ゼロトラストとは?セキュリティモデルや事例・製品をわかりやすく紹介

テレワークの推進や社外のプロジェクトメンバーとのデータの共有など、社内のシステムに外部からアクセスするケースや頻度が増えてきました。
そのため、マルウェアなどの脅威にさらされているといえますが、情報漏えいの観点からいえば、脅威は外部だけとは限りません。

今回は、最近注目が集まっているゼロトラストについて、セキュリティモデルやメリット・デメリット、導入事例、製品についてわかりやすく紹介します。

目次

  1. ゼロトラストとは
  2. ゼロトラストセキュリティモデル
  3. メリット・デメリット
  4. 導入事例
  5. 製品紹介
  6. まとめ

1. ゼロトラストとは

概要

ゼロトラストは、2010年にアメリカの調査会社「Forrester Research」社によって提唱された概念です。
ZeroとTrust(信頼)を組み合わせた言葉で、その言葉のとおり「何も信頼しない」というのが前提です。

あらゆるユーザーやデバイス、場所などを信用できないものと考え、アクセスに対する正当性や安全性を検証して不審な点はないか確認し、マルウェアの感染や大切な情報への脅威を防ぐという、新しいセキュリティの考え方です。

注目されるようになった背景

〈DXの推進に伴う働き方の変化〉

近年、DX(Digital Transformation:デジタル技術によるビジネスや生活の変革)の推進により、働き方が変化しています、特に最近ではテレワークが広がって時間や場所を選ばす仕事をすることができるようになり、社外からのアクセスが増えています。

このような状況に対し、従来の境界型のセキュリティモデルでは対応しきれなくなっているのが背景の一つとして挙げられます。

〈クラウドサービスの利用デバイスの増加〉

業務に関するデータはクラウド上にアップされることが多くなり、パソコンだけでなくタブレットやスマートフォンといったデバイスを使って社内外からアクセスできます。このような環境には、安心・安全なセキュリティ対策が求められます。

〈内部不正による情報漏えいのリスク〉

外部だけでなく内部不正による情報漏えいにも目を光らせなくてはなりません。従来の境界型のセキュリティモデルでは、内部のアクセスは一度認証されれば安全と判断され、その後の内部不正には対応はできません。
ゼロトラストが注目されるようになった背景には、このようなことが考えられます。

2. ゼロトラストセキュリティモデル

従来の境界型のセキュリティモデルは、ファイアウォール(あらかじめ設定したルールに従って、通してはいけないアクセスを止める機能)などを設置して、社内ネットワークなど一度信用できると判断されたアクセスについてはその後も安全、外部ネットワークは危険と判断していました。
そのため、一度中に入ってしまえば、デバイスがマルウェアなどに侵されていても自由に動くことができるため、悪質なサイバー攻撃を防ぐことができません。

一方、ゼロトラストセキュリティモデルでは、社内ネットワークでもアクセスの度に正当性や安全性を検証・確認します。
また、個々のユーザーに必要最小限の権限しか与えないため、不審なアクティビティや兆候を素早く検知し、対応することができます。
これにより、悪意のあるユーザーが侵入しても、セキュリティ被害を最小限に抑えることが可能です。

3. メリット・デメリット

メリット

〈データ流出のリスクを軽減〉

企業は、顧客情報や機密情報など重要なデータを大量に保管しています。
これらの情報が流出すれば、損害賠償につながるだけでなく、社会的な信用は失墜します。

ゼロトラストセキュリティモデルでは、ユーザーに必要最小限の権限しか与えないため、たとえ不正に侵入することができても、閲覧できる情報は限られているので、流出データを少なく抑えることができます。

〈インシデントの問題点の早期発見〉

セキュリティが強固なゼロトラストセキュリティモデルでも、インシデント(事故につながりかねない出来事や状況)をゼロにすることはできません。

しかし、アクセスの度に正当性や安全性を検証・確認し、リアルタイムでアクセス履歴を残せるため、インシデントが起こった時、アクティビティを確認すれば、早期に問題点を特定することができます。
これにより、被害を最小限に食い止めることができます。

〈セキリュティ管理の簡素化〉

従来の境界型のセキュリティモデルでは、VPN(一般的なインターネット回線を利用して作られる仮想のプライベートネットワーク)やファイアウォールの導入・運用のために、複雑な設定が必要です。
ゼロトラストセキュリティモデルではそのような複雑な設定は必要なく、セキュリティ管理を簡素化することが可能です。
そのため、セキュリティ管理にかかる人材やコストの削減につながります。

〈ネットワークへのアクセスのしやすさ〉

従来の境界型のセキュリティモデルでは、システムごとにパスワードを使い分け、その上セキュリティを強固にするため複雑で長いパスワードが必要です。
忘れてしまうとアクセスできないばかりか、入力間違いなどによりアカウントロックがかかるなど、ユーザーにとってパスワード管理は負担になっています。

ゼロトラストセキュリティモデルでは、1つのパスワードであらゆるシステムに安全にアクセスできるシングルサインオン機能などをクラウドベースで提供しています。
これにより、ユーザーの利便性を損なうことなく、セキュリティを担保できます。

デメリット

〈導入コスト〉

ゼロトラストセキュリティの実現には、多くの製品やサービスを導入する必要がありますので、コストがかかる場合があります。
適切な製品やサービスを用いて、コストを抑えましょう。

〈業務への支障〉

さまざまな場面でアカウントの権限やアクティビティが確認されるため、業務に支障を来す可能性があります。
例えば、不在にしている担当者に代わってデータを送信する場合、アカウントに権限がなくてアクセスできないといったことが考えられます。

また、従業員が新しいシステムに慣れるまでに時間がかかって作業が滞ったり、セキュリティ管理者の業務量が増えたりすることもデメリットとして挙げられます。

4. 導入事例

①21st Century Fox

出典:21st Century Fox

アメリカのエンターテイメント企業「21st Century Fox」社が送り出しているコンテンツには、多くの協力会社がかかわっています。

ある映画の製作には、200以上もの協力会社がかかわったといわれています。
これだけ多くの関係者がネットワークに接続した場合、セキュリティリスクはとても高いと考えられたため、同社はゼロトラストセキュリティモデルを採択しました。

そして、ゼロトラストセキュリティモデルに基づき、システムごとのアクセス記録、多要素認証などをユーザーの業務効率を落とさないように導入しました。

②auカブコム証券株式会社

出典:auカブコム証券株式会社

オンライン証券サービスを提供している「auカブコム証券株式会社」は、重要な個人情報や口座情報などを多く保管しており、セキュリティ対策はとても大きな課題でした。
同社ではバックエンドからフロントエンドまでシステムを内製化しており、従業員が場所や時間を選ばず、オフィスと同じ環境で安全に業務が行えるようゼロトラストセキュリティを推進ししました。

同社は、Microsoft社、Splunk社、Akamai Technologies社といった複数のソリューションを組み合わせて導入し、高度なゼロトラストセキュリティを実現しました。

③株式会社ZOZO

出典:株式会社ZOZO

ファッション通販サイト「ZOZOTOWN」を運営する「株式会社ZOZO」は、子会社「株式会社ZOZOテクノロジーズ」のテレワーク開始に伴い、ゼロトラストセキュリティを推進してきました。

ZOZOテクノロジーズ社は、Microsoft社が提供するさまざまなゼロトラストツールを利用してアクセスの監視や端末管理を行い、社外で作業できる体制を整えました。
製品同士の相性の良さとトラブルが少ないこと、WindowsだけでなくMacも一括で管理できるというメリットから、使う製品を1社にまとめました。
その後、親会社でも同様のプロセスを経て、導入に至りました。

5. 製品紹介

BeyondCorp リモートアクセス

出典: BeyondCorp リモートアクセス

Google社が提供する、ゼロトラストセキュリティモデルに基づくセキュリティソリューションです。
約10年にわたるGoogle社内での使用実績があります。
VPN を使用せずに、従業員や外部の人がどこからでも社内アプリケーションに簡単・安全にアクセスでき、生産性を維持できます。

また、ユーザーID、デバイスのステータスなど、アプリケーションごとにアクセス制御を行い、セキュリティの向上とリスクの軽減を図っています。

Cisco Duoセキュリティ

出典: Cisco Duoセキュリティ

シスコシステムズ合同会社が提供する、クラウドベースのセキュリティサービスです。
アプリケーションにアクセスしようとしているユーザーやデバイスにゼロトラストを適用し、信頼性を評価します。
シンプルかつ迅速に導入でき、簡単に運用管理を行えます。

Azure AD、Azure Sentinel

出典: Azure AD
出典: Azure Sentinel

Azure ADはクラウドプラットフォーム、Azure SentinelはAIを活用したクラウドセキュリティ製品の名称で、いずれもMicrosoft社が提供しています。

Azure ADはクラウドサービスのユーザーにシングルサインオン、統合ID認証などの管理や認証機能を提供しています。これにより、効率的にシステムやアプリケーションへの認証ができ、安全に管理できます。
Azure Sentinelは、社内で発生したさまざまなログを統合管理し、AIの分析によって脅威を検出し未然に防御します。さらに、検出した脅威に自動対応できる機能もあるため、スピーディな対応が可能です。

6. まとめ

近年、企業を取り巻く環境や働き方が急激に変化しており、DXが急速に進んでいます。
そのため、従来の境界型のセキュリティモデルでは、社内の重要なデータを安全に守っていくことは難しくなっています。
このような状況から、ゼロトラストセキュリティは、これからのセキュリティ管理のスタンダードになっていくと考えられます。

関連記事