ネットワークの安全性を確保するには、ファイアウォールやアンチウイルス、Webフィルタリングなどの機能を活用するのが一般的です。しかし、これらの手法は外部からの攻撃や不正アクセスは防げても、一度内部に侵入されると手の施しようがありません。
そのため最近では、従来のセキュリティモデルの代わりにゼロトラストネットワークが注目を集めています。ゼロトラストネットワークを導入すると、社外だけでなく社内へのアクセスも常時検証できるため、セキュリティに潜む穴が小さくなります。
本記事では、ゼロトラストネットワークの特徴やメリット、注意点を解説します。代表的なサービスも紹介しているので、それぞれの特徴を比較して適切なものを選び分けてみてください。
ゼロトラストネットワークとは「何も信用しない」の概念を採用したセキュリティモデル
まずはゼロトラストネットワークの概要や仕組み、従来のセキュリティモデルとの違いを解説します。
ゼロトラストネットワークの概要と仕組み
ゼロトラストネットワークとは、「何も信用せず常に検証を行う」という考え方が反映されたセキュリティモデルです。ゼロ(Zero)は「無」を、トラスト(Trust)は「信頼」を表しています。
ネットワークを構築する際に、社内・社外を問わずすべてのトラフィックやリクエストを信用しないまま、セキュリティ環境を構築する点に特徴があります。これによりネットワークアクセスごとに厳格な認証を行えるため、より堅牢なセキュリティ環境を築けるのが利点です。
そのためには端末認証や多要素認証、アプリケーション保護など、さまざまな機能が必要です。単一のツールやアーキテクチャで実現するのが難しいため、運用体制を築くためには、ある程度の費用や手間がかかります。
従来のセキュリティモデルとの違い
従来のセキュリティモデルは、境界防御モデルと呼ばれています。その言葉の通り、社内と社外との間にファイアウォールをはじめとする境界を設定し、外部からの脅威を遮断するのが特徴です。そのため、「多数の脅威が存在する社外ネットワークに比べ、社内ネットワークは安全」という前提が存在します。
しかし、一度でも社内ネットワークへの侵入を許すと、社内からの攻撃に対処する手立てがありません。「社内ネットワークは安全」という前提が存在するため、境界防御モデルには社内ネットワーク向けのセキュリティ対策が用意されていません。
一方でゼロトラストネットワークでは、社外はもちろん社内からのアクセスに関しても、厳しい認証手続きを実行します。そのため、万一社内ネットワークへと侵入された場合でも、データの改ざんや流出を避けられます。同時に従業員の不正行為を防げるのも利点です。
ゼロトラストネットワークが注目されている3つの背景
近年、ゼロトラストネットワークが注目されているのは、境界防御モデルを中心に運用されていた時代とは環境が大きく変化しているためです。ここでは、その背景について詳しく解説します。
サイバー攻撃の多様化・巧妙化
国立研究開発法人 情報通信研究機構(NICT)の「NICTER観測レポート2022」によると、サイバー攻撃関連の通信数が、2020年以降は5,000億パケットを超えています。2015年から8~9倍程度に増加している点から、サイバー攻撃の脅威がますます高まっていることがわかります。
出典:NICTER観測レポート2022|国立研究開発法人 情報通信研究機構
一概にサイバー攻撃といっても、近年の攻撃手法はランサム攻撃やDDoS攻撃、フィッシング詐欺など実に多様です。巧妙化する攻撃すべてに対処するには現実的に不可能だといえるでしょう。
そのため、外部からの攻撃を防ぐのみに終始する境界防御モデルではなく、万一社内ネットワークに侵入された場合でも、データの改ざんや流出を避けられるような仕組みが必要です。その意味において、ゼロトラストネットワークは近年のセキュリティ事情にも対応しやすいモデルなので、注目を集め始めています。
クラウドサービスの普及
近年は日常生活だけでなく、ビジネスシーンでもクラウドサービスを利用する機会が増えています。業務システムや作業用ツールなどを、オンプレミスからクラウドへと移行するケースも珍しくありません。
クラウドサービスを導入すると、パブリック環境で複数のユーザー同士が容易にデータを共有できます。しかし、そのメリットはセキュリティ上の脅威にもなり得ます。クラウド上のサーバーが悪意のある第三者からの攻撃対象になったり、社外に提供したデータが不正利用されたりと、社内ネットワーク内でのみ管理していた状態と比べ、セキュリティリスクが高まるのは事実です。
社内だけでなく社外でデータを管理する機会が増えたため、従来の境界防御モデルでセキュリティ対策を行うのは無理があります。これもゼロトラストネットワークが注目を集めている理由の一つです。
テレワークの促進
新型コロナウイルスのパンデミックにより普及したテレワークは、その利便性の高さから、2024年現在でも制度を維持している企業が数多く存在します。しかし、テレワークが普及するに連れ、反対にセキュリティリスクは高まりつつあります。
株式会社東京商工リサーチの「上場企業の個人情報漏えい・紛失事故調査 (2023年)」によると、情報漏えい件数は2021年から急速に増加しています。
出典:上場企業の個人情報漏えい・紛失事故調査 (2023年)|株式会社東京商工リサーチ
また、情報漏えいの原因のうち、「不正持ち出し・盗難」の件数は2022年から2023年までの間に5倍に増加しました。社外からの攻撃も増えていますが、社内での不正行為がより顕著です。
テレワークでは、管理者や上司の目が行き届かない場所で仕事を行うケースが多いため、内部での不正行為が増えるのは自然な流れです。このような際に効果を発揮するのは従来の境界防御モデルではなく、外部・内部のあらゆる脅威を検知できるゼロトラストネットワークだといえます。
ゼロトラストネットワークを活用する4つのメリット
ゼロトラストネットワークを活用するメリットは次の通りです。
- ネットワークのセキュリティレベルを高められる
- 運用管理の効率化につながる
- 比較的容易に導入や設定ができる
- 多様な働き方を実現しやすい
このようなメリットをもとに、具体的な導入効果をイメージすることが大切です。それぞれのポイントを紹介します。
ネットワークのセキュリティレベルを高められる
ゼロトラストネットワークでは、ユーザーや接続する端末、接続元のネットワークを問わず、常にネットワークアクセスの信頼性を検証します。境界防御モデルとは異なり、外部からの攻撃を受けることを前提に運用するのがポイントです。それにより、外部からの攻撃と内部からの不正利用の両方に対応できるため、ネットワークのセキュリティレベルが向上します。
運用管理の効率化につながる
従来のセキュリティ管理では、外部からのさまざまな脅威に対し、複数のセキュリティ機器を導入するのが一般的でした。しかし、一つひとつの脅威に合わせて専用の機器を導入するのは、管理の面からは非効率です。
2000年代頃からは、複数のセキュリティ機器を備えたUTM(統合脅威管理)と呼ばれるツールが登場し、セキュリティ管理の煩雑性がやや緩和されたものの、巧妙化する近年のサイバー攻撃すべてに対応できるわけではありません。
その点、ゼロトラストネットワークなら、各々のセキュリティ対策や機能をクラウド上で一元管理できます。攻撃手法に合わせて専用の機器を導入する必要もなく、煩雑化しがちなセキュリティ管理の効率化につながります。業務効率が高まれば、担当者がコア業務に注力できるため、生産性向上が期待できるでしょう。
比較的容易に導入や設定ができる
導入するサービスやITインフラの規模にもよりますが、境界防御モデルと比べてゼロトラストネットワークは容易に導入や設定ができる傾向にあります。
境界防御モデルの場合、ファイアウォールやVPNなどを導入するために物理的なネットワーク機器を設置する、あるいはプロトコルやポート規則といった複雑な設定を行う必要があります。一方、基本的にクラウドベースで利用できるゼロトラストネットワークは、専用機器を導入する必要もなければ、設定作業も必要最小限で済ませられるのがメリットです。
そのため、ゼロトラストネットワークは専門知識が少ない企業でも扱いやすいでしょう。
多様な働き方を実現しやすい
テレワークをはじめとする働き方改革を推進する場合、セキュリティ対策が不十分な端末を使用して業務を行うことも珍しくありません。社外で仕事を行う際は、従業員の個人用端末を用いる機会が多いためです。本来はすべての端末に適切なセキュリティ対策を施すのが理想ですが、物理的な環境構築が必要な境界防御モデルでは、コストや手間の観点から実現が難しいものです。
このような問題はゼロトラストネットワークで解消できます。例えば、関連サービスの一種であるEDRなら、社内・社外を問わず、登録したあらゆる端末の挙動を常時監視可能です。社内だけでなく社外のセキュリティも向上することで、働き方改革のよりスムーズな推進につながります。
ゼロトラストネットワークの代表的なサービス5選
ゼロトラストネットワークの代表的なサービスには、次のような種類があります。
- ZTNA(ゼロトラストネットワークアクセス)
- IAM(IDの管理・認証・認可)
- SWG(セキュアウェブゲートウェイ)
- EDR(エンドポイントの検知と対応)
- CASB(クラウドアクセスセキュリティブローカー)
サービスごとに特徴や役割が異なるため、課題に合わせて適切なものを選び分けることが重要です。各サービスの特徴を詳しく解説します。
ZTNA(ゼロトラストネットワークアクセス)
ZTNA(Zero Trust Network Access)とは、ゼロトラストネットワークの概念が反映されたリモートアクセスサービスです。アクセス要求があるたびに、端末のセキュリティ状態やユーザーのアイデンティティが検証されます。そして、定義した条件に適うアクセスのみ許可される仕組みです。
従来のリモートアクセスサービスは、仮想専用通信網を経由して情報資産にアクセスするVPN(Virtual Private Network)が主流でした。しかし、サイバー攻撃の多様化・巧妙化により、ゲートウェイそのものの脆弱性を突かれるケースも珍しくありません。また、VPNの需要増加に伴いスケーラビリティがひっ迫した結果、通信速度が低下する課題も深刻化しつつあります。
一方、ZTNAの場合は、VPNを経由した外部アクセスを行う必要がなく、クラウドと直接通信できます。外部からの侵入口を隠せる分、脆弱性を突くような攻撃を防げるのがメリットです。また、クラウド上で大部分の処理を実行できるため、スケーラビリティの問題も発生しにくくなります。
IAM(IDの管理・認証・認可)
IAM(Identity and Access Management)とは、IDの管理や認証、認可を一元的に実行できるサービスです。システムごとに存在するユーザーIDやログインパスワード、アクセス権限などを統合管理できます。
企業にはさまざまな業務システムやクラウドサービスがあり、個別にIDを管理するのは非効率です。ID管理の効率性を損なえば、一つひとつのIDにまで管理が行き届かず、情報漏えいや不正アクセスのリスクが高まります。
その点、IAMなら膨大な量のIDでも効率良く管理できます。セキュリティリスクの軽減にもつながるため、業務システムやクラウドサービスの安全な利用環境を構築するのに効果的です。
SWG(セキュアウェブゲートウェイ)
SWG(Secure Web Gateway)とは、社外ネットワークにアクセスするためのクラウド型プロキシです。IPアドレスの匿名化やアンチウイルスなど、より安全に社外ネットワークへとアクセスするための豊富な機能が搭載されています。
境界防御モデルの場合でも、IPフィルタリングやWebフィルタイングといった形で、社外ネットワークへと安全にアクセスする仕組みが存在します。このような機能はオンプレミス環境に実装されるのが一般的ですが、SWGであればクラウド上で実現できるのがポイントです。
クラウド環境ではデータのリアルタイム処理が可能なので、膨大な量のデータを取得・精査し、素早くWebサイトの安全性を評価できます。また、物理的な機器を導入する必要もなく、導入時のコストや工数の削減が可能です。
EDR(エンドポイントの検知と対応)
EDR(Endpoint Detection and Response)とは、サーバーやパソコン、スマートフォンといったエンドポイントの監視・問題検知が可能なサービスです。境界防御モデルのように外部からの攻撃や侵入を防ぐのではなく、エンドポイントの挙動監視によって未然に脅威を検知する点に特徴があります。
エージェントなどの専用アプリケーションを導入して操作ログを監視する機能や、エンドポイントすべての状態をモニターに可視化する機能が代表的です。対象はあらゆるエンドポイントなので、社内だけでなく社外のハードウェアも含まれます。テレワーク中に使用するパソコンやスマートフォンも登録できるため、多様な働き方の実現には欠かせないサービスだといえるでしょう。
CASB(クラウドアクセスセキュリティブローカー)
CASB(Cloud Access Security Broker)とは、あらゆるクラウドサービスの利用状況を一元管理するためのサービスです。クラウドサービスプロバイダと利用者との間に単一のコントロールポイントを設置することで、一つのシステムだけで複数のクラウドサービスの利用状況を可視化できるほか、セキュリティポリシーの一括設定を行えます。
これにより、未許可の状態で従業員が勝手にクラウドサービスを利用する、シャドーITを防げます。また、社内ルールに則った利用制限を各クラウドサービスに反映できるのもメリットです。
ゼロトラストネットワークを活用する際に注意すべきポイント
さまざまなメリットがあるゼロトラストネットワークですが、いくつか注意すべき点も存在します。注意点を押さえておくことで、事前に適切な対策を立てられるでしょう。
運用コストがかさみやすい
ゼロトラストネットワークは、従来の境界防御モデルとは根本的な概念が異なるため、現在の仕組みや体制そのものを根本的に見直す必要があります。そのためにはシステムの刷新も必要です。
ここまでに紹介したゼロトラストネットワークの各種サービスは、そのほとんどがクラウドサービスなので、導入コストは比較的抑えられます。ただし、定期的に発生するシステム利用料や、幅広いシステムを運用するための人件費・教育費など、運用コストが高額になりがちです。
また、従来のシステムと重複する箇所があれば、完全に刷新するまでは複数のシステムを運用しなければならないため、その期間中のコスト増大も視野に入れるべきでしょう。とはいえ、セキュリティレベルが向上することで、トラブル発生時の信用失墜や損害のリスクを避けられることを考えれば、ゼロトラストネットワークを導入する価値は高いといえます。
ネットワークアクセスの利便性が低下する
ゼロトラストネットワークを導入すると、アクセス元を問わず都度認証手続きが発生します。例えば、多要素認証ではユーザーIDやパスワードの入力のほか、端末認証や生体認証などの手続きが加わるため、アクセス時の利便性が低下するのは必然です。
しかし、セキュリティを重要視するあまり、生産性が低下しては元も子もありません。そのため、シングルサインオン(特定のIDのみでログインできる仕組み)や、認証情報の一元管理ができる認証基盤を導入するのも一つの方法です。認証基盤があれば認証プロセスの集約化が可能なので、ネットワークにアクセスする際の利便性が向上します。
担当者の負担が増える
ゼロトラストネットワークのような新たな概念を導入する際は、既存のセキュリティルールそのものを変えるケースも珍しくありません。すると、必然的に情報システム部門などへの問い合わせやサポート依頼が増えます。結果として、あまりにも担当者の負担が増えると、ゼロトラストネットワークの運用効率が低下する可能性が考えられるでしょう。
このような要求が担当者の許容範囲を超えそうな場合は、一部の業務をアウトソースするのも一案です。また、これまでとは概念が大きく異なるゼロトラストネットワークだけあり、その導入や運用には専門知識が求められます。情報セキュリティの専門家にアウトソースすることで、導入や運用に関する知見を得られるのもポイントです。
ゼロトラストネットワークを気軽に試すならGoogle Workspaceがおすすめ
Google Workspaceとは、GmailやGoogleドライブ、Google Meetなど、幅広いコミュニケーションツールが搭載されたグループウェアです。それぞれ有料版の機能を利用できるため、無料のGoogleサービスよりもビジネスシーンに向いています。
このGoogle Workspaceはゼロトラストネットワークの概念が反映されており、関連機能が豊富です。例えば、多要素認証やシングルサイン、権限管理などは、ゼロトラストネットワークを代表する機能だといえるでしょう。そのほか、指定した端末のみアクセスを許可するコンテキストアウェアアクセスや、一つひとつのアクセス条件を検証できるBeyond Corpなど、専門的な機能も搭載されています。
つまり、Google Workspaceなら、比較的低コストかつ気軽にゼロトラストネットワークを試せるので、既存のセキュリティルールそのものを変更する大がかりな体制再編が必要ありません。必要最小限の機能から利用し始めて、段階的に取り組みを発展できるのが利点です。
ゼロトラストネットワークを活用してセキュリティ体制を一新しよう
サイバー攻撃の多様化やクラウドサービスの普及などにより、従来の境界防御モデルのみでネットワークの安全性を確保するのは困難です。いまの時代には、「何も信用せず常に検証を行う」というゼロトラストネットワークの考え方が向いています。今回紹介したゼロトラストネットワークのメリットやサービス例などを参考に、いままでにはない概念のセキュリティ環境を構築しましょう。
ただし、完全なゼロトラストネットワークを実現するには、複数のサービスを組み合わせたり、体制を一新したりと、大きな労力やコストが発生します。適用範囲があまりにも広くなりそうな場合は、まずGoogle Workspaceのような導入しやすいサービスから始めるのも一案です。
Google Workspaceにはゼロトラストネットワークの考え方が隅々まで反映されているため、サービスの利用を通じてその概念に触れられます。こちらの資料でGoogle Workspaceの特徴を詳しく紹介しているので、ぜひ参考にしてください。
監修者

- カテゴリ:
- Google Workspace
- キーワード:
- ゼロトラストネットワーク