IT初心者必見！”いま”知るべき「ゼロトラスト」をわかりやすく解説してみた

「新型コロナウィルスの流行によって変化したものといえば？」

こう聞かれた時、皆さんが一番に思い浮かべるものは何でしょうか。

2020年春頃から日本国内でも急速に拡大した新型コロナウイルスは私たちの消費生活を一変させただけでなく、ビジネス業界、特に日常業務のあり方にも大きな影響を与えました。

オフィスに出社せずに仕事をすることが当たり前になるなど、数年前であれば想像もできなかったことです。

私がインターン生として働いているコムスクエアも、新型コロナ感染拡大を受けてテレワークを導入した企業の一つです。

テレワークによって出社の負担が減ったことに多くのビジネスマンが喜んでいるはずですが、同時に在宅勤における課題も指摘されています。

それは、「従来のセキュリティ体制でいいのか」という視点。

テレワークが浸透する中でセキュリティ界隈におけるトレンドとなったのが、「ゼロトラスト」という概念です。

文系インターン生の私は、もちろん「ゼロトラスト」の意味など知りません。

上司との会話の中で突然知らないカタカナが飛び出してきたため、思わずポカンとしてしまいました。

今回はそんなIT素人の私に白羽の矢が立ち、ゼロトラストというコンセプトについて学びつつ、だれにでもわかりやすく解説するというミッションを命じられました。

「ゼロトラスト」の簡潔なまとめ。

• ゼロトラストとは、社内ネットワーク内だけでなく、社外におけるIT利用にもセキュリティ対策を施すこと。
• 従来の環境型セキュリティではリモートワークに対応できない。
• DX化に伴うセキュリティの担保には、ゼロトラストの姿勢が必要。

ゼロトラストとは

ゼロトラストは、「Verify and Never Trust（決して信頼せず必ず確認せよ」とも表現される、アメリカのIT企業が2010年に提唱したセキュリティソリューションに由来する言葉です。

ゼロトラストとは、外部だけではなく、内部からのアクセスであっても、全てを疑い制御することを意味します。

このゼロトラストというセキュリティソリューションは、昨今のリモートワークの増加によって一気に注目され始めました。

オフィス外で働く頻度が増え、クラウドサービスを利用して社内の業務システムにアクセスしたり、データを社外に持ち出してローカル端末に保管する場面が増えたのです。

クラウドサービスの多くは社内ネットワークに構築されたものではないため、実質的にはデータを「社外」で保管していることになり、社内と社外の境界線が曖昧になります。

このような境界線の曖昧化が生むセキュリティリスクを克服するために有効なモデルが、ゼロトラストというわけです。

では、新型コロナ流行以前のセキュリティ体制には、何が不足しているのでしょうか？

従来のセキュリティ対策は、どのようなものだったのか

「ゼロトラスト」が台頭する以前は、境界型セキュリティ(いわゆるペリメータセキュリティ)という考え方が主流でした。

これは、情報セキュリティのレベルを「社外」と「社内」に分けて評価するものです。

基本的にユーザーが社員のみに限定される社内ネットワークは安全であると評価する一方、会社とは無関係な一般ユーザーが多数利用する外部ネットワークは危険だという前提に基づいています。

この前提をベースにして内部と外部の間に境界線を引き、境界線上のみにセキュリティ対策を行うのが、境界型セキュリティです。

境界型セキュリティは、オフィスワークを前提としたIT利用に限っていえば十分なように思えます。

しかし前述のように、リモートワークの増加によって境界線の外でデータを取り扱うことが増えたことで、社内ネットワークの外にもセキュリティの目を配る必要性が生まれたのです。

ゼロトラストで何ができるの？

ゼロトラストでは、一般的に以下のような項目を確認することが重要とされています。

・アクセスしてきたデバイスが社内承認済みのものかどうか。
・デバイスに最新セキュリティソフト対策ソフトウェアがインストールされているか
・デバイスがマルウェア（悪意のあるソフトウェア）に感染していないか
・ID/パスワードは正規のユーザーが使用しているか
・デバイスが通常と違うロケーションからアクセスしていないか
・利用しているクラウドサービスの脆弱性や不審な振る舞いが発生していないか

HITACHI「ゼロトラストモデル」とは―クラウド時代の次世代セキュリティモデル―https://www.hitachi-solutions.co.jp/security/sp/column/cloud/03.html

記事冒頭では概念としてのゼロトラストを解説してきましたが、上記のようなセキュリティニーズに応えたゼロトラストソリューションは、既に提供され始めています。

また、ゼロトラストソリューションを採用することで得られるメリットには、単なるセキュリティレベルの向上だけでなくVPN渋滞の解消なども含まれます。

メリット① より強固なセキュリティ網を構築

ゼロトラストでは、アクセスのたびにさまざまな要素を組み合わせた認証を実施するため、セキュリティレベルを大幅に向上することができます。

例えば、端末から社内ネットワークへのアクセス。

ゼロトラストモデルでは、アクセスがある度にセキュリティチェックが実施され、また接続端末に対して複数の認証方法が用いられます。

越境時のセキュリティチェックを重視する従来の境界型モデルよりも、継続的かつより複雑な認証を行うゼロトラストモデルの方がより隙の無いセキュリティモデルと言えるのではないでしょうか。

メリット② VPNのデメリットを解消

テレワークを実施する企業では、オフィス外のネットワークを利用する際のセキュリティ対策として、VPN (Virtual Private Network) を活用するのが主流となっています。

公衆ネットワーク上にプライベートな仮想ネットワークを構築するVPNを利用すれば確かに通信の安全性を確保することが可能ですが、ユーザーが増えて機器への負荷が大きくなるほど通信速度が低下してしまうというデメリットも存在します。

一方でゼロトラストモデルは、クラウド上にネットワークを構築することができるため、VPNのように機器への負荷を心配する必要がありません。

ユーザー数の増減に合わせて柔軟にネットワークインフラを管理できるのも、ゼロトラストモデルの特徴です。

メリット③ シンプルなセキュリティ運用を実現

従来の境界型モデルでは、サイバー攻撃の種類や管理するネットワークごとに複数のセキュリティ機器を運用する必要があり、そうした機器・ソフトウェアの管理が煩雑になりがちでした。

ゼロトラストではこれらをクラウド上で一元管理できるため、管理者の居場所に関係なく社内のセキュリティ運用業務を行うことができてしまうのです。

慢性的な人材不足に悩まされ、日々の業務に忙殺されるIT部門の担当者にとって、運用業務の効率化をサポートしてくれるゼロトラストモデルは非常に心強い解決策となるはずです。

ゼロトラストセキュリティを実現したソリューションとしては、米SintinelOne社のSingularity XDRなどが代表的です。

Singularity XDRは、社内メンバーが利用するエンド端末に対して高度なセキュリティ対策を施すための高度な分析機能と自動化機能を備えたソリューションです。

AIを駆使した機械学習であらゆるサイバー攻撃の手法を分析・体系化し、従来のセキュリティソリューションよりも素早く攻撃の兆候を捉えることができます。

また、検出したサイバー攻撃への対応を自動化することで、より迅速なセキュリティリスクの排除を目指しています。

どう変わる？これからのセキュリティ対策

「2025年の崖」問題が注目を集めるように、レガシーなITシステムからの早期脱却・移行が急がれるビジネス業界。

自社のIT設備に依存しないクラウドサービスの利用が、今後ますます拡大していくことでしょう。

加えて、もはや多くの国内企業に定着しつつあるテレワークにでは、社内ネットワークの外部におけるセキュリティリスクも看過できないものとなっていくはずです。

このような状況下でも企業の情報セキュリティを担保するための手段として、ゼロトラストモデルがスタンダードとなっていくのではないでしょうか。