ゼロトラストとは？特徴や従来との比較・実現技術をわかりやすく解説

新型コロナウイルスの拡大でテレワークが浸透しクラウドサービスが企業でも多く使われる状況で、ゼロトラストは注目されるようになりました。

本稿では、ゼロトラストとはどういう概念で、なぜ求められるようになったのかを解説。従来のセキュリティモデルと比較してどういう点が新しいのか、ゼロトラストを実現するセキュリティ技術についても紹介します。

ゼロトラストに興味を持たれた方や、これから自社へもゼロトラストを適用したいという方は、ぜひ最後までご覧ください。

ゼロトラストとは

ゼロトラストとは、「アクセスはすべて信頼しない」「アクセスがあれば毎回チェックおよびログ取得を行う」という新しいセキュリティモデルです。

具体的には、すべてのアクセスにはリスクがあると考えて、毎回認証を求め、認証を通過したら必要最低限のアクセス権限を与えます。ただ、毎回認証情報を入力するのは非常に手間がかかるため、認証情報やほかの情報を利用して、内部的に認証を行う仕組みです。

従来のセキュリティモデルは「境界防御モデル」とも呼ばれ、外部ネットワークと内部ネットワークに分けて考えます。内部ネットワークにアクセスする際、一度認証に成功したら、以降は内部のサーバーや社内システムなどへ自由にアクセスできるという仕組みです。

しかし、従来のセキュリティモデルでは、不正アクセスやサイバー攻撃に対応できないケースも増えてきました。そのためゼロトラストの概念が注目を集めています。

ゼロトラスト3つの特徴

ゼロトラストは、3つの特徴を備えています。・アクセス権は最小限
・通信経路の最短化
・複数製品を組み合わせて実現する必要がある

具体的になどのような特徴なのか、順に解説します。

アクセス権は最小限

従来の境界制御モデルでは、内部ネットワーク内のシステムへ自由にアクセスできます。社外から社内システムAにアクセスした後は、ファイルサーバーBやプリンターCへもアクセス可能です。

一方ゼロトラストでは、与えるアクセス権は最小限に留めます。社外から社内システムAに対してアクセスし、認証に成功したとしても、ファイルサーバーBへアクセスする権限はありません。

社内システムAへアクセスした後ファイルサーバーBへアクセスがあれば、認証を求めてファイルサーバーBへアクセス権を与えます。この特徴によって、外部からのサイバー攻撃だけでなく、内部の不正アクセスも防止できます。

通信経路の最短化

従来のVPN接続は、社内ネットワークへアクセスするために、必ずVPNゲートウェイを経由しなくてはなりません。VPNゲートウェイは1ヵ所に設置されます。

利用者のアクセス地点とVPNゲートウェイの設置場所によっては、通信経路が遠回りになりかねません。結果として、通信速度の低下や通信障害の発生、通信が不安定になるなどの問題が発生します。

ゼロトラストの場合は、サービス提供者が世界各地に多くのアクセスポイントを設置しており、常に最短の通信経路に。VPN接続が抱える問題点は解消されます。

複数製品を組み合わせて実現する必要がある

ゼロトラストはあくまでも「概念」であるため、特定のシステムやツール・ソリューションを指しているわけではありません。ゼロトラストモデルを実現するには、複数のセキュリティソリューションを組み合わせて構築する必要があります。

ゼロトラストが求められる背景

ゼロトラストが求められる背景には、クラウドサービスやテレワーク、シャドーIT問題があります。

クラウドサービスの利用増加

総務省の「令和2年 情報白書」によると、一部でもクラウドサービスを利用している企業は64.7％。前年よりも6ポイント上昇しており、毎年増加しています。

従来の社外・社内という分類が成立せず、社外に業務データを保管しているケースもすくなくありません。この状況下では、境界防御モデルのセキュリティでは対応しきれなくなりつつあります。

テレワークによるモバイルデバイスでのアクセス増加

働き方改革と新型コロナウイルス感染症拡大の影響で、テレワークが急速に浸透しています。株式会社パーソル総合研究所によると、2020年11月18日～11月23日に調査したところ、正社員のテレワーク実施率は全国平均で24.7％。約4人に1人がテレワークを行っている計算です。

また、インターネットアクセスでのスマートフォンの利用割合は2019年では63.3％、タブレット端末は23.2％。モバイルアクセスも増加しており、モバイルデバイスを踏み台とした不正アクセスなどのセキュリティリスクも高まっています。

シャドーITの問題

シャドーITとは、会社に無許可で、社員や部署が独自にデバイス・アプリケーション・クラウドサービス等を利用することです。シャドーITは情報漏えいや不正アクセスなどの温床となりやすいため、境界内のアクセスでも信用できません。

シャドーITの問題も、ゼロトラストモデルを導入して毎回認証を行うようにすることで、被害を最小限に留められます。

従来の境界防御モデルとゼロトラストの比較

従来の境界防御モデルとゼロトラストの違いについて比較しましょう。

協会防御モデルとゼロトラストの違いを確認しつつ、境界防御モデルの問題点を、ゼロトラストがどのように解決しているかを解説します。

境界を突破されると弱い境界防御モデル

境界防御モデルは、社内ネットワーク内は安全という前提なので、境界突破後の動きを監視しません。一度境界を突破されてしまうと、どのようなアクセスも許してしまう点が大きな弱点です。

万が一IDとパスワードの認証情報が外部に漏れてしまうと、不正アクセスやサイバー攻撃を防ぐ手段がありません。

ゼロトラストは認証後の動きもチェックする

ゼロトラストでは、認証後も動きを毎回チェックします。認証突破後も、挙動に不審な点があるとアクセスを許可しません。ゼロトラストモデルではアクセスのたびに、トランザクション認証などの方法で、操作や動きに不審な点がないことを確認します。

本来は社内システムAを使うためにアクセスしてきたのに、次のアクセスでは関係のないファイルサーバーBへアクセスしにいくと、ゼロトラストはアクセスを拒否します。

ゼロトラストを実現するセキュリティ技術

ゼロトラストを実現するには、複数のセキュリティ技術を組み合わせなければなりません。ゼロトラストモデルを実現するうえでポイントとなるセキュリティ技術として、以下の技術を紹介します。

・IAM
・SOAR
・EPPとEDR

IAM

IAM（Identity and Access Management）ソリューションとは、IDとアクセス権の統合管理ソリューションのことです。各クラウドサービスには、IAMに利用できる以下の統合ID管理システムがあります。

・AWS：Identity and Access Management (IAM)
・Azure：Azure Active Directory & Role Based Access Control
・GCP：Cloud Identity & Cloud IAM

IAMでは、ユーザー認証のみならずデバイスのセキュリティ状態や位置情報、使用アプリケーションの正当性などを識別したうえでアクセス制御を行います。

また、複数のクラウドサービスを利用していると、利用者側のID管理が負担になります。クラウドサービスのIDを統合管理できるIDaaS（Identity as a Service：統合ID管理のクラウドサービス）もあるため、導入を検討しましょう。

統合ID・アクセス管理ソリューションと合わせて、1回の認証で各システムが使えるようにあるSSO（シングルサインオン）の導入も検討したいところです。

SOAR

SOAR（Security Orchestration, Automation and Response）とは、セキュリティ対策の自動化ソリューションのことです。

ゼロトラストは、セキュリティリスクの管理コストが増えるというデメリットがあります。SOARは、セキュリティ対策（セキュリティ問題の監視・分析・対策）を自動化するため、ゼロトラストの運用デメリットをカバーします。

EPPとEDR

ネットワークの末端である「エンドポイント」を守るセキュリティソリューション、EPP（Endpoint Protection Platform）。AI技術（機械学習）を駆使して未知・亜種のマルウェアを感知して感染を予防する次世代のマルウェア対策技術です。

EDR（Endpoint Detection and Response）は、感染後の対策に特化したセキュリティ技術です。EPPだけでは防ぎきれない脅威があることを前提としている点が、EDRの大きな特徴といえます。

EPPとEDRは、ゼロトラストを実現するための重要な技術です。両方を導入するだけではなく、問題検知時にすばやく対応できる人員配置や体制も必要となります。

ゼロトラストの実現で次世代のセキュリティにシフト

ゼロトラストは、テレワークやクラウドサービスの普及に伴い注目されるようになった、セキュリティモデルの概念です。アクセスのたびに認証を行うゼロトラストモデルの実現は、次世代のセキュリティには欠かせません。

ゼロトラストをどのようにして実現するかは、自社のIT環境や解決するべきセキュリティ上の課題により異なります。最新技術の動向を調べつつ、製品選定から運用体制の整備まで、しっかり検討しましょう。

文：xDX編集部　画像提供：Getty images