ゼロトラストとは|メリットデメリット・注意点をわかりやすく解説
Check!
- ゼロトラストは、テレワークやクラウドサービスの拡大に伴って必要性が増してきた
- ゼロトラストにより、安全性を保ちながら社内外のやり取りや多様な働き方に対応できる
- ゼロトラストを導入するにあたっては、コストと業務の利便性を失わないことに注意する
ゼロトラストとは、「何も信用しない」ことを前提にセキュリティの安全性を検証するもので、クラウドサービスやテレワークの拡大に伴って必要性が増しています。本記事では、ゼロトラストの概要やメリットデメリット、運用・導入時の注意点を解説します。
ゼロトラストとは
ゼロトラストとは「Trust(信頼)」が「Zero(ゼロ)」、直訳すれば「何も信頼しない」という意味で、セキュリティ対策における新たな考え方の1つです。
具体的には、IT分野において、自社ネットワークにアクセスしてくるすべてのユーザーやマルウェアの安全性を検証し、情報資産を守る考え方を指します。
この考え方に則したセキュリティモデルを「ゼロトラストセキュリティモデル」あるいは「ゼロトラストセキュリティ」と言います。
従来のセキュリティ対策との違い
従来の情報セキュリティは「境界防御型」またはペリメタセキュリティと呼ばれ、自社ネットワークの内側を信頼できる安全な領域、外側を信頼できない危険な領域とし、内外の境界線上にセキュリティ製品を配備するスタイルでした。
境界型防御は、自社ネットワークの内側には脅威はないことを前提とします。よって厳重に監視するのは、自社ネットワーク外(インターネット上)からのアクセスのみです。
一方、ゼロトラストでは自社ネットワークの内外を問わず、自社システム・情報資産にアクセスしてくるものはすべて脅威とみなします。
境界防御型は「Trust but Verify(信ぜよ、されど確認せよ)」とし、内側からのアクセスには寛容であったのに対し、ゼロトラストは「Verify and Never Trust(決して信頼せず必ず確認せよ)」を前提として、内側からのアクセスも厳重に監視します。
ゼロトラストが注目される理由
ゼロトラストが注目されている理由として、テレワークやクラウドサービスの普及と、それに伴う内部不正の増加が挙げられます。以下では、これらの理由について詳しく解説します。
\気になる項目をクリックで詳細へジャンプ/
ゼロトラストが注目される理由
クラウドサービスやテレワークの普及
ゼロトラストが注目される理由の1つとして、クラウドサービスやテレワークの普及が挙げられます。
従来の境界防御型のセキュリティシステムが通用していたのは、企業の機密情報・顧客の個人情報といった重要な情報資産はすべて自社ネットワークの内側にあったためです。
一方、クラウドサービスではあらゆる情報をインターネット上で保管します。つまり、今まで自社ネットワークの内側で守られていた情報が、外に飛び出すことになったのです。加えて、テレワークの普及により社外から情報へアクセスする頻度も飛躍的に高くなりました。
このことは自社ネットワークの内・外の境界線を曖昧にし、結果として従来の境界線防御型のセキュリティシステムが成り立たなくなりました。よって現代では、内・外を問わずすべてのアクセスに対してセキュリティチェックを行うゼロトラスト型が主流となっています。
内部不正によるセキュリティ被害の増加
クラウドサービスやテレワークの普及に伴って、社内の不正行為への対策も求められています。具体的には、社内の人間による外部への情報漏洩がこれに当たります。
悪意のある不正行為はもちろん、従業員のセキュリティに対する意識が低い場合、意図せず外部へ情報を流してしまうこともあるため注意が必要です。以前に比べ、情報を簡単に社外へ持ち出せるようになったため、情報漏洩による被害のリスクは高まっています。
パスワードなどの認証情報が漏洩すると、攻撃者がシステムに不正侵入し、マルウェアに感染させられてしまうなどの恐れがあります。このような被害を防ぐため、社内からのアクセスも厳格に管理するゼロトラストの導入が有効です。
セキュリティ被害を引き起こす「シャドーIT」
近年、企業のセキュリティ被害を引き起こす原因として「シャドーIT」が問題になっています。シャドーITとは、従業員が企業に無許可で持ち込んだITツールを指し、企業側が許可していないモバイル端末・個人向けクラウドサービスを業務に利用することです。
シャドーITは多くの企業において発生しており、放置しておくとマルウェア感染や情報漏洩のリスクが高まります。従業員の業務効率を考慮して使用を認める場合は、誰がどのような端末を業務に使用しているかを企業側が把握し、セキュリティ対策を施すことが必須です。
ゼロトラストのメリット
ゼロトラストは従来のセキュリティシステムに比べて、セキュリティレベルが大幅に向上しています。企業はゼロトラスト導入により、次のような恩恵を受けられるでしょう。
\気になる項目をクリックで詳細へジャンプ/
ゼロトラストのメリット
クラウドサービスを安心して利用できる
ゼロトラストを導入することで、クラウドサービスを安心して利用できます。もともとゼロトラストは、クラウドサービスの普及を背景に発達を遂げたセキュリティシステムであるためです。
ゼロトラストでは、全てのトラフィックをチェックします。クラウドサービスの通信ログも例外でなく、以前認証したアクセスについても厳しい再チェックをすることで、不正なユーザーやマルウェアのシステム侵入を防ぎます。
クラウドサービスの利用が多い企業、またはセキュリティ面の懸念からクラウドサービスの利用をためらっている企業は、ゼロトラストの導入を検討してみましょう。
社内外のコラボレーションが加速する
ゼロトラストを導入すれば、社内での連携や他企業とのコラボレーションの迅速化が図れます。ゼロトラストでは、社内→社内、社内→社外、社外→社内といったすべてのアクセスについてセキュリティが担保されるためです。
どの方向でやり取りを行う場合でも情報漏洩のリスクを大きく低減できるため、より効率的な業務遂行が可能になるでしょう。
安全性を保ちながら多様な働き方に対応できる
ゼロトラストを導入することで、社外からでも安心して社内システムにアクセスできるようになります。個人所有のパソコンやタブレットでも安全に業務を遂行できるため、フルリモートやハイブリッドワークといった多様な働き方が可能になります。
セキュリティリスクに関する心配から柔軟な働き方が実現されていなかった企業でも、ゼロトラストの手法を導入すれば、安全性を保ちながら従業員のワークライフバランスを整えられるでしょう。
ゼロトラストのデメリット
ゼロトラストには多くのメリットがある一方、デメリットも存在します。ゼロトラストの導入を成功させるためにも、あらかじめデメリットを理解し、対策を講じておきましょう。
\気になる項目をクリックで詳細へジャンプ/
ゼロトラストのデメリット
コストがかかる
ゼロトラストの代表的なデメリットは、コストです。ゼロトラストを実現するには、セキュリティに関する専門知識を持った人材が必要です。
人材の育成・設置にはある程度の人件費がかかります。もし社内に適当な人材がいない場合は外注となるため、やはり人件費が発生します。
加えてゼロトラストの運用にあたっては、EDR(PCやサーバーなどデバイスの不審な挙動を検知する仕組み)などのソリューションが複数必要になることが多く、これらの導入費用が発生する点にも留意しなければなりません。
また、ゼロトラストが安定するまでは既存のセキュリティシステムを併用するケースも多くみられます。この場合は2つのセキュリティシステムの費用が同時に発生するため、一時的にコストがかさむ恐れがあります。
利便性が悪くなる場合もある
ゼロトラストの導入によって、業務の利便性が低下するおそれもあります。ゼロトラストではすべての端末からのアクセスを検証・認証するため、従来の境界線防御に比べるとログインに時間がかかるためです。
また、ゼロトラストでは安全性を担保するために、認証が短時間で切れることが多いです。認証が切れるたびにログインし直さければならず、本来の業務に注力できなくなる恐れがあります。
ゼロトラストを実現する4つのソリューション
ゼロトラストを実現するには、複数のソリューションを組み合わせることが一般的です。ゼロトラストのためのソリューションは多数登場していますが、特に重要とされるのは次の4つです。
ソリューション | 保護の対象 |
---|---|
ユーザー認証 | ログイン情報 |
エンドポイントセキュリティ | PC、モバイル端末 |
ネットワークセキュリティ | リモート接続者 |
クラウドセキュリティ | クラウド利用者 |
\気になる項目をクリックで詳細へジャンプ/
ユーザー認証
ユーザー認証とは、システムへアクセスしてきた人物が登録済みのユーザー本人であることを確認する仕組みです。代表的な認証方法として、ユーザーID・パスワードによる認証やワンタイムパスワードを使った二段階認証などがあります。
近年は、1つのシステムにログインできれば複数のサービスにも自動的にログインできる、SSOといった高度な認証機能も登場しています。
ユーザー認証に関係するソリューションとしては、IDaaS(複数のサービスにおけるID・パスワードなどをクラウド上で一元管理する)などもあります。
エンドポイントセキュリティ
エンドポイントセキュリティは、社内ネットワークに接続する各端末を保護し、それぞれのセキュリティを向上させるソリューションです。エンドポイントセキュリティの具体例としては、先ほど触れたEDRやEPP(端末をマルウェア感染から守る)などがあります。
エンドポイントの意味は「末端」「終点」、すなわちネットワークの末端であるパソコン・スマートフォン・サーバーといった各端末を指します。
近年はリモートワークの普及により、自宅で個人所有のパソコンから社内ネットワークにアクセスする機会も増えましたが、一般的に個人所有のパソコンは社内の端末に比べてセキュリティが脆弱です。
ウイルス感染した個人のパソコンから社内ネットワークに接続し、ネットワーク全体や他のデバイスに感染が拡大するおそれがあります。そこで、ネットワークに接続する端末を社内・社外と区別せずに全て保護することで、社内ネットワーク全体の防御力を強化します。
ネットワークセキュリティ
ネットワークセキュリティとは、ネットワークへのアクセス権限に制限を設けるソリューションです。
たとえば、利用者の端末を出入りするデータを確認し、不正なサイトへのアクセスを遮断するSWGなどのソリューションがあります。
通信ごとに仮想ネットワークを確立してその都度接続可否を判断するSDPや、ネットワークを暗号化するSD-WANなども注目を集めています。
クラウドセキュリティ
クラウドセキュリティとは、安全にクラウドサービスを利用できるようにするソリューションです。クラウドサービスの利用状況を可視化したり、クラウドサービス自体の安全性を検証したりするソリューションが代表的です。
具体的には、CASB(クラウドサービスの利用状況を可視化・制御する)・CSPM(クラウドサービスにおけるセキュリティの設定状況を評価する)などがよく利用されています。
ゼロトラストを導入・運用する際の注意点
ゼロトラストはただ導入するだけでは効果を実感できません。企業はゼロトラストの導入にあたって次のようなポイントを考慮し、従業員が快適に利用できるような環境整備に努めましょう。
\気になる項目をクリックで詳細へジャンプ/
ゼロトラストを導入・運用する際の注意点
導入の意義を周知する
ゼロトラストを実現できるシステムを導入しても、従業員がその意味を理解していなければ人為的なミスなど他のセキュリティリスクが発生しかねません。ゼロトラストの導入・運用を成功させるには、その重要性や意義について社内で十分に共有しておく必要があります。
そのためには、自社で特に重視したいのはどういった部分なのか、自社に必要なのはどのようなソリューションなのかを事前に明確にしておくことが重要です。
ID管理を厳重に行う
ゼロトラストでは、厳重なID管理が必要です。現在は多様なツール・システムの登場により、1人の従業員が複数のIDを有していることも少なくないためです。
システムごとに異なるIDでログインするのは手間がかかりますが、かといって1つのIDを使い回すようではセキュリティレベルが低下します。また、各人が自分のやり方でIDやパスワードを管理していると、思わぬセキュリティリスクが生じることもあります。
ゼロトラストを実現するためにも、各人が有する複数のIDを一元的に、かつ適切に管理できるような体制を整えましょう。
アクセス履歴や行動履歴を可視化する
ゼロトラストを実現させるには、ゼロトラストが正常に運用されているかを見守る体制作りも必要です。アクセスログを取得し、各従業員のアクセス履歴や行動履歴を可視化できるようにしておきましょう。
ただし、ゼロトラストでは広範囲をカバーするため、確認すべきログも膨大になります。効率的にログ管理を行うには、守るべき情報資産に優先順位をつけるなどの対策が必要です。
生産性が落ちないように考慮する
ゼロトラストは、セキュリティを強化するうえで非常に有効な仕組みです。しかし、従来のセキュリティ対策に比べて高度かつ複雑であるため、デメリットでも述べたように、導入することで業務効率が低下するおそれもあります。
ゼロトラストの重要性は理解していても、使い勝手が悪ければその仕組みが形骸化しかねません。管理負荷の増加などマイナスな面ばかりが浮き彫りにならないように、自社にとって本当にメリットのあるソリューションを選択し、始めは範囲も絞って導入しましょう。
また、上記のようなID管理やログの可視化を行い、異変が生じたときに迅速に対応するには専門チームを設置するのが理想です。それが難しい場合は、担当の従業員に負担がのしかからないようにサポートが充実したソリューションを選ぶなどの対策が必要です。
まとめ
ゼロトラストとは、信頼を前提とせずに全てのアクセスを検証し、社内ネットワークを保護する考え方です。近年はクラウドサービスやリモートワークの普及により、アクセス形態が多様化したことから、ゼロトラストが注目を集めています。
企業はゼロトラストの導入により、安全なクラウドサービスの利用・社内外のコラボレーションの推進・多様な働き方の実現といったメリットを得られます。一方で、コストや利便性の面でデメリットがある点も考慮しなければなりません。
導入によってかえって社内の利便性が下がることもあるため、必要な対策をしつつ、社内全体でゼロトラストの重要性の周知を行い、従業員のセキュリティ意識を高めましょう。
なお、ゼロトラストの実現にはさまざまなソリューションが必要です。それぞれ機能が異なるため、自社の状況にあわせて最適なソリューションを選び、企業にとって重要な情報資産の保護に努めましょう。