ネットワークにおけるセキュリティ対策は、日々新しくなっています。サイバー攻撃の手口も新たなものが次々に登場するように、攻撃からデータや資産を守るためのセキュリティも常に進化を遂げています。
そして新たな考え方として登場したのが「ゼロトラスト」というセキュリティモデルです。
今回は、ゼロトラストという考え方の基本的な仕組み、セキュリティモデルとしての必要性を含め、ゼロトラストネットワークの仕組みを実現するためにどのようなことに取り組めば良いのかをご紹介します。
新しいセキュリティモデルであるゼロトラストとは?
「ゼロトラスト」とは、直訳すると「信用がゼロ」という意味です。つまり、「何も信用をしない(安全ではない)」ということ。
ネットワークセキュリティにおいて絶対的な安心はないという意味で、どのような強固なセキュリティ網を張っても、すべての通信を疑うことを前提とした考え方を指します。
ゼロトラストという考え方は、アメリカのフォレスターリサーチ社が2010年に提唱したのが始まりです。
従来のセキュリティは「境界型セキュリティ(ペリメタモデル)」と呼ばれますが、このセキュリティモデルはネットワーク上のある一定範囲の監視のみを行う仕組みを指します。セキュリティ対策であるファイアウォールやIPS/IDS(不正侵入防止・検知システム)などを、企業の内部と外部の境目(=境界)に設置し、不正アクセスなど外部から内部に対する侵入のみを感知して防御していました。
この境界線だけを対策するやり方だと、すでにファイアーウォールやIPS/IDSの内側に入り込んでいる内部犯の犯行には対策ができないこと、いったん境界線を突破されるとその後は無力であることなどの問題点がありました。
ゼロトラストは、境界線の内外を設けることなく、ネットワーク上のどこで何が起こるかがわからない、絶対的なセキュリティはないという考えです。だからこそ、広域をカバーした対策をとれるのが特徴です。
ゼロトラストが注目された理由
ゼロトラストが広まった理由はいくつかあります。まず、政府でもゼロトラストが重要視されている点です。
菅内閣が掲げる施策のひとつに「行政のデジタル化」があります。実際、デジタル庁を新設してデジタル化に取り組む動きが進められているのは、ニュースでも目にするでしょう。サイバー攻撃に対するセキュリティ対策を強化するために、日本政府も「ゼロトラスト」の導入を検討しています。
次に、ニューノーマル時代の働き方によるテレワーク・リモートワークの増加です。
コロナ禍の影響により、出社を削減し自宅でテレワーク(リモートワーク)を導入する企業が2020年より爆発的に増加したのはご存知の通りでしょう。企業によってテレワークのやり方は異なりますが、多くの場合は会社のパソコン機器を持ち出し、自宅もしくはVPNネットワークから接続する形がとられています。
この方法だと、従来のセキュリティ体制である企業内部と外部のネットワークの境目を行き来するため、境界部分の監視が難しくなります。
さらには、企業におけるクラウドサービス利用増加も大きな要因です。
クラウド上でのネットワークの行き来は、同じように企業内外部の境界が不透明なため、ゼロトラストの考え方が適しています。
また、従来の境界型セキュリティでは、内部不正による情報漏洩の対策がとりづらいというデメリットがあります。
実際、社員による企業の機密情報持ち出し事件や、メールの誤送信による情報漏洩事件はいくつも発生していることからも、水際対策を行わなくてはなりません。社内のネットワークであれば安全と考えるのではなく、信用できることはないというゼロトラストの考え方を常に持っておく必要があります。
ゼロトラストネットワークの仕組みについて
続いて、ゼロトラストネットワークの仕組みをより詳しく見てみましょう。
「ゼロトラスト」という考え方自体が、さまざまな検証に基づいたネットワーク・セキュリティ・モデルを指していることから、「ゼロトラストネットワーク」や「ゼロトラストモデル」などと呼ばれています。
ゼロトラストを提唱したフォレスターリサーチ社は、ゼロトラストのセキュリティ体制をつくるために重要なものとして次の項目をを挙げています。
- Data(データセキュリティ)
- People(アイデンティティセキュリティ)
- Workloads(ワークロードセキュリティ)
- Networks(ネットワークセキュリティ)
- Devices(デバイスセキュリティ)
- Visibility and analytics(可視化と分析)
- Automation and orchestration(自動化)
ゼロトラストをもとにつくるセキュリティ体制として特に重要なのが、上記のうち2~6の項目です。
「アイデンティティセキュリティ」「ワークロードセキュリティ」は、ユーザーを識別した上で不正なアクセスをしていないかを検証することを指します。ワークロードとは直訳すれば「作業負荷」という意味になりますが、この場合では「利用状況の監視」といった意味も持っています。
「ネットワークセキュリティ」は、従来の境界型セキュリティであるVPNの廃止をはじめとした、時代に合わせたセキュリティのアップデートを意味します。
「デバイスセキュリティ」は、スマホやパソコンなどのデバイスの識別、承認を管理すること、そして「可視化と分析」はセキュリティにおけるすべての情報(ログ)を分析して監視する仕組みを可視化しようという考え方です。
これらの項目のどれもが、ゼロトラストネットワーク構築に欠かせない要素といえるでしょう。また、どれかが欠けてもセキュリティには抜け・漏れが発生しえます。上記の項番で見落としているものがないか、一度確認をしてみてください。
ゼロトラストネットワークモデルの実現へ
ゼロトラストネットワークモデルを実施するにあたり、クラウド上でIDaaSを利用するメリットについてご紹介します。
※IDaaSとは、「Identity as a Service」の略であり、クラウド経由でID認証ならびIDパスワード管理、シングルサインオン (SSO)、アクセス制御などを提供するサービスです。
ハードウェアやVPNアプライアンス(設備)を用いたシステム構築は、ソフトウェアが複数必要になるため複雑で難しいデメリットがありますまた、ハードウェアの管理も管理者にとって負荷がかかるでしょう。
しかし、ゼロトラストネットワークモデルはクラウドベースのため、アプライアンスが不要です。すべての機能がクラウドサービス内で構築できること、認証された最小限のアクセスで済むこと、企業のシステムの複雑さを大幅に軽減できるなど、多くのメリットがあります。
IDaasでは一元的にセキュリティを管理出来るため、管理者にとっての負担も減りますし、シングルサインオンやパスワード管理などによってユーザーの利便性も向上します。ID管理・アクセス管理はゼロトラストセキュリティの基盤となる対策となります。
IDaaS搭載のビジネスツール「Google Workspace」
Google が提供するビジネスツール、Google Workspace は正にゼロトラストの考え方をベースに作られたビジネスツールです。
メールやファイル共有、ビデオ会議など、ビジネスに必要なツールはすべてSSO(シングルサインオン)を搭載しており、セキュアな環境を構築しています。
※詳しくはいまさら聞けない Google Workspace とは?メリットや機能を基礎から解説をご覧ください
自社でゼロトラスト環境をいちから構築するのは中々大変ですが、Google Workspace なら安価でゼロトラスト環境を導入する事ができます。
企業の規模によっては、既存のシステムから新しいシステムに移行する際、何かしらの課題が見えてくることがあります。他のシステムとの連携が可能なのか、移行の計画はどうすれば良いのかなど確認しなければならないことも出てくるでしょう。
こうした企業の課題に合わせて、計画段階から運用後のヘルプデスクまで Google の代理店がサポート致しております。弊社DSKもその一社です。
Google Workspace に精通したコンサルタントが無料相談を受け付けております。是非一度お声かけ下さい。
まとめ
「ゼロトラスト」はネットワークセキュリティに「絶対はない」という考え方です。複雑で難しいシステムを構築すれば強固なセキュリティ体制を築くことはできますが、そのぶん管理者の負担が増えたり、作業効率が下がったりしてしまいます。また、一部分を強固にしても他の部分に抜け穴があればセキュリティリスクは避けられません。
ゼロトラストの仕組みを正しく理解し、新しい時代のセキュリティに必要なそれぞれの企業に合ったモデルの導入を検討することをおすすめします。
