いま注目されるセキュリティ対策に、「ゼロトラストセキュリティ」があります。ゼロトラストセキュリティとは、「ゼロトラスト」という考えに基づいた対策のことです。従来行われてきたセキュリティ対策である「境界型防御」と何が違うのでしょうか。ここではゼロトラストとゼロトラストセキュリティに関する基本を解説します。
目次
ゼロトラストの基礎知識
従来の社内ネットワークは、主に外部ネットワークと社内ネットワークの間を守る社内/社外という境界にフォーカスした「境界型防御」というコンセプトで行われてきました。しかしこのセキュリティ対策では、防ぐことのできない驚異も多く存在するようになりました。
そんな中提唱された、セキュリティ対策の考え方が「ゼロトラスト」です。「zero trust =信用しない」という考えです。例えば、システムにログインしたときに、IDとパスワードが合っていたとしても、IDとパスワードが不正に入手されたものかもしれません。また従業員が、ルールを無視して内部のデータを外部に持ち出すかもしれません。
そこで、ゼロトラストの考え方は「すべてを信頼しない」のです。これに基づくセキュリティ対策「ゼロトラストセキュリティ」は上記のような「信頼できない行動」に対して、有効な対策です。
ゼロトラストが注目される背景
いま、さまざまなセキュリティ対策の中で、ゼロトラストが注目されています。なぜ注目されているのか、4つの主な背景を解説します。
企業におけるクラウドサービス利用の増加
現在、多くの企業でクラウドサービス(SaaS : Software as a Service)の導入が進んでいます。クラウドサービスは、Webブラウザからアクセスして利用するのが一般的です。
Webブラウザからクラウドサービスにアクセスするということは、社内ネットワークから社外ネットワークに、または社外ネットワークから社外ネットワークにアクセスするということになります。したがって、これまで重視されてきた、社内ネットワークの中にあるコンピューターやサーバーを守るという方法では守れないのです。
テレワークの普及(VPNなどトラフィック増)
新型コロナウイルス感染症による影響や、働き方改革などにより、自宅などから作業を行うテレワークが急速に普及しました。このような環境下において、企業内の社内ネットワークに自宅などの外部ネットワークから参加できるVPNは、セキュリティ対策として有効ですが、社内ネットワークの入り口であるVPN機器に対し、多くの従業員が同時にアクセスすることになるため、パフォーマンスが大きく低下する恐れがあります。改善には、VPN機器を高速なものにしたり、企業のネットワーク回線を高速化したりする必要がありますが、増え続ける負荷への対応はキリがありません。
また、VPNだけでテレワークの安全性が担保できるわけではありません。サイバー攻撃は日々巧妙化しており、すでにVPNに対する攻撃も行われているからです。さらにVPNに頼ったセキュリティ対策は、社内ネットワークに侵入させないことが前提の方法です。もしVPNに対する攻撃が行われ、社内ネットワークへの侵入を許した場合、被害は非常に大きなものになるでしょう。
内部不正による情報漏えいの増加
セキュリティ対策を強化し、従業員に対するルールやガイドラインを設けたとしても、それを破る人がいます。こうした内部不正は、情報漏えいの増加につながります。例えば、自宅で作業を行うために、USBメモリを使って業務データの持ち出しや、禁止されている私物PCでの作業、利用を禁止されているアプリケーションや機器の利用などです。企業内ネットワークやPCの防御を前提にしている、従来のセキュリティ対策では、こうした不正を防ぐことは難しいでしょう。
サイバー攻撃の多様化
サイバー攻撃は多様化し続けています。例えば、マルウェアやフィッシング詐欺、ランサムウェアといった、従業員個人を標的にした攻撃も日々巧妙化しています。また急速に普及が進むVPNに対しても、不正ログインを試みたり、機器の脆弱性を狙ったりなどさまざまな攻撃が行われているのです。これらを従来のセキュリティ対策で守るためには、個々のサイバー攻撃に対して、個別に対応する必要があるため、現実的ではありません。
ゼロトラストの7つの基本原則
ゼロトラストは2010年に、米国のジョン・キンダーバーグ氏によって提唱されたセキュリティコンセプトです。その後、米国国立標準技術研究所(NIST)がこのコンセプトをもとに、米国政府が考えるゼロトラストの定義を、2020年8月に公表しました。
その中で書かれている「ゼロトラストの7つの基本原則」は、以下の内容です。
1.すべてのデータソースとコンピュータサービスは、全てリソースと見なす
2.ネットワークの場所に関係なく、通信は全て保護する
3.企業リソースへのアクセスは、全て個別のセッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他行動属性や環境属性を含めた、動的ポリシーによって決定する。
5.企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティの改善に利用する
引用:米国国立標準技術研究所(NIST)発表「Special Publication 800-207 Zero Trust Architecture」のPwCコンサルティング合同会社による日本語訳より(NIST公開資料)
この7つの基本原則は以下のように、大きく3つの項目に分類できます。
- 組織が持つリソースにあらゆるネットワークからのアクセスが必要な場合に用いられる:1・2
- ネットワーク境界による静的(スタティック)なアクセスコントロールではなく、アクセスごとに動的(ダイナミック)に検証が必要:3・4・6
- セキュリティ動作に関する情報を常に監視し、測定する:5・7
いわゆるゼロトラストセキュリティとは、この3つの項目を実施することなのです。
引用:同上
ゼロトラスト導入のメリット・デメリット
ゼロトラストセキュリティを導入するとどのようなメリットがあるのでしょうか。ここでは3つのメリットと、無視できない2つのデメリットを紹介します。
メリット
- 場所を問わずアクセス可能
ゼロトラストセキュリティは、従来のセキュリティ対策と違い、社内ネットワークを守るというコンセプトではありません。そのため自宅や外出先などから、場所を選ばずに、セキュリティを担保したままアクセスが可能です。
- シンプルで強固な認証・セキュリティ
ゼロトラストセキュリティでは、認証を一手に担います。そのため利用者側も、管理者側もシンプルな運用が可能です。またアクセス時に、適宜正当性を検証するため、高いセキュリティを保てます。
- ファイアウォールでは防げない攻撃も防御
ファイアウォールは、社内ネットワークへの侵入を防ぐことを目的とするセキュリティ対策です。そのため、クラウドサービスの利用がメインとなった場合、ファイアウォールだけではサイバー攻撃から守れません。クラウドサービスの利用は、社外から社外へのアクセスとなるからです。また近年、ファイアウォールでは防ぎきれないサイバー攻撃も増えています。例えばファイアウォールで許可しているアクセス方法を使い、社内に侵入するといった手口です。これらもゼロトラストセキュリティであれば、対応が可能です。
デメリット
- コスト増
ゼロトラストセキュリティを導入する場合、仕組みを理解し、必要な機能を搭載する製品を選ぶ必要があります。もちろん、すべての機能がワンパッケージで揃う製品もあります。しかし自社にとって不必要な機能も含まれている場合もあるでしょう。無駄なコスト増を避けるためには、ゼロトラストセキュリティに加え、自社の実務を理解、整理したうえで導入する製品を選ぶ必要があります。
- 業務効率の悪化
誰のアクセスであっても信頼しないというのがゼロトラストの基本的な考え方です。そのため、正しいアクセス権限を持っている従業員でも、アクセスのたびに、また適宜権限の確認や、利用状況を確認しなければなりません。さらにログイン中に、再認証を求められることもあるため、作業効率が悪化する可能性もあるでしょう。また、頻繁な安全性を確認することによって、ネットワークはもちろん、チェックを行う機器、ソフトウェアのパフォーマンスが低下し、業務に支障をきたす恐れもあります。さらに新しい仕組みに対応するため、管理者の業務負荷が高まったり、教育コストが増えたりするなど、従業員の負荷が高まる点もデメリットです。
ゼロトラスト導入時のポイント
ネットワークは、常に、そして新たな脅威にさらされています。そのため、現代においてゼロトラストセキュリティを導入する場合、行うべき防御体制を自社オリジナルで構築することは難しいでしょう。そのため、サービスとして導入する必要があります。ここでは、ゼロトラストセキュリティで基本となる、導入すべき機能やサービスについて紹介します。なお、自社の環境や状況に応じて、さらに機能が必要であることも忘れてはなりません。
認証が必要なため、ID管理を強化する
ゼロトラストセキュリティは社内外問わず、アクセスを認証する必要があります。とはいえ業務を行おうとした際、システムごと、アクセスごとにログインを行うことは非効率です。もちろんパスワードの使い回しはご法度ですから、管理も煩雑なものとなります。そのため、アクセスごとに認証を行えることを前提とした、作業効率を下げない認証基盤を導入するのがセオリーです。
認証基盤は、複数のシステム/サービスの認証情報を一元化できます。これは管理者の管理作業を容易にするばかりか、管理体制の強化にもつながります。また、ワンタイムパスワードといった多要素認証も実現できるため、セキュリティレベルも向上するのです。
アクセスや行動履歴を精査する
従業員がアクセスした、作業をしたといった行動履歴、いわゆるアクティビティを常に記録する必要があります。またこれらを精査し、データを持ち出すなどといった不審な行動やアクセスがあった場合に、アクセスを遮断するといった対策も求められます。
そのため、常にアクティビティを記録でき、それを精査できるシステムの導入が必要です。
IDaaS導入でゼロトラストの基盤作成
IDaaS(Identity as a Service)は、ID管理や認証サービスを統合したクラウドサービスです。管理や認証、アクセス制御、利用サービスごとのログ管理など、ゼロトラストセキュリティに必要な多くの機能が揃っています。まずIDaaSを導入してから、基盤を構築することは、ゼロトラストセキュリティ導入の近道といえるでしょう。
エンドポイントセキュリティ対策
ゼロトラストセキュリティにおいて、エンドポイントセキュリティは重要です。ここでのエンドポイントとは、ネットワークに接続された機器、PCやサーバー、スマートフォンなどを指します。
必要なセキュリティ対策は、HDDやSSDといったストレージの暗号化、アンチウイルスソフトの導入、不正なWebサイトへのアクセスブロックや、データ流出防止など、多岐にわたります。しかし、これらの機能を、個別に揃えることは難しいでしょう。自社に合った対策をと精査したうえで、必要な機能を備えたサービスの導入や、個々に機能を導入することが求められます。
ゼロトラストセキュリティはクラウド時代のセキュリティ対策
ゼロトラストは「すべてのアクセスを信用しない」という、セキュリティ対策方法の考え方です。この考えに基づいたゼロトラストセキュリティは、従来のセキュリティ対策で守りきれなかった、テレワーク時代そしてクラウド時代の驚異にも対応可能です。
一方、導入は簡単ではありません。サービスを導入するといっても、自社に不必要な機能を導入してしまっては、コストだけが無駄になってしまうでしょう。自社に合った製品を選び、導入することが大切です。
また、日々巧妙化するサイバー攻撃に対応するためには、導入するソフトウェアやサービスにも高いセキュリティ性能が求められます。オンライン電子契約サービスをお探しの方は、高いセキュリティ性能を誇る「電子印鑑GMOサイン」を試してみてはいかがでしょうか。「電子印鑑GMOサイン」では、ルート証明書や認定タイムスタンプ、ファイル暗号化、通信暗号化などのセキュリティ技術により、安全性の極めて高いオンライン電子契約が実現できるからです。