リモートワークやクラウドサービスの普及で、ネットワークの内部と外部を区別することが困難になり、新たなセキュリティアプローチが求められるようになりました。サイバー攻撃による被害拡大を防ぎ、情報資産を安全に保護するために注目されているのが「ゼロトラストセキュリティ」です。
本記事ではゼロトラストセキュリティの意味や注目される背景、メリット、具体的なソリューション、導入方法をわかりやすく解説するので、ぜひ参考にしてください。
 |
目次 |
ゼロトラストセキュリティとは?
ゼロトラストセキュリティとは、「すべてを信用しない」がコンセプトのセキュリティモデルのことです。すべてのアクセスは「信用できない外部からのアクセス」と見なされ、厳格な本人確認やアクセス権限付与の検討が必要となるため、より高い安全性を担保できます。
例えば以下のようなセキュリティ対策を行うことで、企業の情報資産はもちろん、情報を扱う端末や通信を保護します。
- 内部からのアクセスでも無条件に信用せずすべての通信を記録・可視化・暗号化
- アクセスIDが退職者のものや不正なものではないかをチェック
- ネットワークに接続するエンドポイントの監視
- 常時インターネットに接続しないパソコンやモバイルも含めた、すべてのエンドポイントにセキュリティツールを導入
【関連記事】ネットワーク全面刷新によるゼロトラストセキュリティの構築 ~JBCCグループは回線コスト約80% 削減にも成功~
従来の境界型防御との違い
従来の「境界型防御」と呼ばれるセキュリティ対策では、信頼できる「内側」と信頼できない「外側」にネットワークで境界線を作り、アクセスできるかできないかを判断していました。境界線にファイアウォールやプロキシーなどのセキュリティ機器を設置して、外部の犯罪者によるサイバー攻撃から保護する仕組みです。
しかし境界型防御では悪意のある人間が一度でもアクセスに成功すると、「信用できる内部の人間」と認識され、情報を持ち出して悪用されたり、システムを破壊されたりする危険性があります。
またクラウド活用やテレワークの普及により社外からのアクセスが増えた近年では、ネットワークの内部と外部を境界線で分けることが難しくなりました。そこで情報資産や社内システムへのアクセスはすべて信頼せず、アクセスの正当性や安全性を検証する「ゼロトラストセキュリティ」が求められるようになったのです。
ゼロトラストセキュリティを実現するソリューションの詳細は、後の章で詳しく紹介します。
ゼロトラストセキュリティを構成する要素
ゼロトラストセキュリティを実現するには、7つの構成要素を満たす必要があります。7つの構成要素に基づいたソリューションを選択し、組み合わせることで堅牢なセキュリティの構築が可能になるからです。
7つの構成要素の概要は、次のとおりです。
| ゼロトラストの構成要素 | |
|---|---|
| ネットワークセキュリティ | 社外ネットワークはもちろん、社内ネットワークからのアクセスでも同等のセキュリティ対策を実施 |
| デバイスセキュリティ | 会社所有のパソコンやスマートフォン、IoT機器などすべてのデバイス管理やセキュリティ対策を実施 |
| アイデンティティセキュリティ | 企業のネットワークへのアクセスは、個別のリクエストごとに許可を取る仕組み |
| ワークロードセキュリティ | すべてのデバイスのクラウドなどの利用状況を常に監視し、異常があれば自動で検知して管理者へ通知 |
| データセキュリティ | 機密情報の管理や内部情報の持ち出し、情報漏えいを防止 |
| 可視化と分析 | 自社の情報資産におけるセキュリティの状況、通信、アクセスリクエストなどを可視化し、傾向を分析 |
| 自動化 | セキュリティ体制やソリューションを連携して自動化し、トラブルの発生時は即時対応を実現 |
ゼロトラストセキュリティが注目される背景
情報化社会である現代において、ゼロトラストセキュリティが注目される3つの理由を紹介します。
リモートワークなど社外での仕事の普及
ゼロトラストセキュリティに注目が集まる背景のひとつに、リモートワークなど職場以外での仕事の普及が挙げられます。
新型コロナウイルスの影響により、多くの企業でリモートワークが導入されました。コロナ禍を経た現在でも、リモートワークと出社を組み合わせたハイブリッドワークを採用する企業は少なくありません。しかし社外へパソコンを持ち出したり、個人のパソコンを使ったりする機会が増えたことで、セキュリティの問題が発生しています。
また場所を選ばない働き方の普及で、社内で許可していないデバイスやアプリケーション、クラウドサービスを利用する「シャドーIT」が増加している点も懸念されています。シャドーITが蔓延するとセキュリティの脆弱性につながり、情報漏えいや不正アクセスなどのリスクが高まるからです。
クラウドサービスの利用増加
クラウドサービスの利用が増えたことも、ゼロトラストセキュリティが注目される理由のひとつです。以前は社内サーバーで管理していた機密情報を、現在はクラウドサービスで管理・保管しているという企業も多いでしょう。
しかしクラウド環境におけるセキュリティ対策は、クラウドサービスを提供しているベンダーに依存することになります。そこでクラウドへのアクセス管理を強化するために、ゼロトラストの概念に基づいたセキュリティ対策が求められるようになりました。
【関連記事】企業が抱えるクラウドセキュリティ対策とは?Azureを利用した解決策
内部からの情報漏えい
従来の境界型防御では内部の人間をすべて信用していたため、「情報漏えいは外部からの攻撃によるもの」という考え方が一般的でした。しかし、現在の情報漏えいは外部からの攻撃だけでなく、内部から起こることもあります。
情報処理推進機構(IPA)の「情報セキュリティ10大脅威2023」によると、組織における脅威の第4位が「内部不正による情報漏えい」となっています。実際、内部不正による情報漏えい事件をテレビや新聞で見たことがある人も多いのではないでしょうか。
内部不正による情報漏えいは、外部攻撃への防御をいくら強化しても防げません。しかしゼロトラストセキュリティなら、ID/パスワード管理や挙動監視を強化することで、内部不正にも対応できます。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティには、主に以下の3つのメリットがあります。
- セキュリティを強化できる
- 情報漏えいによる信用低下の回復にかかるコストが不必要になる
- DXを促進できる
ゼロトラストセキュリティでは内部も外部も関係なく疑うため、攻撃者が簡単にアクセスできないようになります。そのため外部サービスでも安心して利用できるようになるでしょう。
また情報漏えいによる信用低下を回復させるためのコストが不要になる点も、大きなメリットです。情報漏えいによって失われた信用を取り戻すには、多くの時間とお金、人材が必要となります。場合によっては損害賠償金を請求され裁判沙汰になるかもしれません。しかしゼロトラストセキュリティでより強力に情報漏えいを防ぐことができれば、情報漏えいなどのセキュリティインシデントによる信用低下を免れることができるからです。
さらにゼロトラストセキュリティが実現すれば、セキュリティ管理が効率化されDX推進につながります。IDやデバイスなどを一元管理でき、煩雑なセキュリティ管理が簡素化されるからです。ネットワークを内外の境界線で区別しないゼロトラストによって、クラウドサービスの利活用が促進され、DXを後押しできるでしょう。
ゼロトラストセキュリティを実現するためのソリーション
ゼロトラストセキュリティを実現するには複数のソリューションを導入し、組み合わせて活用することが重要です。ここでは、主な5つのソリューションを紹介します。
EPP(Endpoint Protection Platform)
EPP(Endpoint Protection Platform)は、ネットワークに接続されたエンドポイント(端末)を保護するセキュリティソリューションです。マルウェアによる攻撃からエンドポイントを保護することが目的で、マルウェアを検知して調査し、駆除します。
しかし近年ではサイバー攻撃が巧妙化しているため、EPPをすり抜ける脅威を想定し、次に紹介するEDRを組み合わせて導入することが重要です。
EDR(Endpoint Detection and Response)
EDR(Endpoint Detection and Response)は、エンドポイントにおける脅威の検知や隔離など、迅速な対応を支援するセキュリティソリューションです。パソコンやサーバーなどの通信や利用状況を常に監視し、不審な挙動があれば管理者に自動で通知して感染拡大を防止します。EPPは水際対策、EDRは感染後の被害拡大を防ぐソリューションといえます。
SD-WAN(Software Defined-Wide Area Network)
SD-WAN(Software Defined-Wide Area Network)とは、物理的なネットワーク機器を用いて構成したWANに、SDNを適用する技術のことです。SDN(Software Defined Networking)は、ネットワークをソフトウェアで制御する技術を指します。
SD-WANを用いるとWANを仮想的に一元管理できるようになり、通信状況や不正アクセスの有無を把握し、対処しやすくなります。
IAM(Identity and Access Management)
IAM(Identity and Access Management)とは、利用するロケーションや端末を含めたユーザー情報を正確に識別し、アクセス権限を付与する仕組みのことです。従来のIDとパスワードのみの認証方法とは異なり、本人確認やアクセス権限付与が厳格に行われるため、セキュリティ向上につながります。
クラウドベースのIAMサービスはIDaaS(Identity as a Service)と呼ばれ、クラウド上でさまざまなサービスとのID連携や認証するための機能が利用可能です。
CASB(Cloud Access Security Broker)
CASB(Cloud Access Security Broker)は、クラウド利用時のセキュリティに関する考え方です。Microsoft 365やGoogle Workspace、サイボウズOfficeなどのSaaS型のクラウドサービスの利用状況を監視して適切なセキュリティ対策を行うために、CASBが用いられています。
CASBには、可視化、コンプライアンスの遵守、データセキュリティ、脅威防御の4つの機能が搭載されています。CASBについて詳細は以下の記事で解説しているので、ぜひご覧ください。
【関連記事】CASB(キャスビー)とは?クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説
ゼロトラストセキュリティの導入方法
一般的に、ゼロトラストセキュリティの導入は以下の3つのステップで進められます。
- 課題の洗い出し
- 実装
- 日々の運用・改善
それぞれの概要を見てみましょう。
| ゼロトラストセキュリティ導入の進め方 | ||
|---|---|---|
| 1.課題の洗い出し |
|
例)
|
| 2.実装 |
|
例)
|
| 3.日々の運用・改善 |
|
例)
|
セキュリティソリューションを実装し、日々の運用を始めたら再び課題点を洗い出し、改善し続けることが大切です。
ゼロトラストセキュリティの導入における課題
ゼロトラストセキュリティには多くのメリットがある一方で、導入や維持管理のコストがかかるなどのデメリットもあります。多要素認証などを取り入れることで、ユーザーが慣れるまで操作性が一時的に落ちることもあるでしょう。
またゼロトラストは概念であるため、実装にはさまざまなセキュリティ機能が搭載されたソリューションを導入する必要があり、適用するには専門知識やスキルが欠かせません。ゼロトラストの実現に向けて現場の課題を洗い出し、複数のソリューションを導入しても、うまく連携しなければセキュリティの効果を得にくい点が課題です。
そこでゼロトラストセキュリティの導入や実装、運用には実績のある専門家によるサポートが必要とされています。
JBCCのゼロトラストセキュリティ構築の進め方
ゼロトラストセキュリティを構築するには、まずセキュリティの課題を可視化して、現状を把握することが大切です。そこでJBCCでは現状のリスクを把握し、最適なロードマップを提案する「見える化サービス」を提供しています。
見える化サービスでは、さまざまなセキュリティ課題を対象に、現状把握を進めます。
- システム全体の脅威
- インターネット公開IT資産の脅威
- クラウド環境の脅威
- Webアプリ・OSの脅威
- ゲートウェイ・ネットワークの脅威
セキュリティ対策の現状を把握した上で、それぞれの脅威の対応方針を策定し、優先順位づけを実施します。これらの結果に基づいて、コストやスキル面の不安を解消しながら、お客様の目指すセキュリティ対策を追求していきます。
JBCCではゼロトラストセキュリティを推し進める各種サービスをご用意しており、現状把握だけでなく、実装から日々の運用を含めてセキュリティ強化のサイクルを回すためのサポートを提供しています。
※画像をクリックすると拡大します
見える化サービスの詳細やお問い合わせは、下記のページをご確認ください。
【関連ソリューション】見える化サービス
またJBCCによるゼロトラストセキュリティの導入事例は、こちらから無料でダウンロードしていただけます。
【事例資料ダウンロード】新日本製薬 株式会社 様 ゼロトラストで事業を加速する攻めのセキュリティを実現
まとめ
ゼロトラストセキュリティは、リモートワークやクラウドサービスが普及する現代において、必須のセキュリティ対策です。高度化するサイバー攻撃から情報資産の保護を強化できるだけでなく、セキュリティ管理業務が効率化されDX推進にも役立ちます。
しかしゼロトラストセキュリティを実現するには自社の課題を適切に把握し、複数のソリューションを組み合わせて導入する必要があります。JBCCの「見える化サービス」では脅威を網羅的に可視化し、優先順位づけを行いながら最適なロードマップの策定をサポートします。
ご関心がありましたら、下記ページよりサービスの詳細をぜひご覧ください。
 |
見える化サービスお客様ごとの最適なセキュリティ対策を導き出すため、セキュリティの現状と課題を「見える化」する各種サービスをご紹介します。 |
\ クラウド導入にあたりセキュリティに課題・不安がある方へ /
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 460社、セキュリティ 1,100社の実績があります。 |
