ITセキュリティに関わっている方なら、最近「ゼロトラスト」という言葉をよく耳にするようになったのではないでしょうか。
2019年ごろから「完全に信頼できるものはなにひとつない」という前提に立って、あらゆる方向からセキュリティ対策を講じる「ゼロトラスト」モデルが注目されるようになりました。
この記事では、ゼロトラストの定義や背景、その対策について紹介します。
ゼロトラストとは?
(画像出典:トラストシェルター「ゼロトラストとは? ~ゼロトラストネットワークを実現するために~」)
ゼロトラストは、アメリカの調査会社Forrester Research社が2010年に提唱した概念で、社内・社外のすべてのネットワークのトラフィックについて、「必ず攻撃を受けることを前提」にゼロベースでセキュリティ対策を講じるアプローチのことです。
これまで企業は、主に外部からの攻撃に対するセキュリティ対策に注力してきました。しかし昨今、ノートPCやスマートフォンを利用してテレワークを行う企業が増えたことにより、社内のデータを社外で扱ったり、さらには社員が個人のPCで業務を行ったりすることも珍しくなくなっています。このように、外部からの攻撃以外を要因としたセキュリテリスクが高まることから、ゼロトラストが注目されるようになりました。
ゼロトラストセキュリティ/ゼロトラストネットワークと従来のセキュリティの違い
(画像出典:カゴヤのサーバー研究室「IDS・IPSとは?不正侵入検知・防御サービス解説」)
このゼロトラストの考え方を実現するためのセキュリティは、「ゼロトラストセキュリティ」と言われます。ここではネットワークの作り方によってセキュリティを高めることから、「ゼロトラストネットワーク」と呼ばれることもあります。では、この「ゼロトラストセキュリティ」は、従来のセキュリティと何が違うのでしょうか。
これまで多くの企業で採用されてきたセキュリティは、「境界型セキュリティ」です。社内と社外の間にファイアウォールを設けたり、IDS(不正検知システム)やIPS(不正侵入防止システム)を設置することで、外部からの脅威の侵入を防止する対策です。
しかし、すでにこの対策では十分なセキュリティが確保できない状況になっています。なぜなら、この方法ではウイルスがいったん内部のネットワークに侵入してしまうと、その後は何の手立ても講じることができなくなってしまうからです。
最近はクラウドサービスの業務利用が一般的になっており、自社のシステムの一部が実はクラウド上にあるというケースが増えてきました。こうしたクラウド利用では、外部と内部の明確な境界線がわかりにくくなります。
なぜ今、ゼロトラストセキュリティが必要なのか?
ゼロトラストの概念が広まってきた最も大きな理由のひとつとして、すでにふれた働き方の変化があります。リモートワークが当たり前になり、社員がノートPCやスマートフォンから社内のシステムにアクセスすることも珍しくなくなってきました。最近ではPCだけでなく、スマートフォンなどのモバイル端末を介してウイルスやマルウェアといった攻撃が広がる例も多く、それだけにリスクは拡大する一方です。
さらに、社員や特定の部署がIT部門の管理が及ばないところでソフトウェアやアプリケーションを独自に導入してしまう「シャドーIT」も大きな問題となっています。例えば、会社のPCを社外に持ち出して仕事をする際に、つい便利なフリーソフトを入れてしまったというのがそれに該当します。
このようなシャドーITの利用は、情報漏洩につながったり、不正アクセスに利用される可能性もあり、こうしたセキュリティ上の脆弱性は即座に排除しなければなりません。
ゼロトラストセキュリティ(あるいはゼロトラストネットワーク)においては、PCやスマートフォンといったあらゆる端末を「エンドポイント」と位置づけて一元的に管理します。これまではユーザーIDとパスワードさえあれば、社内のネットワークに自由にアクセスできることが多かったのですが、これに加えて、その端末自体がアクセスを許可されたものか、セキュリティ対策は施されているか、ユーザーの挙動は怪しくないかなどをしっかり管理していくことになります。
ゼロトラストセキュリティを実現するセキュリティ対策
ゼロトラストセキュリティは、特定のセキュリティ対策や製品を指すものではありません。定義は各ベンダーによってさまざまで、「完全に信頼できるものはなにひとつない」という前提以外は少しずつ異なります。しかし、いずれのセキュリティ対策においても以下の3つのポイントは共通しています。
- 通信アクセスをすべて可視化し、検証する
- ネットワークのすべての記録をログとして残す
- ユーザーには必要最低限の権限のみを与える
以下に、代表的なゼロトラストセキュリティの対策を紹介しましょう。
EPP(Endpoint Protection Platform)
EPPとは、ネットワークのエンドポイントであるPCやスマートフォンなどの端末を、さまざまな脅威から保護するための対策です。EPPは特にマルウェアによる攻撃を防ぐ機能に長けており、最近ではAIを取り入れた検知エンジンで、精度の高い検知性能を発揮するようになっています。
EDR(Endpoint Detection and Response)
EDRはエンドポイントのセキュリティ製品として、ウイルスに侵入された後の迅速な対応を行うために提供されています。エンドポイントでの脅威を検知し、感染した端末を隔離したり、隔離した端末を解析・復旧したりします。EPPは脅威の回避が主な機能ですが、EDRは万が一脅威に侵入されてしまった後の被害を軽減することを目的としています。
CWPP(Cloud Workload Protection Platform)
CWPPは「クラウド・ワークロード保護プラットフォーム」と言われるもので、Amazon Web Service(AWS)、Microsoft Azureなどクラウドサービスを複数導入しているマルチクラウド環境おいて、これらのセキュリティ管理を一元化するための対策です。システム全体の監視・管理やネットワークの可視化、脆弱性管理などを、すべてのクラウドサービスを横断して一元化することが可能です。
最後に
社内システムがパブリッククラウド上で構築されたり、自宅のPCやスマートフォンからの社内システムへのアクセスが可能となる中、社内と社外のネットワークの境界線が曖昧になり、外部からの脅威を遮断する境界型セキュリティではシステムを守れなくなっています。ゼロトラストセキュリティによってあらゆる脅威を認識し、対応することは、現代の企業にとっての喫緊の課題と言えます。
一方、ゼロトラストセキュリティが業務の生産性を低下させてしまうようでは元も子もありません。そのため、現在はさまざまなベンダーがゼロトラストセキュリティとユーザーの業務生産性を両立するソリューションを提供しています。
この機会に皆さんの会社でもITセキュリティを見直し、withコロナ、afterコロナ時代の安全で快適な働き方を実現するための対策を講じてみてはいかがでしょうか。