ここ数年、情報セキュリティ業界で「ゼロトラスト」という言葉をよく見聞きするようになった。しかし、ゼロトラストという新しい概念を適切に理解している人はそう多くないかもしれない。この記事では、ゼロトラストの概念と、ゼロトラストが注目されるようになった背景などを解説する。
ゼロトラストとは
ゼロトラストとは、「ゼロ」=「何も~しない」、「トラスト」=「信頼する」という言葉のとおり、「何も信頼しない」ことを前提に対策を講じる、セキュリティ対策における新しい考え方である。従来のセキュリティ対策では、「内側(社内ネットワーク)」と「外側(インターネット)」に分けて対策を講じる考えが一般的だった。
内側の通信は信頼できるもの、外側の通信は信頼できないものとして、その境界のセキュリティ対策を徹底する。すなわち「境界型防御」が主流であり、外側からのマルウェア侵入、不正アクセスの防止に主眼を置いていた。これは社内ネットワークには、不正な行為を企てるものはいないという、性善説に基づいた考え方と捉えることもできる。
しかし、クラウドサービスやモバイルデバイスの普及、コロナ禍における環境変化に伴うテレワークの増加などもあり、働く環境が多様化した結果、企業ネットワークの内外を隔てる境界そのものが不明瞭になりつつある。そのため、従来型の「境界型防御」では、情報漏えいやマルウェア感染などから企業を守ることが難しくなってきた。
そこで、注目が集まっているのがゼロトラストと呼ばれる概念である。このゼロトラストの概念は、2010年に米国のフォレスター・リサーチ社のジョン・キンダーバーグ(John Kindervag)が提唱した「Never Trust, Always Verify.(決して信頼せず、常に監視せよ。)」という考え方が基本となる。これは先ほどの性善説的なアプローチとは真逆で、性悪説的な考えともみなせる。
こうした考えを体系化したのが、米国NISTから2020年8月に正式版が公開された「NIST SP800-207」だ。この文書では、ゼロトラストにおける考えの原則や実現方法などが述べられている。
ゼロトラストへの関心が高まった背景
2020年前後に、急速にゼロトラスト・セキュリティへの関心が高まった背景としては、大きく次の2つが挙げられる。
1)コロナ禍の影響でテレワークを導入する企業が増えた
コロナ禍によって、「出社率を下げるように」という国からの要請もあり、テレワークを導入する企業が急増した。オフィスだけでなく自宅やカフェなど、通信が可能なあらゆる場所から社内ネットワークへアクセスする必要性に迫られた。
2)クラウドサービスの利用が一般的になった
さまざまな業務システムがクラウドサービスとして提供されるようになり、利用企業も増加の一途を辿っている。その結果、オフィス内だけでなくクラウド上にもデータやアプリケーションが置かれるようになり、あらゆるプラットフォーム間でデータがやり取りされる状況となった。
こうした状況では、従来型の境界型防御を主としたセキュリティ対策では対処しきれなくなったのだ。そこで、どのような端末、どのようなデータ、どのようなネットワークであっても信頼しないという、ゼロトラストの概念が注目され、従来型の境界型防御から方向性を改める企業が増えつつある。
ゼロトラスト・セキュリティ導入のメリットと懸念点
ゼロトラストのメリットとデメリットとして、以下のようなものがある。
メリット
1)従来型のセキュリティでは防げなかった攻撃を防げる
すべての通信や端末の動作について、マルウェアの侵入、振る舞いをチェックする。また、不正な通信など、サイバーセキュリティ上の脅威の有無を把握しようと試みるため、従来型の境界型防御では防げなかった攻撃にも対処可能で、クラウドサービスを利用する際の安全性も高まる。
2)社外からのアクセスのリスクが軽減する
境界型防御では、一度外からのアクセスが許可されると、その認証情報が継続して使われるため、社外からアクセスするユーザーがマルウェアに感染していた場合などにリスクが生じ得る。ゼロトラスト・セキュリティなら、テレワークなどでの社外からのアクセスについても接続のたびに認証を行うため、そうしたリスクを軽減できる。
3)ログイン負荷軽減などの業務効率化の実現
ゼロトラスト・セキュリティでは、後述するゼロトラスト・リモートアクセスと呼ばれる、クラウドベースでの認証を推奨している。そのため、アクセスが簡素化され、ユーザーの操作の負担が軽減されることになる。具体的には、ID・パスワードでの認証だけでなく、多要素認証やシングルサインオンなどにも対応しており、複雑なIDやパスワードを入力せずとも、高いセキュリティを実現できる。
懸念点
1)セキュリティ対策に関する常識を改める必要がある
ゼロトラスト・セキュリティは、従来の境界型防御とは全く考え方が異なるため、従業員全員のセキュリティに関する常識を改め、すべてのアクセスや端末を信用しないという考え方を浸透させる必要がある。また、環境の変化により、ゼロトラストを前提としたセキュリティ対策が必要になっている理由や、適切に利用することの重要性を説明することも求められるだろう。
2)導入に時間やコストがかかる
ゼロトラスト・セキュリティの実現には、既存のセキュリティを一から見直し、複合的にソリューションを組み合わせての対策となるため、境界型防御に比べて導入に時間やコストを要する。また、アクセス許可の申請などの手間が発生するため、それまでと比較すると、業務効率が低下する可能性もゼロではない。
ゼロトラスト・セキュリティを実現するソリューションとは
ゼロトラスト・セキュリティは、すべてのアクセスや挙動など全体的に通信状態を監視するものであり、一般的には複数のソリューションを組み合わせて実現することになる。そのための代表的なソリューションを以下に挙げていく。
アカウントの認証や管理を行うIAM
IAMとは、Identity and Access Managementの略で、複数のアカウントを統合的に管理するソリューションのこと。社内システムやクラウドサービスに紐づくアカウントを統合して管理することにより、各アカウントの認証・認可を適切に管理できるため、不正行為のリスクが低減する。最近では、クラウドサービスとして提供される「IDaaS(Identify as a Service)」型のソリューションが多い。
端末監視を行うEDR、包括的な監視を行うNDR、XDR
EDRとは「Endpoint Detection and Response」の略で、ユーザーが利用するパソコンなどの端末(エンドポイント)における不審な挙動を検知するものだ。NDRとは「Network Detection and Response」の略で、ネットワークを流れるトラフィックを包括的に監視し、脅威を検知する。この両者を組み合わせたソリューションがXDR(Extended Detection and Response)であり、エンドポイント、ネットワーク、クラウドといったすべてのレイヤーからデータを収集し、相関付けることで脅威を迅速に検知する。
エンドポイントをマルウェアの脅威から守るEPP
EPPとは「Endpoint Protection Platform」の略で、パソコンやスマートフォン(以下、スマホ)などのエンドポイントを守ることに特化したソリューションであるが、いわゆる総合型セキュリティソフトと呼ばれるものが代表例だ。境界型防御の考えにおいても、端末の保護を目的にクライアント端末に導入されてきた。ゼロトラスト・セキュリティにおいても、引き続きEPPは重要な役割を担う。
モバイルデバイスを管理するMDM
MDMとは、Mobile Device Managementの略で、スマホやタブレット、ノートPCといったモバイルデバイスを遠隔から管理するソリューションであり、モバイルデバイスを使ったテレワークが増えた今、ゼロトラスト・セキュリティの実現には欠かせないソリューションの1つだ。
VPNのクラウド化を実現するゼロトラスト・リモートアクセス
これまでのリモートアクセスは、VPNを利用して社内ネットワークに接続することが一般的であったが、拡張性や脆弱性の面で課題を抱えていたほか、結果的に通信経路が迂回することになるため、パフォーマンスに問題が生じるケースもあった。こうした課題の解決を期待されているのが、ゼロトラスト・リモートアクセスやゼロトラスト・ネットワークアクセスと呼ばれるソリューションだ。ゼロトラスト・リモートアクセスでは、セキュアな通信を行うための処理をクラウド側で行う。その結果、急なユーザー追加にも柔軟に対応でき、通信経路を最適化できるほか、社内への攻撃を受けにくくなるというメリットがある。
SOCやMDRといったセキュリティオペレーション
SOCとは「Security Operation Center」の略で、サイバー攻撃の検出・分析から、対応策のアドバイスまでを担う専門チームである。企業内にこうしたセキュリティ専門組織を設けることで、EDRやXDRといったソリューションを最大限に活かすことができるようになる。しかし、企業の規模によっては、このような専門チームを自社で保有・維持するのは予算・人材面で難しいこともある。
そのような場合、選択肢の1つとなるのがMDR(Managed Detection and Response)だ。いわゆるSOCのアウトソーシングといった位置付けのサービスであり、脅威の検知や調査などを行うマネージドサービスである。
キヤノンMJが提供するMDRサービス「ESET PROTECT MDR」はこちら。
包括的なエンドポイント対策による事前防御に加え、XDRによる事後対策と運用・支援サービスまでをワンストップで提供します。
※「MDR選定ガイド」もご活用ください。
新しいネットワークセキュリティのモデル「SASE」
2019年、ガートナー社が提唱したのが「SASE(Secure Access Service Edge)」と呼ばれる概念だ。SASEは、これまで個々に存在していたセキュリティサービスとネットワークサービスを一体にしたネットワークセキュリティの新しい概念である。
従来、セキュリティやネットワークのアーキテクチャは1つの課題に対して1つのアーキテクチャで対処することが主流であったが、その結果、システムを全体として見た場合、最適化にはほど遠い状況で、ユーザーの利便性低下だけでなく、セキュリティリスクが増大してしまうといった課題が表出していた。
このような状況を解決するために生まれた概念がSASEである。SASEでは中心となるセキュリティプラットフォームをクラウド上に用意し、従業員はこのプラットフォームを経由してWebサービスなどを利用することになる。すなわち、ゼロトラスト・セキュリティを実現するための新しいフレームワークともみなせる。
しかし、既存の情報資産を多く抱える企業では、こうした概念に基づくシステム移行は容易ではないだろう。そのため、今後時間をかけて緩やかに移行していくというのが現実的な進め方だと考えられる。
時代背景や利用可能な技術、ツールによって業務環境は大きく変わる。クラウドサービスやスマホなどのモバイル端末の普及は大きな変化を引き起こそうとしている。まさに大変革とも呼べる時代、セキュリティの在り方も再考が求められている。
