した情報共有を行うなど、自社ではコラボレーションツールを利用する気がなくても、今後は利用せざるを得ない状況も増えてくるでしょう。

コラボレーションツールの多用は情報漏えいやマルウェア感染などのリスクがあるため、ゼロトラストセキュリティでしっかりと対策する必要があります。

3.ゼロトラストセキュリティ実装方法

ここまで、ゼロトラストセキュリティがなぜ重要なのかについて解説してきました。

では、具体的にどのようにゼロトラストセキュリティを実装するために、どこから着手すればいいのかについて解説します。

はじめに着手するのは「認証」です。認証はセキュリティの基本となるため、認証から着手して権限設定やログ管理へとセキュリティを拡大しましょう。

実装の進め方は以下のように4段階に分けて行います。

  • 第1段階:ネットワークレベルでの認証
  • 第2段階:デバイスレベルでの認証
  • 第3段階:ユーザーレベルでの認証
  • 第4段階:ユーザーの役割・場所・振る舞いに応じた認証

では、具体的に方法を見ていきましょう。

3-1.【第1段階】ネットワークレベルでの認証

はじめに、ネットワークレベルでリスクの高いアクセスを制御します。

  • 入退室管理
  • Wi-Fi認証
  • VPN/SDP認証

これらを行い、不正なアクセスを排除してください。

接続の安全性確保が可能なネットワークセキュリティをまとめて1つの製品として提供する「SASE(Secure Access Service Edge)」系のサービスを経由しているかを判定基準にするのもおすすめです。

■VPN認証

インターネット回線を利用して作られた仮想の専用ネットワーク

■SDP認証

ネットワークの内部と外部の境界をソフトウェアによる制御で仮想的・動的に構成する仕組み


3-2.【第2段階】デバイスレベルでの認証

第2段階は信頼できるデバイスかどうかを判断するデバイス認証です。知識があれば書き換えができるデバイスの個体番号による識別ではなく、管理下にあるデバイスにあらかじめデジタル証明書を導入し、証明書の有無でデバイスを識別します。

デジタル証明書を導入しておくと、証明書を失効することで盗難や紛失時にも迅速に対応が可能です。

■デジタル証明書

モバイルPC・スマートフォン・タブレットなどのデバイスに対して発行する証明書です。デジタル証明書を登録した端末からのみクラウドサービスへのアクセスが許可される仕組みです。


3-3.【第3段階】ユーザーレベルでの認証

第3段階は、適切なユーザーかを判断するユーザー認証です。この段階ではなりすましリスクを考慮しましょう。

  • 統合Windows認証
  • デジタル証明書を利用した自動ログイン
  • 生体認証

このようなパスワードレス認証でセキュリティの強度を上げながら利便性も保つことができます。

■統合Windows認証

HTTPで利用者認証を行う方式で、Windowsのユーザーアカウント情報を利用して認証を行います。Windowsで稼働しているウェブサーバーとウェブブラウザ間のみで利用できます。


3-4.【第4段階】ユーザーの役割・場所・振る舞いに応じた認証

最後に、マルウェア感染や誤操作による情報漏えいリスクに対応できるようにしましょう。例えば、セキュアコンテナを利用したサービスを組み合わせて情報漏えいのリスクを最小限に抑えたり、外部の危険なサーバー等との通信を防ぐための出口対策としてロールベースアクセス制御を実施するなどです。

さらに、不審なアクティビティを検知するリスクベース認証などの活用で認証強度を高めることで、利便性とのバランスを保つことができます。

■セキュアコンテナ

デバイスに暗号化された安全な領域を確保するサービスです。セキュアコンテナ内で作成・閲覧・処理されたデータは全て暗号化されます。

ロールベースアクセス制御

リソースへのアクセスをユーザーに許可するかを決定するための役割と特権を定義する、アクセス制御メカニズムです。

■リスクベース認証

通常と異なる認証行為があった場合に、その行為を検知して追加の要素による認証を求めて、なりすましや不正ログインを防ぐ方式です。

4.ゼロトラストセキュリティを実装するメリット

ゼロトラストセキュリティを実装した場合、以下のようなメリットを得られます。

  • セキュリティの向上
  • システムアクセスに対する利便性の向上
  • セキュリティインシデントに対して早急な対応が可能

では、これらのメリットについて詳しく見ていきましょう。

4-1.セキュリティの向上

前述した通り、ゼロトラストセキュリティは従来の境界型セキュリティと比べて、より強固なセキュリティ体制を可能にします。アクセスのたびに認証を実施するためです。

認証や監視が強化されるため、クラウドなどさまざまなサービスも安全に利用することができます

4-2.システムアクセスに対する利便性の向上

ゼロトラストセキュリティは、システムアクセスの利便性が向上するというメリットもあります。

これまでは、ユーザーがいくつかのシステムに利用する際に、システムごとのログインが必要でした。しかし、ゼロトラストセキュリティによってSSO(シングルサインオン)が導入されると、一度ログイン認証を行えば権限を付与されている複数のシステムのアクセス権限も取得できるので、システムごとのログインが不要になるのです。

4-3.セキュリティインシデントに対して早急な対応が可能

ゼロトラストセキュリティは、すべての通信を監視してログ収集を行います。プログラムなどの挙動も監視され、攻撃が疑われるアクションがあれば侵害端末を隔離し被害の拡大を防ぐことができるため、サイバー攻撃などのインシデントに対して早急な対応を可能にします。

4-4.DXを推進できる

DXでデジタル技術を導入することは、生産性の向上に必要不可欠です。しかし、境界型セキュリティではクラウドなどを導入する上でセキュリティリスクが高まってしまうため、DX推進を阻害する要因になってしまいます。

ゼロトラストセキュリティを実装すれば、DXの推進によるクラウドサービス利用なども安全に行えるため、DXを検討しているのであれば同時にゼロトラストセキュリティに関しても検討を進めましょう。

5.AWSでゼロトラストセキュリティを設計する方法

ゼロトラストセキュリティは、クラウドサービスとしても提供されています。

例えば行政でも利用されているAWSでは、サービスを組み合わせることでゼロトラストセキュリティを意識した設計が可能です。

ゼロトラストセキュリティに限らず、従来から意識すべき脅威モデルには以下の6つがあります。

  • ユーザーIDのなりすまし(Spoofing)
  • データの改ざん(Tempering)
  • ソースの否認(Repudiation)
  • 情報漏えい(Information Disclosure)
  • サービス拒否(Denial of Service)
  • 特権の昇格(Elevation of Privilege)

これらはゼロトラストセキュリティを設計する上での原則としても用いられます。

これらの6つの脅威モデルを意識した設計に利用できるサービスをピックアップし、設計します。

例えば、SQLインジェクションによるデータ漏えいや改ざんを防ぐためには、「AWS WAF」が利用できます。

また、サービス拒否(DoS)攻撃防止には、Exhaustion攻撃から保護をする「AWS Shield」を選びましょう。

ネットワークやシステムを利用する権限を持たないユーザーが、一時的に利用権限を取得する特権昇格の防止には、暗号化と最小権限をコントロールする「AWS KMS」を利用するといいでしょう。

6.クラウド環境でゼロトラストセキュリティを実装するならNTT東日本「クラウド導入・運用for AWS/Microsoft Azure」

AWSを導入してゼロトラストセキュリティを設計するならNTT東日本がお勧めです。

「ITに強い社員がいないので、クラウドの導入やゼロトラストセキュリティの設計ができない」

こういった悩みや課題を解決も、NTT東日本のクラウド導入・運用for AWS/Microsoft Azureなら解決できます

6-1.セキュリティの高いネットワーク・クラウドが利用できる

NTT東日本ではネットワーク事業を行っているからこそ他社と違い、課題や要望にあったネットワークも併せてご提供することができます

クラウド導入サービスは、クラウドの導入と保守サービスが対象範囲であることが多くあり、クラウド導入後にネットワークの悩みや課題が出てきたら、追加でネットワーク事業者の選定や契約が必要になります。

  • よりセキュリティの高いネットワークを使いたい
  • 安定した通信環境でクラウドを運用したい
  • 高速通信の環境でクラウドを使用したい

NTT東日本では、このようなクラウド導入後によくあるネットワークの悩みに対しても同時に対応可能です。そのため、一度で使いやすいクラウド環境を実現できます。

■150社以上のクラウド導入実績に裏付けされた信頼できるサービス品質

NTT東日本は、これまで150社以上の導入実績があります

150社以上の導入をしてきたからこそ、あなたにあった最適な導入や運用方法をご提案できます。

  • セキュリティレベルの高いクラウド環境の構築
  • クラウドを活用した業務効率化
  • 独自システムとクラウドを連携させ、ビジネスの領域を拡大
  • 情報システム担当者無しでファイルサーバークラウド化

業界・会社の規模関わらず導入・運用を行ってきました。まずはあなたのクラウド化へのお悩みをお聞かせください。

NTT東日本はあなたの目的にあったクラウド環境をご提案することができます。

クラウドの導入や運用でお困りの際は、NTT東日本にお任せください。

まとめ

ゼロトラストとは、社外に限らず社内のネットワークやデバイスすべてが「信頼できないもの」とし、重要な情報資産やシステムへのアクセス時に安全性や正当性を検証し、マルウェア感染などのインシデントを防ぐセキュリティの考え方です。

SP 800-207に記載されているゼロトラストの基本原則は以下の7つがあります。

    1. すべてのデータソースとコンピューティングサービスはリソースと見なす

    2. ネットワークの場所に関係なく、すべての通信が保護される

    3. 個々の組織リソースへのアクセスは、セッション単位に付与される

    4. リソースへのアクセスは、クライアントID、アプリケーション/サービス、および要求元の状態を含む動的ポリシーによって決定され、他の動作属性および環境属性が含まれる場合がある

    5. 組織が所有するデバイスは、セキュリティが保たれるよう監視および測定する

    6. すべてのリソースの認証と許可は動的であり、アクセスが許可される前に厳密に実施される

    7. 企業は、資源、ネットワークインフラストラクチャ、および通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティを改善する

    ゼロトラストセキュリティが注目された背景として、次のような要因があります。

    • リモートワークの普及
    • クラウドサービスの利用増加
    • 内部不正によるセキュリティ被害の増加
    • 社外コラボレーションの増加

    ゼロトラストセキュリティを実装するには、まずセキュリティの基本である認証から着手しましょう。その際に4段階に分けて段階的に進めてください。

    • 第1段階:ネットワークレベルでの認証
    • 第2段階:デバイスレベルでの認証
    • 第3段階:ユーザーレベルでの認証
    • 第4段階:ユーザーの役割・場所・振る舞いに応じた認証

    認証の導入が完了したら、権限設定やログ管理へとセキュリティを拡大しましょう。

    • Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

クラウド導入・運用サービス
資料ダウンロード

カテゴリー

RECOMMEND
その他のコラム

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

今すぐ無料ダウンロードする
クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

まずは無料相談してみる

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。

クラウド予算計画のご相談
クラウドの成功事例を見る