ITお役立ち情報
2021/02/12

ゼロトラストを実現する方法 〜従来型との違いと導入ステップ〜

ゼロトラストを実現する方法 〜従来型との違いと導入ステップ〜

セキュリティの新しい概念として、注目を集めている「ゼロトラスト」。
当メディアでも過去に「ゼロトラストネットワークとは」で取り上げ、ゼロトラストモデルに基づいて作られたネットワークのメリット・デメリットなどをご紹介しました。

ゼロトラストは、昨今のクラウドサービス利用増や、テレワーク推進、内部不正リスクなどを背景に期待が集まっており、日本政府も重視している概念です。
本コラムでは、ゼロトラストを実現するためのポイントや、従来のセキュリティ概念との違いについて解説します。

ゼロトラストとは?

ゼロトラスト(zero trust)とは、「あらゆるユーザー、リクエスト、サーバは信用できない」という考え方に基づいたセキュリティモデルで、米国の市場調査会社Forrester Research社の調査員ジョン・キンダーバーグ氏が2010年に提唱しました。
短的にいえば、「不正侵入はあり得る」ことを前提としたセキュリティ体制を構築することといえます。

ゼロトラストの概念で開発された製品がリリースされていますが、単にそれらを導入すればゼロトラストが実現できると安易に考えるのではなく、ゼロトラストの概念と構成要素を理解した上で、導入後も時代の変化に合わせて改変していく姿勢が必要になります。

【関連記事】
ゼロトラストネットワークとは

ゼロトラストの概念は政府でも重要視

2021年9月にデジタル庁の総設を目指すなど、行政のデジタル化に注力する菅内閣でも、ゼロトラスト導入に向けてディスカッションペーパーを公開し、意見を募るなど意欲を見せています。

従来、政府は「官民連携」を重視しており、国土交通省を中心にPPP※1/PFI※2の拡大を目指し、地方自治体などへの支援を行ってきました。
また、平成11(1999)年には特定非営利活動法人 日本PFI・PPP協会が立ち上げられ、地方公共団体や民間企業向けにPFI・PPP事業の蒙動や、政府に対する政策提言が行われています。
※1:PPP…Public Private Partnership(パブリック・プライベート・パートナーシップ)。「公民連携」と訳される。公民が連携して公共サービスの提供を行う枠組。
※2:PFI…Private Finance Initiative(プライベイト・ファイナンス・イニシアティブ)。公共施設の建設や維持などに民間の資金とノウハウを活用し、効率的・効果的な公共サービスの提供を図るという考え方のこと。PPPの代表的な手法の一つ。

「官民連携」の推進となれば、パブリッククラウドの活用や、民間企業からの政府システムへのアクセスなどが増加することが見込まれ、従来の境界型ではなく「ゼロトラスト」に基づくセキュリティ構築が重要になってきます。

ゼロトラスト導入でセキュリティはどう変わる?

従来型の「境界型セキュリティ」からゼロトラストへ切り替えることで、セキュリティはどのように変化するのでしょうか?境界型セキュリティと比較しながらご説明します。

従来型の「境界型セキュリティ」

従来の「境界型セキュリティ」は「ペリメタモデル」ともよばれ、守るべき資産は社内のネットワーク内にあり、外部ネットワークとの境界を監視することで、外部からのアクセスを防ぐという考え方に基づいています。

したがって、具体的なセキュリティ対策としては、ファイアウォールやゲートウェイ型アンチウィルスソフト、不正侵入を検知・防御するIDS/IPSなどを設置する方法が採用されてきました。

「境界型」の弱点

従来の「境界型セキュリティ」には、主に2つの弱点があります。

一つ目は、境界だけを監視の対象としているため、一度、境界の内側に侵入されてしまえば、まったく無力になってしまう点。

二つ目は、もともと社内ネットワークの中に攻撃者がいる場合、つまり内部不正に対しても無力である点です。

これらの弱点を克服するためには、安全視されていた「社内ネットワーク」に対してもセキュリティ対策を施す必要が出てきます。

ゼロトラスト導入でセキュリティの弱点を克服

「境界型」に対し、ゼロトラストでは社内ネットワークからであろうが外部ネットワークからであろうが、すべてのアクセスに対し、正規のアクセスなのか、それとも不正なアクセスなのかを逐一判断し、適正と認められたもののみにアクセスを許します。

ゼロトラストは単に前章でお伝えしたような境界型セキュリティの弱点をカバーするだけでなく、時代の流れとともに変化してきたアプリケーションやネットワーク、コンピュータ利用のトレンドともマッチします。
境界型が主流だった頃に比べると、クラウドサービスやSaaSの利用、テレワークが増加し、社内ネットワークと外部ネットワークの境界が曖昧になり、働き方改革や官民連携、BCPが求められる現代において、ゼロトラストネットワークは必須の概念だといえるでしょう。

ゼロトラストを構成する要素

では、ゼロトラストに基づくセキュリティ体制を敷くために、検討すべき項目は何でしょうか?
ゼロトラストを提唱したForrester Research社が発表したZTX(Zero Trust eXtended)で提唱された主なセキュリティコンポーネントは、次の七つです。

(1)Data
(2)People
(3)Workloads
(4)Networks
(5)Devices
(6)Visibility and analytics
(7)Automation and orchestration

このうち、特に重要なのは(2)People、(3)Workloads、(4)Networks、(5)Devices、(6)Visibility and analyticsです。

認証((2)People(3)Workloads)

People、つまりユーザーに必要なアプリケーションにアクセスするための認証を行います。
ポイントは、ユーザーに必要最低限の権限のみを持たせることです。

ネットワーク((4)Networks)

境界型の時のような社内ネットワークではなく、インターネットへの接続を前提としたセキュリティ対策を行う必要があります。

モバイル((5)Devices)

端末の中でも特に、社外のネットワークへのアクセスが多く想定されるモバイル端末が脅威にさらされやすいと考えられ、より厳重なエンドポイント対策が求められます。

ログ((6)Visibility and analytics)

サイバー攻撃者に対抗するため、利用しているサーバや端末、ネットワーク上で取得可能な限りのログ情報を収集・蓄積・可視化・分析することで、全体を把握し、対策を検討する必要があります。

ゼロトラスト実現に必要なステップ

さらに具体的にゼロトラストを実現する方法を見ていきましょう。

【ステップ1】ID管理

まず、前章でお伝えした「認証」に必要になるID管理の整備から始めましょう。
業務に利用するシステムやツールが増えている現代では、個々の従業員が管理しなければならないアカウント情報も多く、その分、パスワード漏えいの可能性も上がり、情報システム部門での管理も煩雑になっています。

そこで、従業員へは一組のID/パスワードのみを付与し、各システムやアプリケーションなどのアカウント情報は情報システム部門側で管理するというシングルサインオン(SSO)を導入すれば、管理者側はアクセス権限やログを一元管理でき、ユーザー側の利便性も向上します。

ただ、IDによる認証だけではアカウント情報が漏えいすればなりすましも簡単に行われてしまうため、多要素認証やIAM(Identity and Access Management)※3などと並行して導入するのがベターです。

【関連記事】
出社時のログインラッシュから解放される!シングルサインオン(SSO)とは?

※3:IAM…Identity and Access Management(アイデンティティ・アンド・アクセスマネジメント)。ID管理とアクセス管理を統合的に行えるソリューションのこと。

【ステップ2】アクセスの完全な可視化

ゼロトラストではすべてのアクセスについてチェックしますが、そもそも見えないものは守ることができないため、すべてのアクセスを可視化する必要があります。
ネットワーク全体を可視化した上で、誰がいつどんなデータにアクセスしているかを可視化することで、ネットワーク構成や認証の課題が見えてきます。

【ステップ3】エンドポイントセキュリティ

エンドポイント、つまり端末単位でのセキュリティ対策もゼロトラスト実現には欠かせません。
具体的には、ID管理やHDDの暗号化、マルウェア検知ソフトなどが挙げられます。

端末ごとのアクセス認証においては、端末の識別番号による認証だけでなく、挙動やロケーションといった情報も加味してアクセス可否を判断できるようなセキュリティ製品を選ぶと良いでしょう。

ゼロトラスト実現にはIDaaSの導入を

前章でもご紹介した通り、ゼロトラストの実現に向けて、まず必要なのがID管理の整備です。これは、利用しているネットワーク構造がどのような形であれ必要な工程ですし、どの企業にとっても着手しやすい部分でしょう。

近年では、ID管理もクラウド上で行われるようになり「IDaaS(Identity as a Service/アイダース)」とよばれています。
前章でお伝えした「シングルサインオン(SSO)」が可能で、管理者である情報システム部門の負担を軽減し、ユーザビリティが向上するほか、外部ネットワークからのアクセスを前提として設計されており、多要素認証やコンテキストベース認証など、複数の高度な認証を導入できるものが多く、不正なログインを防ぐことができます。

アイネスでは、シングルサインオン、多要素認証や、IDライフサイクル管理、ユニバーサルディレクトリ機能をクラウドで提供するサービス「Okta」を提供しています。
詳しくは、下記ページをご覧ください。

【関連サービス】クラウド型ID管理・統合認証サービス/IDaaS Okta

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。 

ITでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談下さい。

INES_logo_CTA