ネットワークセキュリティにおいて欠かせないのが「ゼロトラスト」という考え方です。従来のネットワークセキュリティである「境界型セキュリティ」とどのような点に違いがあるのか、ゼロトラストという考え方について、詳しくご紹介します。
また、企業がセキュリティ強化に向けてゼロトラストを導入するためにやっておくべきポイントや、ゼロトラスト導入についてどのように考えておくべきなのか、あわせて見てみましょう。
ゼロトラスト導入の理由
まず、ゼロトラストについてご紹介します。ゼロトラストはその名の通り「まったく信頼しない」という意味の言葉で、アメリカのフォレスター・リサーチ社の調査員である、ジョン・キンダーバーグ氏が提唱した考え方です。
ゼロトラストは何かのソフトやツールの名前ではなく、「セキュリティにおいて絶対はない」「信頼できることはない」という考え方を指します。
実際、どれだけネットワークセキュリティを強固なものにしても、次から次へと新たな手口でセキュリティが突破されたり、脆弱な部分を突かれたりすることがあります。
このように、いつどこでハッカーや悪意あるユーザーによる不正侵入があるかわからない、何が起こってもおかしくないことを前提にしたセキュリティ体制を整えていくことをゼロトラストといいます。
従来のセキュリティである「境界型セキュリティ」とは、言うなれば自社の陣地に不正侵入されないように見張っておく仕組みのため、内部からの攻撃には弱いのが弱点です。境界型セキュリティは持ち場を離れられない門番のようなもので、外部からやってきた攻撃者の侵入は防ぐものの、いったん内部に侵入されると攻撃者を追いかけることはできません。
また、内部犯のように攻撃者が初めから門番より内側にいる場合にも無力です。
そのため、ゼロトラストは内部・外部問わず、セキュリティに絶対的な安心はないという考えから、あらゆることを想定しながらセキュリティ体制を作っていきます。もちろん、これまでは安全だと思われていた社内でのネットワークにも、どこにも安全だと言い切れる場所はない認識です。
ゼロトラスト導入の理由は、サイバー攻撃の多様化や、コロナ禍でのテレワーク推奨による内部不正が増えるリスクに対処しきれなくなることです。テレワークによって会社のデバイス機器や資料を持ち出したりする機会が増え、情報漏洩やサイバー攻撃などのリスクが高まることが懸念されます。
だからこそ、ゼロトラストという考え方を用いたセキュリティ体制の構築は、従来の境界型セキュリティに比べると安全といえるでしょう。なぜなら、ゼロトラストは攻撃者が外部でも内部でも関係なくガードし、正規ルートでのアクセスのみを許可する仕組みだからです。
Google Workspaceの7つの特徴
Google が提供する Google Workspcae はどのようなコンセプトで、どのような機能があるのかをご紹介します。
- Google Workspace とは
- 社内・社外のコミュニケーションが激変する機能
- 最新のテクノロジーが搭載されている
ゼロトラストを導入する際にやっておくべきこと
ゼロトラストを実装するにあたり、いくつか取り組むべきポイントがあります。
ID管理・アクセス管理の整備などは一斉に変更したり導入したりするのではなく、段階的に取り組んでいく必要があるため、ゼロトラストの導入検討段階で少しずつステップを踏む必要があります。
ここからは、ゼロトラスト実装にあたってどのようなステップを踏めば良いのか、セキュリティ強化のためのアクセス管理やID管理など、具体的な方法と流れについてご紹介します。
外部アクセス管理とID管理の整備
まず、ゼロトラストネットワークの構築には、外部からのアクセスをどのように認証するのかを決める必要があります。すべてのアクセスをシャットアウトするのではなく、必要なアクセスはしかるべき手順を踏めば認証できるようにしておくためです。
まず、ID管理とアクセス管理を一元化したうえで、さらに複数の要素で認証を行います。
自社のハードウェアを用いた設備・オンプレミスと、クラウドをまたいで1つのIDとパスワードへ変更します。多くのIDがバラバラに管理されて起こる「セキュリティホール」を防ぎ、単一のIDとパスワードのみで良いのがメリットです。
ゼロトラストネットワーク構築のためとはいえ、すべての工程を複雑にすると従業員もパスワード管理やアカウント管理など大きな負担になるため、単純な方法と複雑な方法を組み合わせます。
他にも、IDaaS(Identity as a Service)の活用が挙げられます。
こちらも上記と同じく、オンプレミス環境にあるシステムのIDやパスワードと、クラウドのIDやパスワードを1つにして管理・認証ができる仕組みです。
このようなIDやパスワードの単一化と組み合わせて利用するのが、「多要素認証」です。
たとえば、パスワード認証の代わりに本人確認として、「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて認証を行います。単純な方法と組み合わせることで、ユーザー認証の強化につながるのがメリットです。
他の例として、社内ネットワークパソコンからアクセスをした場合はパスワード入力のみで認証ができますが、社外の公衆無線などのネットワークからアクセスした場合には、パスワードと2段階認証をする必要があるなど、複数の方法を組み合わせたセキュリティ強化が大切です。
アクセスを可視化するシステム
どこから誰がアクセスしているのかがわからない限り、安全とは決していえません。そのため、すべてのアクセスを透明化する必要があります。誰がどのデータにアクセスしようとしたのかが見えれば、防御する方法もあるということです。逆に、隠れてアクセスしようとすると守りようがありません。
そのためには、アクセスログの監視ができるようにしておく必要があります。不審な動きはないか、内部不正が行われていないか、どのようなページを開いたのかなど、ユーザーがどのような行動をとったのか、わかるようにしておきましょう。
ログが残っていれば万一の際にすべて証拠になる他、ゼロトラストを導入する社内はもちろん、社外への説明時にも高い透明性を誇ることができます。
エンドポイントセキュリティ対策とツールの選定
続いては、エンドポイントのセキュリティ対策です。
エンドポイントとは、ネットワークの最終点であるパソコン、スマートフォンなどの端末を指します。いくらネットワークのセキュリティが強固なものでも、そこにアクセスするデバイスのセキュリティが低いとゼロトラストの実現は遠ざかってしまいます。
エンドポイントのセキュリティ強化にできることは、たとえばスマホやパソコンのウイルス(マルウェア)対策ソフト導入をはじめ、ID管理や端末の識別番号による認証を行うことなどが挙げられます。
そして、実際にゼロトラスト導入のためのツール選定を行いましょう。
先ほどご紹介しました、ID・パスワードの単一化を行う「シングルサインオン(SSO)」をはじめ、多要素認証、アクセス制御、ウイルス対策など機能が含まれるサービス(ツール)を選びます。そのうえで、現在の自社セキュリティを見直して、自社にはどこが・何が足りていないのかを把握します。
ゼロトラスト実装のための導入コストについては、一定の初期投資が必要です。企業の事業内容やコストに合わせ、費用と機能のバランスを見ながら導入しましょう。
ゼロトラストを採用したツール Google Workspace
ここまで、ゼロトラストを導入する為に何を考え、どの様なポイントを把握すべきかご説明して参りましたが、私たちDSKがお勧めするツールは Google Workspace です。
Google Workspace では、SSOや二段階認証、アクセス権の管理など、ゼロトラストの考え方に則った機能を兼ね揃え、且つグループウェアとして昨今のテレワーク業務に合わせた社内コミュニケーションを促進するツールとしての側面もあります。
変わりゆく日本の働き方に合わせた、セキュリティ面、社内コミュニケーション面に優れた Google Workspace について、特長を資料にお纏め致しましたので、是非ダウンロードしてご覧ください。
まとめ
ゼロトラストは、安全で強固なネットワーク環境を作り出せる新たな考え方です。ただ、導入にはいくつものステップと費用がかかる為、中々導入に踏み切れないという企業も多いのではないでしょうか。
Google Workspace は、新しい働き方に合わせたグループウェアでありつつ、ゼロトラストを採用しており、費用効果を見出しやすいサービスになっております。
また、弊社DSKでは、企業規模に合わせた導入支援も実施致しておりますので、まずは無料の相談窓口から受け付けております。是非、お声かけ下さいませ。
