ITお役立ち情報
2020/07/15

ゼロトラストネットワークとは

ゼロトラストネットワークとは

新型コロナウイルス感染拡大による政府の緊急事態宣言を機に、リモートワークの需要が爆発的に増加しました。これにより、VPN(仮想プライベートネットワーク)を活用したリモートワークを導入し社外ネットワークから情報資産にアクセスを許可した実施した企業は多かったでしょう。

このような背景に加え「クラウドサービスの積極的な活用」や「内部不正リスクの顕在化」が「社内ネットワークは安全である」という旧態依然のセキュリティモデルにその限界を突き付けています。

そんな中、ゼロトラストという考え方でセキュリティモデルに組み込むことで課題解決に成功した企業もあります。

今回は、ゼロトラストとは何なのかをご紹介いたします。

ゼロトラストネットワークとは

ゼロトラスト(zero trust)とは、米国の市場調査会社Forrester Research社の調査員ジョン・キンダーバーグ氏が2010年に提唱した「あらゆるユーザー、リクエスト、サーバは信用できない」という考え方が前提となったセキュリティモデルです。このモデルに基づいて構築されるネットワークが「ゼロトラストネットワーク」です。

つまり、ゼロトラストネットワークにおいては、従来のように「社内ネットワークからのアクセスだから安全である」という前提に立ってネットワーク境界を守る方法ではなく、すべてのアクセスが悪意あるものであるという疑いをもって、一つひとつのリクエストに対して認証を行い、アクセスの認可を判定したり、すべてのイベントを検証したりします。

<評価例>
・アクセスしてくる端末は、会社の台帳に登録済であること
・端末にインストールされているマルウェア対策ソフトが最新状態であること
・端末がマルウェアに感染していないこと
・不審な操作を行っていないこと
このような項目について自動確認を行い、疑わしいアクセスを検知した場合は、アクセスを遮断します。

ゼロトラストネットワークが必要な理由

初めて提唱されてから10年経過してから注目を集めているゼロトラストですが、なぜ今、求められるようになったのでしょうか?
そこには「クラウドサービスの積極的な活用」「テレワークの増加」「内部不正リスクの顕在化」の三つの背景が浮かび上がってきます。

クラウドサービスの積極的な活用

政府統計のポータルサイト「e-Stat」が公開した令和元年通信利用動向調査 企業編の「クラウドサービスの利用状況」によれば、2019年に一部の部門でもクラウドサービスを利用した企業の割合は64.5%と、6割を超えています。利便性の高いクラウドサービスを利用する企業は今後も増加し、利用するサービスも拡大していくでしょう。

クラウドサービスを利用する際には、クラウドサービス自体のセキュリティをチェックすることに加え、サービス毎のアカウント管理やクラウドサービス利用時に経由するインターネット通信への不正アクセスや盗聴を防ぐ必要があり、社内ネットワークからのアクセスであってもセキュリティ対策が必要になります。

つまり、社内ネットワークと外部ネットワークの境界が曖昧になるため、結局、すべてのアクセスを検証するのとそう変わらなくなるということです。

テレワークの増加

従来の「社内ネットワーク内は安全」という考え方でテレワークを実施するために、多くの企業はVPNによって社外から社内のネットワークへアクセスさせて業務を遂行してきました。

テレワークの導入以前からVPNを導入していた企業もあるでしょう。ただ、テレワークによって社員が一度にVPNに接続した結果、想定外のトラフィックが集中し、ネットワーク速度が大幅に低下してしまう事態に直面した企業も少なくないのではないでしょうか。

VPNは、社員がオフィスへ出勤することが当たり前の時代に、一部のテレワーク利用者のために作られたリモートアクセス技術であり、全従業員がリモートワークを行うことが想定されたものではありません。そのためアクセスが集中するとパフォーマンスが落ちるのは、仕方のないことであり、高パフォーマンスを維持しようとすれば、広いネットワーク帯域を提供するために設備の導入や維持のコストが非常に高額となってしまいます。

クラウドサービスのように、サービス自体がインターネット上に存在するものについてはVPNを利用せずに直接アクセスを許可することも検討が必要になります。

内部不正リスクの顕在化

社内ネットワークに正規の手続きでアクセスしているユーザーしかいないからといって、サイバー攻撃の脅威が消えるわけではありません。

社内ネットワークの内部、つまり従業員の中に情報の窃取や改ざんなどを行うサイバー攻撃者がいる可能性もあるからです。この場合、正規アクセスのため不正が発見されにくい傾向があります。

特に、過去には退職者(または退職予定者)による内部不正が多数報告されており、退職者のID・パスワードを迅速に停止するといった運用管理も情報システム部門の重要な役割となっています。

ゼロトラストネットワークの仕組み

では、具体的にゼロトラストネットワークの仕組みはどうなっているのでしょうか?
ゼロトラストネットワークを提供するベンダーによって、ゼロトラストネットワークの構築方法はそれぞれ異なるため、一概にはいえませんが、ここでは一例として米国のセキュリティ会社PaloAlto社のゼロトラストネットワークに基づく次世代ファイアウォールの仕組みをご紹介します。

同社のゼロトラストネットワークは、アプリケーション、ユーザー、コンテンツごとに通信内容を分類します。

まず、従来のファイアウォールは、ポートやプロトコルをもとにインターネットと社内LANなどのネットワーク間の通信を制御していましたが、次世代(L7)ファイアウォールでは各アプリケーション固有のトラフィック情報などを解析する機能を搭載しているため、アプリケーションを識別し、アプリケーションごとにセキュリティポリシーを適用します。

また、従来のファイアウォールではIPアドレスによって端末を識別していたため、同一の端末を複数人で共有していたり、一人で複数台のデバイスを利用している場合などはユーザーを識別することができませんでした。
そこで次世代ファイアウォールでは、ディレクトリサービス(例:ActiveDirectory)との連携や、Web認証と組み合わせることでユーザーを識別します。

最後にコンテンツですが、次世代ファイアウォールでは、ファイルの形式やリスクの高いアプリケーション、Webサイトとの通信などのコンテンツタイプを識別します。

ゼロトラストネットワークのメリットとデメリット

ここで、ゼロトラストネットワークのメリットとデメリットを確認しておきましょう。

ゼロトラストネットワークのメリット

ゼロトラストネットワークには、主に次の二つのメリットがあります。

セキュリティの向上

従来のように、社内ネットワークとの境界のみを防御していたのに比べ、アクセス要求のたびにチェックを行うゼロトラストネットワークに切り替えることでセキュリティは向上します。
クラウドサービスの利用が今後も増加していくことを考えると、社外のネットワークと社内環境の両方のセキュリティを担保できるゼロトラストネットワークの意義は大きなものがあります。

ゼロトラストネットワークでは、従来のマルウェア対策ソフトのようにネットワークへの感染後に検知するのではなく、感染した端末からのアクセスを拒否するため、ネットワークへの侵入を防ぐことができます。

また、ゼロトラストネットワークはそのユーザーにとって必要な権限だけを与える「最小権限の原則」に則ってアクセスを管理するため、セキュリティの向上とともにシステムの安定性も向上することができます。

ユーザビリティの向上

PC以外にもスマートフォンやタブレットなどさまざまなデバイスからのアクセスについて、都度、チェックを行う体制ができあがるため、業務に使えるデバイスの幅が広がる可能性がある点でもユーザビリティ向上に貢献するでしょう。

また、詳細は後述しますが、認証情報の統合管理によって実現されるシングルサインオンによってサービス利用に必要な認証回数を減らすなどのメリットもあります。

ゼロトラストネットワークのデメリット

導入によるセキュリティポリシーの更新やユーザーの教育が必要なものの、昨今のIT環境の変化を鑑みるとゼロトラストネットワークのデメリットはメリットに比べて非常に小さいと考えられます。しかしながら、ゼロトラストネットワークを導入したからといってセキュリティ面が万全になるわけではなく、依然としてリスクは存在し続けるという点には注意が必要です。

ゼロトラストネットワークも万全ではない

ゼロトラストネットワークを導入したからといって安心するのではなく、残存するリスクを洗い出し、評価を行い続ける必要があるでしょう。

また、ゼロトラストネットワーク導入後も引き続き、エンドポイントセキュリティ対策などの多層防御の考え方も重要です。

ゼロトラストネットワーク構築の第一歩

ゼロトラストネットワークを構築するにはさまざまな方法があり、ベンダーによってもその仕組みは異なってきます。
ただ、ゼロトラストネットワークを導入するための準備として、どの企業にも共通してくるステップがあります。それが「ID管理」です。

オフィス業務を行う際は、社内ネットワークへのログインはもちろん、基幹システムや業務システム、クラウドサービスなど、複数のIDとパスワードを使い、ログインする必要がある企業が大半です。

そうしたID・パスワード管理は情報システム部門が担うことが多いものですが、管理するID・パスワードの数が増えるほど管理は煩雑になります。「パスワードを忘れた」というユーザーからの問い合わせへの対応にも時間を取られるでしょう。

そこで、ユーザーへは1組のID・パスワードのみを付与し、システム管理者がユーザーごとに権限を分けた複数のID・パスワードを管理して、ユーザーは権限のあるシステムやサービスのみへアクセスできるようにしたシングルサインオン(SSO)の導入が有効です。

シングルサインオン(SSO)導入により、ユーザーはシングルサインオンのシステムに一度ログインするだけで社内、社外を問わず業務に必要なすべてのシステムへアクセスできるようになり、システム管理者側にとってはIDとパスワードの管理負担を軽減できます。

シングルサインオン(SSO)について詳しくは、下記の記事もご覧ください。

【関連記事】
出社時のログインラッシュから解放される!シングルサインオン(SSO)とは?
【関連サービス】
Okta クラウド型ID管理・統合認証サービス/IDaaS

まとめ

テレワークの導入やクラウドサービスの利用拡大によって、ゼロトラストモデルをネットワークセキュリティに組み込む企業が増えていますが、「何から手をつけて良いかわからない」という声も聞かれます。

まずは、最初の一歩としてゼロトラストの軸である「認証情報の徹底した管理」から着手してみてはいかがでしょうか。

たとえば、当社の提供するクラウド型ID管理"Okta"は多くの企業に大きな安心をもたらしてくれるはずです。
Oktaは、シングルサインオン(SSO)だけでなく、複数の認証情報を組み合わせる多要素認証や、ユーザーの人事異動や退職などに伴い適切にIDを運用する「IDライフサイクル管理」、さらには、機能追加の際にディレクトリ項目を拡張して運用効率や利便性を向上してくれる「ユニバーサルディレクトリ機能」を有したアクセス管理プラットフォームです。

ご興味のある方は、ぜひこちらのページをご覧ください。

また、本文でご紹介した次世代ファイアウォールは、当社でも取り扱っており、日々の監視・運用まで含めたご提供も可能です。
詳しくは、こちらのページをご覧ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。
 

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA