ゼロトラストとは?必要性やメリット、事例をわかりやすく紹介
近年、増加している情報漏洩や不正アクセスに頭を悩ませていませんか。
「ゼロトラスト」というセキュリティモデルによって解決できます。
本記事では、ゼロトラストの基本概念や導入企業のリアルな事例について解説します。
セキュリティを強化し、企業の情報資産を守るために、ゼロトラストへの理解を深めましょう。
ゼロトラストとは?
トラスト(trust)とは日本語で「信頼」。ゼロトラストとは、「何も信頼しない」を前提としたセキュリティの新しい考え方で、2010年にアメリカの調査会社が提唱しました。
具体的には、内部からのアクセスと外部からのアクセスを区別せず、すべてのアクセスについて確認し、認証を行うという概念です。
ゼロトラストとファイアウォールの違い
従来のファイアウォールは、社内外に境界線を引いて内部のみを保護するといった「境界線型セキュリティ」という閉鎖的なシステム。ファイアウォールは、ネットワークやコンピューターの入口に配置され、不正なアクセスやサイバー攻撃からデータやシステムを保護します。あらかじめ設定されたルールに基づいて通信を制御し、不正な通信を遮断することができるのです。
ファイアウォールを身近なものにたとえると、学校の入口に立つ警備員のようなもの。不審な人や危険な物を通さないように監視し、侵入を防ぐ役割を果たします。
一方、ゼロトラストは、信頼しないネットワークやユーザーからのアクセスに対して、より厳密なセキュリティを提供するアプローチ。ユーザーが認証されていても、そのユーザーが特定のリソースにアクセスする際には確認を求めます。ゼロトラストでは、ユーザーが認証された後も、そのユーザーのアクセスが適切かどうかを常に確かめるための追加のセキュリティを実施するのです。
ファイアウォールと対比してたとえるならば、ゼロトラストでは、校門を通過した後も警備員がついてきたり、監視カメラなどで常に監視されるイメージです。
ゼロトラストが注目されるようになった背景
ゼロトラストの注目度が高まった背景には、新型コロナウイルス感染症による働き方の変化とデジタルトランスフォーメーション(DX)の進展が大きく関係しています。
新型コロナの世界的な感染拡大により、多くの人々がリモートワークやオンライン授業などの遠隔での業務や学習を行う必要が生じました。リモートアクセスが増える中で、従来の信頼ベースのセキュリティでは、リスク回避が難しくなってきたのです。
また、DXの進展により、クラウドサービスやIoT(モノのインターネット)などのテクノロジーが普及したことも大きいでしょう。従来のセキュリティモデルではユーザーやデバイスのアクセス管理が複雑化し、セキュリティ上のリスクが増大するばかり。リスクを軽減し、ネットワーク保護を強化するため、ゼロトラストのアプローチが重要視されるようになったのです。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティはデータ保護やリスク軽減に効果的です。
以下で、メリットを詳しく解説します。
セキュリティのレベルが上がる
ゼロトラストでは、全ユーザーに最小限の権限しか与えないため、情報漏洩のリスクを低減することができます。不正侵入が発生しても、常にログを収集しているため早期に検知し、迅速に対処することができ、被害を最小限に抑えることが可能です。
従来の境界型モデルと比べて、ゼロトラストは外部からの侵入に対する強固なセキュリティを提供するため、セキュリティレベルの向上が期待できるのです。
働き方の多様化に繋がる
ファイアウォールをはじめとした従来の信頼ベースのセキュリティでは、アクセスできるのが特定の場所やデバイスに制限されるといった課題がありました。一方、ゼロトラストセキュリティでは、ユーザーの認証情報やデバイスの状態などを継続的に評価し、アクセスを許可するため、場所に縛られることはありません。
たとえば、従来のセキュリティでは、社内ネットワークからのみ社内システムにアクセスできました。しかし、ゼロトラストセキュリティでは、社外からでも安全にシステムにアクセスできるのです。ゼロトラストセキュリティの導入により、従業員は自身のデバイスを使用して、自宅やカフェ、出張先などの場所からも安心して業務を行うことが可能です。
ゼロトラストの注意点
ネットワークアクセスのセキュリティリスクが増大する現代に適したゼロトラストですが、もちろん注意すべき点もあります。
費用と期間がかかる
ゼロトラストの導入には、費用と期間がかかります。既存のセキュリティ体制の見直しやゼロトラストに対応した製品の検討が必要となるから。また、セキュリティの対応範囲が広がるため、運用コストも増加する可能性があります。
具体的には、導入にあたって、既存ネットワークの評価や改善、新たなセキュリティ製品の導入、社内教育やトレーニングなどが必要となります。費用と期間がかかるという課題がありますが、セキュリティ対策の強化や柔軟なアクセス制御を実現するためには、この課題を克服しなければなりません。適切な計画と予算配分を行い、導入プロセスを進めることが重要です。
業務効率が低下する可能性がある
ゼロトラストの導入により、セキュリティ設定の厳しさによって業務効率が低下する可能性があります。セキュリティ設定が厳しすぎると、短時間での認証切れや多要素認証の要求などが発生することも。ログインやログイン状態の維持に手間がかかり、業務効率が低下するおそれがあるのです。
たとえば、一定時間での自動ログアウトが設定されたり、リスクが検出されると追加の認証が要求されたりする場合、ユーザーは頻繁に再認証を行わなければいけません。そして、業務の遂行に時間がかかるのです。セキュリティと業務効率の両面を考慮し、適切なセキュリティポリシーを適用することが重要です。
ゼロトラストを実現するために実施すべきこと
|
ID 統制 |
信頼できるユーザーのみにアクセスを許可する |
|
デバイス統制・保護 |
PC端末などを一元管理し盗難・紛失による情報漏洩を防ぐ |
|
データ漏洩防⽌ |
機密情報の不正な取り扱い |
|
ログの収集・分析 |
ファイルの暗号化やアクセス制御で不正アクセスを防ぐ |
では、ゼロトラストを実現するために実施すべきことはどのようなことでしょうか。
以下に、4つの手順を解説します。
ID 統制
「誰が」アクセスしようとしているのかを都度識別して認証を行うことが重要。信頼できるユーザーにのみアクセスを許可し、セキュリティを確保するためにはID統制は重要な手段となります。
ID統制にはIDaaS製品 がおすすめです。IDaaS(Identity as a Service)とは、複数のアプリケーションやサービスのログイン情報を一元管理するクラウドサービスです。機能としては、多要素認証(パスワードだけでなく、複数の要素を組み合わせて本人確認を行うセキュリティ方式)が挙げられます。
他の機能として、シングルサインオン(1つのユーザー名とパスワードで複数のサービスにログインできる)やアクセスコントロール(場所ごとに制限をかけて許可を得た人のみが利用できる機能)も利用できます。ゼロトラストの基盤となるセキュリティを確立するために、ID統制を実施することは不可欠でしょう。
デバイス統制・保護
次に、デバイス統制と保護の重要性について解説します。 近年、テレワークなど多様な働き方が普及しており、デバイスへの攻撃リスクが高まっています。また、モバイル端末の紛失や盗難による情報漏洩リスクも増加。デバイスの統制と保護は、これらのリスクに対処するために重要です。
デバイス統制と保護のために推奨される手段として、MDM(Mobile Device Management)が挙げられます。MDMとはPCなどモバイルデバイスを一元管理できるツールのことで、デバイスの機能制限や紛失時に遠隔操作できる機能があります。情報漏洩や不正アクセスのリスクを低減することができます。
データ漏洩防⽌
企業の重大な損失にも繋がるデータ漏洩を防止することが大切です。内部の犯行者や外部の攻撃者による不正なデータの持ち出しや人為的ミスによる情報漏洩を防がなければなりません。
漏洩防止のために重要なのがDLP(Data Loss Prevention)で、機密情報の不正な取り扱いを防止するための対策を指します。データの転送や共有を監視し、機密情報の外部への漏洩を防止します。また、IRM(Information Rights Management)は、機密ファイルの暗号化やアクセス制御の機能を提供するため、機密データが不正なアクセスから保護されます。
情報漏洩の原因や対策については以下の記事もあわせてご覧ください。
関連記事:情報漏洩の原因と対策|対策に活かしたい2022年の原因ランキングを紹介!
ログの収集・分析
外部からの攻撃を早期に検知して、対応するためにはログの収集と分析が重要。ログを集約し、分析することで、異常な通信や挙動を検知し、攻撃の早期対応が可能となります。
ログを収集し分析する際に推奨される手段はSIEM(Security Information and Event Management)です。SIEMは、組織内のさまざまなサーバやネットワーク機器からログを収集し、一元的に管理することができます。収集したログを分析することで、不審な通信や異常な挙動を検知し、セキュリティの脅威に対して迅速な対応が可能です。
ゼロトラストの実践事例
ゼロトラストの実践事例について、導入して良かった点と悪かった点を挙げてご紹介します。
TIS株式会社
TIS株式会社は2020年にゼロトラスト環境の構築を開始しました。実際にゼロトラストを実践した結果、良かった点は以下のとおりです。
- 利便性の向上
- セキュリティレベルの向上
- ネットワーク管理の負荷軽減など
生体認証の導入により、利用者はどこからでも安心して社内ネットワークにアクセスできるようになりました。
一方で、悪かった点は以下が挙げられます。
- 利用準備と業務遂行が大変
- インシデントへの対応が増加した
- 業務遂行が停滞
ゼロトラストの導入に伴い、利用者や運用者は新たな手続きや対応が求められます。そして、インシデント(セキュリティ上の脅威)対応では、誤検知などにより運用負荷が増大し、改善が必要であることがわかりました。こちらは、SOARによって対応を自動化、効率化することで対策を行いました。
SOAR(Security Orchestration Automation and Response)とは、セキュリティ運用とインシデントレスポンスのプロセスを強化するために開発された技術。TIS株式会社のケースは、ゼロトラストの実践が成功と課題の両方を経験し、持続的な改善と運用を追求する事例といえるでしょう。
参照元:TIS株式会社
ゼロトラストセキュリティ製品5選
ゼロトラストセキュリティを実現するためには、信頼できるアクセスの確立とリソースへの適切な認証が不可欠。そのようなニーズに応えるため、数多くのゼロトラストセキュリティ製品が市場に存在します。
以下に、代表的なゼロトラストセキュリティ商品を5つ挙げ、特徴や利点について解説します。
|
製品名 |
特徴 |
費用 |
|
Zscaler |
クラウドベースのセキュリティ対策製品 |
要お問い合わせ |
|
Okta |
17,000社以上の顧客がいるIDaaS製品 |
1ユーザー320円~/月 |
|
Optimal Biz |
シェア12年連続1位のMDM商品 |
初期費用45,000 円/1契約 月額料金300円/端末1台~ |
|
DataClasys |
純国産の完全自社開発のDLP/IRM製品 |
200万円~ |
|
Logstorage -X/SIEM |
直感的に操作できる日本語対応のSIEM製品 |
要お問い合わせ |
Zscaler(ゼットスケーラー)
Zscaler(ゼットスケーラー)のおすすめポイント
- Microsoft 365との高い親和性
- 長期間のアクセスログを保存可能
- ユーザーごとにアクセスコントロールを詳細に設定できる
米国のゼットスケーラー社が提供しているクラウドベースのセキュリティサービスです。Webアクセス・リモートアクセスのセキュリティを一元提供します。ZscalerはMicrosoft 365が推奨しているインターネット経由のダイレクトルーティングに対応しています。
Microsoft 365のトラフィック(ネットワーク上の情報)処理をスピーディに行うなど導入が比較的容易です。また、アクセスログは6か月保存できるだけでなく、瞬時にレポートにして分析することも可能です。
そして、ユーザーごとに帯域制御や URL フィルタリングなどの条件を設定することもできます。たとえば、YouTubeへのデータ通信は回線総量の20%までに制限をかけることなどができます。指定した URL に応じてアクセスを制限することが可能なのです。
Okta(オクタ)
Okta(オクタ)のおすすめポイント
- 多要素認証やアクセス制御をサポート
- ユーザーの権限や職位、所属に応じて接続サービスを設定できる
- システム管理者はユーザー、端末、ディレクトリサービスを一元管理できる
IDaaSのひとつで、17,000社以上の顧客がいる世界中で評価されているID管理プラットフォームです。IDaaSとはクラウドベースのID管理と認証を提供するサービスのこと。Oktaは、7,000以上のコンシューマーアプリやSaaSアプリに対応しており、事前連携されています。IDaaSの製品を探している方はぜひ検討してみてください。
Optimal Biz(オプティマルビズ)
Optimal Biz(オプティマルビズ)のおすすめポイント
- サーバーの構築が必要ない
- マルチデバイスに対応
- 紛失や盗難時には端末をロック
MDM製品のひとつで、シェア12年連続1位の実績があり、18万社以上に導入されています。MDM(Mobile Device Management)とは、スマホなどのモバイル端末を管理するためのシステムのこと。国内開発による安心の品質とサポート体制が整っているのが特徴です。
また、豊富なカスタマイズ性能が備わっていて、デバイスやグループ単位で各種設定が行える点も支持されている理由の1つといえるでしょう。スマホやタブレットの端末を効率的かつ安全に管理したい場合はOptimal Bizを検討してみてください。
DataClasys(データクレシス)
DataClasys(データクレシス)のおすすめポイント
- もし漏洩したとしても安心な根本的対策
- ゼロトラストセキュリティに欠かすことのできない常時暗号化
- 暗号鍵を管理しているサーバは顧客ごとに独立
DLP/IRM製品のひとつで、純国産の完全自社開発の製品です。DLP(Data Loss Prevention)は、セキュリティのコンセプトの一つであり、データの損失や漏洩を防止するための取り組みや技術を指します。IRM(Information Rights Management)は、情報管理の一手法で、データの保護と制御を目的としたセキュリティソリューションです。
DataClasysでは、クラウドストレージやログ管理ツールなどの他製品との連携が可能。フォルダ保存による自動暗号化が標準機能として備わっているため、管理者の負担軽減も期待できます。
近年、企業の情報漏洩が増加していることから、情報セキュリティ対策にますます注意を払う必要があります。対策の一環として導入を検討してみてはいかがでしょうか。
Logstorage-X/SIEM(ログストレージ・エックスシーム)
Logstorage-X/SIEM(ログストレージ・エックスシーム)のおすすめポイント
- 操作もサポートも日本語に対応
- 難しい操作は不要で直観的に操作できるGUI
- テンプレートが豊富なため専門の技術者が不要
SIEM製品のひとつで、直感的に操作できるGUI(Graphical User Interface)が特徴です。SIEMは、Security Information and Event Managemenの略語です。
システム上で発生するセキュリティ関連の情報などを収集、分析、監視し、セキュリティインシデントの早期検知と対応を支援します。
Logstorage-X/SIEMでは、分析画面は難しいコマンド操作がなく、マウス操作で分析ができるため、属人性を排除でき、自社での運用を継続することができます。テンプレートも豊富で、海外SIEM製品が多い中で純国産のため、日本語でのサポートが受けられる点もメリットといえるでしょう。SIEM製品を選ぶ際に、使いやすさを重視したい場合はおすすめな商品です。
ゼロトラストの必要性やメリット、導入事例などについてまとめました
従来のセキュリティモデルには限界があり、増え続けるリスクに対応しきれません。
だからこそ、ゼロトラストという概念のセキュリティモデルが注目されているのです。すでに多くの企業がゼロトラストセキュリティを実践しています。
ZscalerやOkta、Optimal Biz、DataClasys、Logstorage-X/SIEMなどの製品も利用できます。セキュリティを強化し、リスクを軽減するために、ゼロトラストへの取り組みを始めましょう。
