ゼロトラストセキュリティ
近年、多くの企業でゼロトラストセキュリティ導入の必要性が叫ばれています。
特に、リモートワークなどの働き方の変化に対応する上では必須の考え方です。
そこで、この記事ではゼロトラストセキュリティの構成要素や重要性、導入する際の注意点を解説します。
目次
ゼロトラスト セキュリティ
アセスメントから導入・運用まで
ゼロトラストセキュリティの導入を総合支援!
ここではゼロトラストセキュリティについて定義や、具体的な施策、混同されやすい用語である「SASE」「SDP」について解説します。
ゼロトラストセキュリティは、従来の「信頼して内部に入れる」セキュリティモデルに代わる新しい考え方で、「常に疑う」ことを前提に置いた考え方です。
従来のネットワークセキュリティは、外部からの脅威に対しては強固な防御を築いていましたが、社内に一度入ると自由に行動することが可能になってしまうという欠点がありました。
近年では、リモートワークの拡大やクラウド利用の増加に伴い、ネットワークの境界が曖昧になり、内部からの脅威にも対処する必要が高まっています。
そのため、ゼロトラストセキュリティのような、すべてのアクセスリクエストを疑い、リスクを最小限に抑えようとするアプローチが重要視されています。
このセキュリティ概念を実践することで、組織内外を問わず、あらゆる接続を一貫して監視・管理することが可能になります。
ゼロトラストセキュリティを実行するうえでは以下のようなことが行われます。
まず、不審な振る舞いを監視する仕組みは非常に重要です。
例えば、通常では考えられない時間帯に行われる大規模なデータのダウンロードは、即座に検知されて調査を行う必要があるでしょう。
データの暗号化も欠かせません。
クラウド上に保存される機密情報が悪意のある第三者に漏えいするリスクを防ぎます。
また、アクセス権限の付与は業務に必要な範囲に限定されるべきです。
例えば、営業部門のスタッフが顧客データにアクセスできる一方で、技術部門のスタッフには同じデータへのアクセスが認められないといった形で、細かい制御を行うことが望ましいです。
こうした措置を行うことにより、組織内のすべてのアクセスが厳格に監視され、最小限のリスクで業務を進めることができるようになります。
ゼロトラストセキュリティは、「SASE」や「SDP」と混同されることが多いです。
「SASE」や「SDP」は、ゼロトラストセキュリティの実現を支える具体的な技術や仕組みであり、それぞれ異なる領域でゼロトラストの理念を具現化する役割を果たします。
「SASE」はネットワーク機能とセキュリティ機能を統合して、クラウドを介して提供されるアーキテクチャです。
近年、リモートワークの普及により離れた拠点間の通信を行うことが増えていますが、こうした環境での通信の保護に効果的です。
一方、「SDP」は特定のユーザーにのみ特定のネットワークやアプリケーションへのアクセスを許可する技術です。
許可されていないユーザーを排除することで、システムを外部の攻撃から守る役割を果たします。
ゼロトラストセキュリティはこれらの技術と連携しながら、すべてのアクセスを一貫して監視・管理することで、より高いレベルのセキュリティを実現することができるようになります。
ここでは、従来のセキュリティに対する一般的な考え方であった「境界防御モデル」とゼロトラストセキュリティの違いについて、「前提とする環境」や「アクセスのできる範囲」といった視点で解説します。
ゼロトラストセキュリティでは、「社内だから安全」という従来型の境界防御モデルの前提を完全に排除した対策を行います。
そのため、組織の内外を問わず、すべてのユーザーやデバイスが常に厳密な検証を受けます。
例えば、社内ネットワークに接続している社員でも、権限や安全性が確認されなければアクセスを制限します。
このように、ゼロトラストセキュリティは内部からの脅威も考慮したアプローチが最大の特徴です。
ゼロトラストセキュリティは、クラウド活用やリモートワークといった現代の柔軟なワークスタイルにも対応できる考え方です。
一方、従来型の境界防御モデルは、システムを扱う場所をオフィスなど特定の場所やデバイスに依存していた時代に適していた考え方です。
しかし、現代ではクラウドやリモートワークによってネットワーク境界が曖昧になっています。
従来型モデルでは、従業員や社内システムからの意図的または偶発的なセキュリティリスクである「内部脅威」やリモートや異なる拠点からの多様な接続環境からのアクセスである「分散アクセス」によってぜい弱性の高い環境へアクセスしてしまう確率が上がることへの対処を前提としたセキュリティ体制を構築できていません。 特に、「内部脅威」に関してはさまざまなリスクが想定されます。一例として、悪意なく社内データへのアクセス権を外部に共有してしまったなどがあげられます。
これは、取引先が複数いる場合などに起こる場合や、繁忙期でミスが起こりやすい場合に起こる可能性があるのですが、ミスを起こしたこと自体を社内のメンバーが気づかない可能性もあります。
このような例を含め、多様なクラウドやリモートワークの普及した現在では、境界防御モデルだけでは多様化する脅威へ対応することが難しくなっています。
従来型の境界防御モデルでは、多くの場合、社内ネットワークへの接続が許可されるとシステム内のほぼすべてのリソースにアクセスできる状態となっていました。
これは、社内ネットワーク内は安全と仮定し、効率を優先して自由なアクセスを許可していたためです。
一方で、ゼロトラストセキュリティでは、「必要なデータやシステムだけにアクセスを許可する」という原則があります。
そのため、アクセス範囲を必要最低限に制限することで、万が一認証が突破されても、攻撃者が利用できるデータやシステムが限定され、不正アクセスや情報漏えいのリスクを大幅に低減できます。
前提としてこれらの知識を生かし、セキュリティ強度をあげるためにはぜい弱性診断を行い、あらかじめリスクの洗い出しを行うことが重要です。
その上で、対応すべき内容の優先順位を決める必要があるでしょう。
ゼロトラストセキュリティが注目される背景には、働き方の変化や技術革新により、従来の境界防御モデルでは対応が難しいセキュリティリスクが増大していることがあります。
そこで、ここではそんなゼロトラストセキュリティが求められている理由を解説します。
リモートワークが一般化し、従来の固定されたオフィス環境から離れた働き方が主流となっています。
ゼロトラストセキュリティは、従来のセキュリティ体制では難しい「どこからでも安全に業務が行える環境」を提供し、今後新たな働き方が登場しても迅速に対応できる柔軟性を備えています。
このため、ゼロトラストセキュリティを導入することは企業にとってセキュリティリスクを軽減しながら生産性を維持するために必須といえるでしょう。
クラウドサービスは、業務効率化とコスト削減のために急速に普及しています。
しかし、クラウドサービスはデータを企業外部に保存するため、新たに潜在的なセキュリティリスクを抱える場合があります。
この状況では、データの漏えいや不正アクセスといったセキュリティインシデントはプロバイダーの管理に依存してしまいます。
十分な管理をされているプロバイダーであれば問題ありませんが、詳細なセキュリティ体制を外部から把握することは難しい場合が大半です。
ゼロトラストセキュリティは、クラウド上のデータやアプリケーションへのアクセスを厳密に制御し、情報漏えいのリスクを最小限に抑えます。
従来型のVPNは、接続後に広範な権限を持つため、侵入を許すと大きな被害につながります。
実際に、近年、盗まれた認証情報を用いた攻撃や、VPNサーバーのぜい弱性を狙った侵入事例が増加しており、これにより被害を受けた企業も少なくありません。
ゼロトラストセキュリティでは、アクセスするたびにユーザーやデバイスの確認を行い、必要なデータやシステムだけにアクセスを許可するため、不正な侵入のリスクを効果的に防ぐことができます。
現代では、BYOD(従業員が個人所有のデバイスを業務に利用する制度)が普及しています。
さらにIoTデバイスの利用が増加する中でこれらの端末を管理し、安全を確保する必要性が高まっています。
ゼロトラストセキュリティはこれら多様なデバイスに対し、適切な認証とアクセス制御を行うことでセキュリティを強化します。
個人情報保護法やGDPRをはじめとする規制強化に伴い、企業には厳格なデータ管理とアクセス制御が求められています。
また、規制だけでなく、コーポレートガバナンスの一環として、投資家などを含むステークホルダーからもセキュリティ対策の徹底が重要視されるようになっています。
ゼロトラストセキュリティは、これらの規制に対応した仕組みを構築し、コンプライアンス強化を行う上で重要な一手となり得ます。
ここではゼロトラストセキュリティを構成するための5つの要素と具体的に行うセキュリティ対策の例を解説します。
ここで紹介する手法はあくまで代表的なものであり、状況や事業の特性に応じて自社にあった手法を選択することが重要です。
アカウント管理は、ゼロトラストセキュリティの基盤として、ユーザーのアクセスを厳密に管理する重要な要素です。
多要素認証(MFA)やシングルサインオン(SSO)といった技術を活用することで、不正アクセスを防ぎながら利便性も確保します。
これらの手法を用いることで業務効率を高めつつ、複数システムへの安全なアクセスを可能にします。
ここでは、業務効率を維持したまま行うことのできる対策である「多要素認証(MFA)」「シングルサインオン(SSO)」について詳しく解説します。
多要素認証(MFA)は、パスワード単独に頼るのではなく、追加の認証要素を組み合わせることでセキュリティを向上させる手法です。
例えば、「ワンタイムパスワード(OTP)」、指紋や顔認証による「生体認証」、「セキュリティトークン」などが使用されます。
この仕組みによりパスワードが漏えいしても、他の認証要素が必要になるため、不正アクセスのリスクを大幅に軽減できます。
シングルサインオン(SSO)は、ユーザーが一度ログインするだけで、都度認証する必要なく複数のシステムやアプリケーションにアクセスできる仕組みです。
シングルサインオンには高いセキュリティレベルの認証方法や、一定期間で認証方法やパスワードの変更を行うことが一般的です。
従来、弱いパスワードを複数のシステムやデバイスで使い回すことが問題視されていました。
特に「ブルートフォース攻撃」と呼ばれる、総当たりですべてのパスワード候補を試し、正しい組み合わせを見つけるサイバー攻撃手法で解読されやすい場合には、大きなリスクをはらんでいます。
シングルサインオンを活用することで、セキュリティ強度の弱い認証方法を使用するリスクを減らし、集中管理によってアクセス管理の透明性と効率性を向上させることができるようになります。
また、業務効率の観点からも毎回異なるパスワードを入力する必要がなくなるため、利便性が向上します。
エンドポイントセキュリティは、ネットワークに接続されるデバイスを守る防衛策であり、ゼロトラストの実現には欠かせません。
デバイスが適切な状態であることを確認し、不審な行動があれば即座に検知・対応する仕組みが求められます。
また、使用するデバイスにも明確な利用ルールを策定することが重要です。
そこで、ここではそんなエンドポイントセキュリティの具体的な手法である「エンドポイント検出・対応(EDR)」について解説します。
エンドポイント検出・対応(EDR)は、接続されるデバイスの挙動をリアルタイムで監視し、異常を検知すると迅速に対応する仕組みです。
例えば、不審なプログラムの実行や大量データの転送が発生した場合にアラートを発し、即座に調査、および必要に応じて封じ込めを行います。
この仕組みにより、被害が拡大する前に問題を解決することが可能です。
ネットワークセキュリティは、組織のデータやシステムを不正アクセスやサイバー攻撃から守るための重要な要素です。
ゼロトラストセキュリティの考え方に基づき、ネットワークの各部分を厳密に監視し、認証されたユーザーやデバイスのみがアクセスできる仕組みを構築することが重要です。
ここではネットワークセキュリティの代表的な対策である「マイクロセグメンテーション」「マルチクラウドセキュリティ管理」について解説します。
マイクロセグメンテーションは、ネットワークをセグメントと呼ばれる小さな単位に分割し、セグメント単位に厳密なアクセス制御を行う手法です。
認証が済むまで、ユーザーやデバイスは必要なリソースにアクセスできない仕組みです。
そのため、攻撃者が1つのセグメントに侵入しても、他のセグメントへの被害拡大を防ぐことが可能です。
マルチクラウド環境では、複数のクラウドプラットフォームを利用することが一般的です。
そのため、全社的に統一されたセキュリティ管理が求められます。
例えば、許可されたユーザーやデバイスのみネットワークリソースを閲覧することのできる技術を活用することで、不正アクセスを防止します。
また、各クラウド環境のセキュリティポリシーを統一的に管理することも効果的です。
このような工夫を行うことで、効率的なセキュリティ対策を実現します。
ゼロトラストセキュリティでは、アプリケーションやデータへのアクセスを厳しく制限し、データ漏えいや不正利用を防ぐ仕組みを整えることが重要です。
ここではアプリケーションやデータの保護の具体的な手法である「データ損失防止ツール(DLP)」や「秘密分散技術」の活用方法について解説します。
DLPは、不正なデータ移動や送信を検知し、ブロックすることで機密データの漏えいを防ぐ仕組みです。
例えば、社員が個人メールで機密情報を送信しようとする場合、DLPツールが自動で検出し、送信を阻止するといった対処が可能になります。
このようなツールを活用することで、意図的または偶発的な情報漏えいを防ぐことができます。
秘密分散技術とは、データを複数の分割データに分け、それぞれを異なる場所に保管することで、すべての分割データが揃わない限り元データを再構築できないようにする仕組みのことです。
秘密分散技術はセキュリティ強度が高いとされ、不正アクセスや漏えいリスクを大幅に低減します。
詳しくは日立システムズエンジニアリングサービスの「秘密分散 フォー・メール」をご覧ください。
ゼロトラストセキュリティの中核をなすのが、継続的な監視と分析です。
システム全体を可視化し、異常を即座に検知・対応できる仕組みを構築することで、リアルタイムの脅威管理が実現します。
ここではそんな監視・分析による対策である「セキュリティ情報イベント管理(SIEM)」「脅威インテリジェンス」の活用について解説します。
SIEMは、大量のログやデータをリアルタイムで収集・分析し、異常な活動を可視化するソリューションです。
SIEMを導入することで、潜在的な脅威をいち早く検知し、迅速な対処が可能となります。
ビッグデータを活用した高度なセキュリティ管理を提供します。
脅威インテリジェンスは、サイバー攻撃の最新情報を収集・分析し、事前にリスクを防ぐための技術です。詳しくは日立システムズエンジニアリングサービスの「セキュリティ監視導入支援ソリューション」をご覧ください。
ここではゼロトラストセキュリティを導入する際の注意点について解説します。
ゼロトラストセキュリティを導入する際には、全体を一気にゼロトラスト化しようとするとコスト増大や運用負担の増加、さらには混乱を招く可能性があります。
そのため、現状のセキュリティ状況をふかんし、優先度の高い部分から段階的に導入していくことが重要です。
特に、長期的な投資対効果を考慮し、コストを抑えながら効率的にセキュリティを強化することが可能です。
ゼロトラストセキュリティを導入する際には、進行中のデジタルトランスフォーメーション(DX)との整合性を保つことが重要です。
従来のセキュリティシステムやレガシーシステムが新しいゼロトラストの仕組みと連携できない場合、「2025年の崖」と呼ばれる問題に直面する可能性があります。
移行計画を事前に立て、既存システムを徐々にアップデートまたは統合するプロセスを確立する必要があります。
ゼロトラストセキュリティを採用することで、従来の境界防御モデルでは対応しきれないリスクを軽減し、企業の安全性を高めることができるようになります。
リモートワークやクラウドサービスの普及、内部脅威の顕在化など、現代の多様化する環境に対応するためには不可欠なアプローチです。
ゼロトラストセキュリティの導入から運用まで一括したサポートのできる業者をお探しの方には、日立システムズエンジニアリングサービスのゼロトラストセキュリティがおすすめです。
日立システムズエンジニアリングサービスの「ゼロトラストセキュリティ」は、リモートワークやクラウド化によるセキュリティリスクに対応し、未知のウイルス・マルウェア攻撃を防ぐ高セキュリティと効率的なID管理を提供します。
詳しくは日立システムズエンジニアリングサービスの「ゼロトラストセキュリティ」をご覧ください。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
