ゼロトラストとは
ゼロトラストとは、文字通り、「トラスト(信頼)がゼロ(ない)である」という意味です。ゼロトラストでは「すべてのネットワークは信頼するに値しない」と考えており、ファイアウォールの内側・外側にかかわらず、「あらゆるところにセキュリティリスクが潜んでいる」という前提の基、セキュリティ対策を講じるという考え方です。
これはアメリカの調査会社 ForresterResearch が 2010 年に提唱した概念で、「Verify and Never Trust(決して信頼せず必ず確認せよ)」という言葉に象徴されます。
ゼロトラストは、すべてのネットワーク接続とデータ・アクセスを常に認証・検証を行うことで、企業などの情報資産を不正アクセスやサイバー攻撃から高いレベルで保護することを目的としています。
従来のセキュリティの考え方
従来企業のセキュリティ対策の中心的な考え方は、“社内(ファイアウォールの内側)は安全で、社外は危険”という前提で、セキュリティ対策を施していました。このようなセキュリティ対策は「境界型セキュリティモデル」と呼ばれ、多くの企業に適用されていましたが、現在では「ゼロトラストモデル」が主流になりつつあります。
なぜ今ゼロトラストが必要とされているのか
なぜ今、ゼロトラストモデルへの関心が高まっているのでしょうか。その理由のひとつは、コンピュータウイルスやさまざまなマルウェアが巧妙化し、ファイアウォールの内側でも安全とは言い切れない状況になっていることが挙げられます。
次に、近年クラウドが進化し、多くの企業がなにかしらのクラウドサービスを利用するようになったことと、コロナ禍の影響もありテレワークが普及したことにより、社内から社外へのクラウドサービスへのアクセスや社外から社内システムへのアクセスの機会が増えたことも、ゼロトラストが注目されている要因の一つです。
このようなネットワーク環境下では、もはや社内外の十分な対策なしには情報セキュリティは確保できず、ゼロトラストの重要性がますます現実味を帯びてきています。
ゼロトラストのメリット
ゼロトラストが注目されるようになってきましたが、言葉そのものが浸透しているほど、企業の取り組みや導入は進んでいないのが実情です。その理由として、ゼロトラストのコンセプトは「内外ともに強固なセキュリティ対策を講じること」であることは理解しているが、具体的に何をどのようにすればいいのかが理解されていないということが挙げられます。
ゼロトラストを導入するためには、アプリケーションやアンチウイルスソフトの状態など、端末側の状況を適切に把握し、場合によっては通信を停止したり、部分的に許可したりする必要があります。ただ、実際にそこまで対策を施している企業は多くはありません。
細かい通信制御が可能
しかし、ゼロトラスト対策を実施する最大のメリットは、この部分にあるといっても過言ではありません。つまり、情報にアクセスしようとする端末の状態を確認・把握し、場合によっては通信を許可しない、あるいは通信は許可するが一定の制限を課すといった制御が可能になるというメリットがあります。具体的な例でいうと、一定のセキュリティソフトが動作していない端末は通信させない、といったコントロールをすることで、セキュリティリスクの軽減を図り、より安全な通信環境を確保することが可能になります。
ゼロトラストのデメリット
しかし、注意しなければならない点もあります。ゼロトラストに限ったことではありませんが、どんなシステムであっても、新しいシステムを導入する場合、その運用方法を変更する必要があります。そのため、管理者の管理業務負担が増えたり、エンドユーザーの手間が増えたりする可能性があります。
オンプレミスからクラウドへ移管は要注意
ゼロトラストの導入は、クラウド型のセキュリティ製品を利用するケースが多いです。ある企業では、オンプレミス環境でさまざまなセキュリティ製品を運用していたけれど、クラウド上の仮想ネットワークを利用したサービスを利用してゼロトラスト導入したいと考えていました。しかし、実際にオンプレミス環境からクラウドへ移管しようとすると、非常に手間がかかってしまうことがわかり、結果的にゼロトラストの導入そのものを断念してしまったそうです。
たとえば、日本企業の場合、インターネットへのアクセスを制限するためのフィルタリングのルールが非常に細かく設定されているケースがあります。オンプレミス環境では問題なく設定や運用ができたとしても、それを新しいクラウド環境に移行する際には、また一からやり直さなければならないため、作業負荷が非常に高くなります。
た、オンプレミス環境では、リモートアクセスに関する製品はA社製、ファイアウォール関連はB社製、フィルタリングはC社製というように、複数のメーカーを組み合わせて運用しているケースも多いです。しかし、ある時点でゼロトラストの導入を考えて、ワン・パッケージで完結するクラウド型のゼロトラスト対応システムに移行したいケースでも、製品自体の強みや弱みによって、最適なゼロトラストソリューションの導入が難しくなってしまう恐れがあります。
目的を明確にして導入の要否を判断することが重要
コロナ禍の発生によってゼロトラストが注目され、当時はワンストップでゼロトラストを実現できる製品に人気が集まりました。導入の手間がかからないからです。しかし、実際に調べてみると、ある機能の弱点により、ゼロトラストの理想的なレベルを達成できないケースも多くありました。
安直なゼロトラスト製品の導入は、むしろデメリットも少なくないことを理解しておくことが重要です。特に、ゼロトラストを導入することでどのようなセキュリティを実現したいのか、その目的を明確にすることが重要です。目的が明確になれば、どのような製品を選べばいいのかある程度絞り込むことができ、より適切なゼロトラスト対策を実施することができます。
ゼロトラストを導入するために必要なこと
ワン・パッケージでゼロトラストを実現できるタイプの製品には、リモートアクセスには強いが認証には弱い、あるいはその逆など、製品ごとの特性があります。そのため、より自社の目的に合ったゼロトラストを実現するためには、必要な製品をアラカルトで選定し、それらを組み合わせることで、より理想に近いゼロトラストを実現できるでしょう。
ゼロトラストの実現に向けて重要になるのは、リモートアクセスソリューション、そして認証ソリューションの製品です。この2つの製品を一定のレベルで組み合わせておくことで、ゼロトラストを実現することができます。さらに、導入を検討されている企業側の状況やご要望によっては、EDR(Endpoint Detection and Response)をさらに組み合わせるということもあります。
端末の状態に応じたアクセス制限、さらに不正アクセスを防ぐための多要素認証、必要に応じてEDR(Endpoint Detection and Response)を組み合わせることが基本的な考えになるはずです。こうした方法でゼロトラストの導入を検討することが、効率的・効果的なゼロトラストの実現に有益だといえるでしょう。
丸紅情報システムズでは、リモートワークなど外部からのアクセス状況を確認することで、適切かつ柔軟なアクセス制御を可能にする「Absolute」という製品を提供しています。ゼロトラストの実現には、リモートアクセスや認証が不可欠な要素になります。お客様のニーズに合わせて、リモートアクセスソリューション、認証ソリューション、EDR等、包括的にゼロトラストの構築を支援しています。
まとめ
現状では、まだまだゼロトラストという概念だけが浸透している印象があります。大切なのは、この言葉にとらわれず、「自分たちがやりたいことを明確にし、そのためには何が必要なのか」をしっかりと理解することです。その上で、ソリューションを検討していくことで、失敗のないゼロトラストの導入が可能になります。
