Powered by
丸紅情報システムズ株式会社

セキュリティ

date_range2023年5月10日

ゼロトラスト ~これから取り組むべきセキュリティ対策の方向性~

“Verify and Never Trust(決して信頼せず必ず確認せよ)”という前提で、システムにアクセスするものを一切信用せず、必ず確認(検証)することで、セキュリティ上の脅威を排除しようとする考え方「ゼロトラスト」が、ここ最近注目を集めています。

今日、情報そのものが極めて重要な資産と位置付けられる中で、その情報資産への脅威を可能な限り排除するべく、最大限のセキュリティ対策を施すことは、企業にとっては重要な取組み課題といえるでしょう。

従来はファイヤーウォールをひとつの境界として、その内側(社内)と外側(社外)に区分し、社内は安全、社外は危険という考え方が主流でした。しかしテレワークなどをはじめ社外からのアクセス頻度が高まる環境下では、境界型のセキュリティ対策では十分とはいえなくなっていることが、ゼロトラストが注目を集める背景にあります。

しかし一方で、ゼロトラストというキーワード自体は注目され、浸透しつつあるものの、企業内での実際の取組みについては、まだやっと端緒についたばかりというのが実情のようです。

そこで本稿では、ゼロトラストの考え方や、そのメリット、具体的な導入・運用上の注意点などについて取り上げ、企業としてどのようにゼロトラストと向き合っていくべきなのかについて考察していきます。

目次
  1. ゼロトラストの考え方と、その必要性が叫ばれる背景
    1. これまでのセキュリティの考え方
    2. なぜ今ゼロトラストが必要とされているのか
  2. ゼロトラスト導入のメリットは端末の状態等によって通信をコントロールできること
  3. ゼロトラスト導入には、デメリットもある
    1. オンプレミス環境からクラウドへ移管するときには特に注意が必要
    2. 目的を明確にして導入の要否を慎重に検討することが重要
  4. より良い製品の組み合わせでのゼロトラスト実現の方が、より効率的となる
  5. まとめ

ゼロトラストの考え方と、その必要性が叫ばれる背景

ゼロトラストとは、直訳すれば、トラスト(信頼)がゼロ(無し)だということです。

ゼロトラストでは、すべてのネットワーク接続、およびデータ・アクセスについて、常に認証・確認を行います。これによって、不正なアクセスやサイバー攻撃などから企業などの情報資産を高度に守ることが可能となります。

これまでのセキュリティの考え方

ゼロトラストにおいては、すべてのネットワークは信頼するに値しないと考えます。ファイヤーウォールの内側だろうと外側だろうと関係なく、あらゆるところにセキュリティリスクが潜んでいるという前提でのセキュリティ対策の実施が求められます。

2010年にアメリカの調査会社であるForresterResearch社が提唱したコンセプトで、この考え方は「Verify and Never Trust(決して信頼せず必ず確認せよ)」という言葉が象徴的ともいえます。

従来は“(ファイヤーウォールの内側である)社内は安全で、社外は危険”という前提で、セキュリティ対策を施すことが、企業におけるセキュリティ対策の中心的な考え方でした。このようなセキュリティ対策は「境界型セキュリティモデル」などといわれていましたが、今日では「ゼロトラストモデル」が主流になりつつあります。

なぜ今ゼロトラストが必要とされているのか

なぜ、今日ではゼロトラストモデルへの関心が高まっているのでしょうか。

ひとつには、コンピューターウイルスをはじめとする多様なマルウェアがより高度化し、ファイヤーウォールの内側であっても安全とはいえない状況が生まれていることが理由として挙げられます。

またふたつめとしては、近年クラウドが進化し、多くの企業がなんらかのクラウドサービスを利用するようになっていたり、その影響とコロナ禍の影響が相まって、テレワークが普及したことなども、ゼロトラストが注目される理由に挙げることができます。

このようなネットワーク環境下では、社内も社外も、十分な対策を実施しなければ、情報セキュリティを確保できなくなっており、現実にゼロトラストの重要性が増しているのです。

ゼロトラスト導入のメリットは端末の状態等によって通信をコントロールできること

昨今注目が高まっているゼロトラストですが、言葉自体が普及・浸透しているほどには、企業の取組み、すなわちゼロトラストの導入は、現状あまり進んでいるとはいえません。

コンセプトとしてのゼロトラストが、「内側も、外側もしっかりとセキュリティ対策する」ことだという理解はあっても、では具体的に何をどう対策すべきかということについては、理解されていないことも少なくないからです。

ゼロトラストを導入するにあたっては、端末側の状態、たとえばアプリケーションの状態や、アンチウイルスソフトがどうなっているのか、といったコンテキストをきちんと監視したり、その状況・状態によっては通信を止めたり、部分的に許可したりといったことが必要になったりしますが、実際にそこまで実施している企業は、それほど多くないのが実情です。

しかし、現実問題として、ゼロトラスト対策を導入することの最大のメリットのひとつは、この部分にあるといっても過言ではありません。つまり、情報にアクセスしようとする端末については、その状態をきちんと把握・確認した上で、場合によっては通信させない、あるいは通信させるけれども一定の制限をかけるといった、コントロールが可能になることがメリットです。具体例でいうと、一定のセキュリティソフトが動作していない端末は通信させない、といったコントロールをすることで、セキュリティリスクの軽減を図り、より安全な通信環境を確保することが可能となります。

ゼロトラスト導入には、デメリットもある

ただし注意しなければならない点もあります。ゼロトラストに限ったことではありませんが、どんなシステムであっても、新たに何かを導入しようとすれば、それまでの運用とはやり方が変わってしまうことになります。そのため、管理者の管理業務の負荷が増えてしまったり、あるいはエンドユーザーの手間が増えたり、といったデメリットが発生する可能性がつきまといます。

オンプレミス環境からクラウドへ移管するときには特に注意が必要

ゼロトラストの導入にあたっては、クラウド型のセキュリティ製品を活用するケースが多くあります。ある企業では、従前はオンプレミス環境でさまざまなセキュリティ製品を運用していたけれど、ゼロトラスト導入に向けてクラウド上の仮想ネットワークを使ったサービスを活用したいと考えました。しかし、実際にオンプレミス環境からクラウドへ移管しようとすると、非常な手間がかかってしまうことがわかり、結果的にゼロトラストの導入そのものを断念してしまったそうです。

たとえば、ネットの閲覧制限のためのフィルタリングについても、日本の企業ではかなり細かいルール設定をしているケースがあります。オンプレミス環境ではそれでも問題なく設定・運用できていても、それを新たにクラウド環境に移管するためにはゼロからやり直すことになり、その作業負荷は大変なものになります。

また、オンプレミス環境では、リモートアクセスに関する製品はA社製、ファイヤーウォール関連はB社製、フィルタリングはC社製という、多メーカーの組み合わせで運用しているケースが少なくありません。しかし、あるタイミングでゼロトラストの導入を考えて、ワン・パッケージで完結するクラウド型のゼロトラスト対応システムに移管しようとするケースでも、その製品自体の強み・弱みがあることから、最適なゼロトラストソリューションの導入が難しくなってしまうリスクが生じます。

目的を明確にして導入の要否を慎重に検討することが重要

コロナ禍の発生によって、ゼロトラストが注目され、その頃は、ワンストップでゼロトラストを実現できる製品に人気が集まりました。導入の手間が少なくて済むからです。しかし、実際にいろいろと調べてみると、ある機能が弱いために、理想とするレベルでゼロトラストが実現できない、といった問題にぶつかるケースが散見されました。

安直なゼロトラスト製品の導入は、むしろデメリットも少なくないことを、きちんと理解しておことが肝要です。

特に重要なのが、ゼロトラストの導入によって、どんなセキュリティを実現したいのか、という目的を明確にすることです。目的が明確になれば、どんな製品を選ぶべきかもある程度絞り込めますし、より適切なゼロトラスト対策が可能になります。

より良い製品の組み合わせでのゼロトラスト実現の方が、より効率的となる

ワン・パッケージでゼロトラストを実現できるタイプの製品には、リモートアクセスには強いが認証には弱い、あるいはその逆といった、製品ごとの特性があります。そのため、より自社の目的に合致したゼロトラストを実現するためには、必要な製品をアラカルトで選定し、その組み合わせでゼロトラストを実現する方が、理想に近いゼロトラストを実現できるでしょう。

ゼロトラストの実現に際して重要になるのは、リモートアクセス・ソリューション、そして認証ソリューションの製品です。

この2つの製品を一定レベルで組み合わせておくことで、ゼロトラストの実現が可能です。さらに、導入を検討されている企業側の状況やご要望によっては、EDR(Endpoint Detection and Response)をさらに組み合わせるということもあります。

端末の状態によるアクセス制限を実施し、加えて多要素認証を用いることで不正アクセスを防ぐことを基本とし、必要ならEDR(Endpoint Detection and Response)をも組み合わせる。こうした方法でゼロトラストの導入を検討することが、効率的・効果的なゼロトラストの実現に有益だといえるでしょう。

まとめ

丸紅情報システムズには、ABSOLUTEという製品があります。ABSOLUTEは、リモートワークなどの外部からのアクセス状況を確認し、適切でかつ柔軟なアクセス制御を可能にします。ゼロトラストの実現のためには、リモートアクセス・認証が不可欠の要素であることはすでに触れた通りですが、当社では、ABSOLUTEを軸として、ニーズに応じたゼロトラスト構築をお手伝いしています。

ゼロトラストの導入をお考えになったら、まずは丸紅情報システムズにご相談ください。現状では、まだまだゼロトラストという概念だけが先行してしまっている印象があります。大切なのは、この言葉に捉われないで、自分たちがやりたいことを明確にし、そのためには何が必要なのかをしっかりと理解することです。その上で、ソリューションを検討していくことで、失敗のないゼロトラストの導入が可能になります。

丸紅情報システムズは、その最初の入り口のところからサポートいたします。

この記事に関連する製品・サービスはこちら
ABSOLUTEレジリエント・ゼロトラストでテレワーク時代をリードする
製品サイト

最新記事

お役立ち資料

「アクセス制御」と「通信の最適化」で理想のリモートワークを実現

パンデミックをきっかけとして、リモートアクセスに求められることが変化している現在。本資料では、従来型のリモートアクセスソリューションには課題が潜んでいます。それらを解消する先進的なソリューションとしてAbsolute(NetMotion)を解説しています。

防御だけに頼るのではなく、EDRで早期検知を

最近のランサムウェアの傾向として「正規の動き」を装うものが増えています。こうした手法に対抗するには、エンドポイントや通信のログを解析し、怪しい挙動がないかどうかを検知するEDRのような仕組みが必要になります。本資料ではこのEDRについて解説しております。

優れたバックアップとランサムウェア検知機能で重要なデータを保護

最近では「バックアップを取っているから安心」という心理を見越し、サイバー攻撃者は先にバックアップを消してから本番システムを暗号化するようになってきました。ランサムウェアの被害を最小限に抑えるために、優れたバックアップやランサムウェアの検知等、高度なデータ保護機能を有したストレージの導入は有力な選択肢の1つです。

煩雑な運用に和ずらされることのない、高速なリカバリでシステムの稼働継続を

バックアップシステムは、システム稼働の継続に必要不可欠です。しかし、その適切な運用は専門的な知識を持ったエンジニアがいないと困難です。そして、バックアップを取っていても、システムが被害を受けた際、復旧まで時間がかかってしまってはいけません。こうした課題をまとめて解決し、簡単に導入できるソリューションを紹介します。

100%防ぐことはできないランサムウェア、感染後の対応にフォーカスを

バックアップを用いてランサムウェア被害からの一次復旧を果たしても、対策は終わりではありません。情報漏洩がないか確認や、再発防止のための施策が必要です。これまでの対策の限界をカバーする有効な手立てとは何なのでしょうか。本資料は、感染後の対応にフォーカスしたアフターランサムウェアについて解説しております。

ソフトウェア工学における技術的負債の知られざる真実

本資料では、ソフトウェア工学における技術的負債の知られざる真実と題して、ソフトウェアエンジニアリングチームが過去におけるすべての迅速な修正、または、手っ取り早い方法を着手したことに対して支払わなければならない代償である技術的負債について詳しく解説しています。

FDA サイバーセキュリティガイダンスに従うには

本資料では、医療機器を安全に保つ方法が示されているFDA サイバーセキュリティガイドラインについて、ガイドラインの概要、安全な開発ライフサイクルの5つのフェーズ、ガイドラインの実施方法、そして実施する手段としてSASTツールについて紹介しています。

PA DSSとは 概要とPA DSSコンプライアンス

本資料では、クレジットカード決済に関してはセキュリティが重要であるため、PA DSS および PA DSS への準拠が不可欠です。ここでは、PA DSS とは何か、PCI DSS との関係、および PA DSS コンプライアンスを確保する方法について解説しています。

ソフトウェア開発におけるセキュリティガイド 安全なコーディングスタンダード ベストプラクティス

ソフトウェアセキュリティ問題の最大90%はコーディングエラーが原因で不可欠とされている安全なコーディングスタンダード。ここでは、安全なコーディングスタンダードとは何か、およびこれらのセキュリティスタンダードを実施する方法について解説しています。

メーター読み取り業務の自動化・デジタル化とは?-現状の課題と導入メリットを徹底解説-

スマートファクトリ―において、現時点ではメーター読み取りの自動化・デジタル化が進んでいる現場は少なく、“せめてスマートメーターを導入したい”と思っても、それすら簡単には進まないのが実情です。ここでは、メーター読み取り業務の問題点や、その解決のための方策などについて解説しています。
すべて見る