本記事ではゼロトラストとはどのようなものなのかを解説したのちに、登場の背景や実現するためにどのようなサービスを検討すればよいのかについて説明します。

※本記事は2021年7月18日に投稿したものの再編集版です。

ゼロトラストとは

ゼロトラスト（ゼロトラストモデル）とは2010年にJohn Kindervagによって考えられたものです。ゼロトラストを簡単に表現すると「誰も信用しないことでセキュリティを向上させよう」という考え方であるというふうに言えます。NIST（National Institute of Standards and Technology：米国立標準技術研究所）が発行したレポートである「SP 800-207 Zero Trust Architecture（2nd Draft）」では定義と7つの基本原則を以下のように定めています。

ゼロトラストの定義

「ネットワークが侵害された場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小限の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと。」

ゼロトラストの基本原則

1. データソースとコンピュータサービスは、全てリソースと見なす
2. 「ネットワークの場所」に関係なく、通信は全て保護される
3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
4. リソースへのアクセスは動的なポリシーによって決定される
5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

参考：『NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳』

ゼロトラスト登場の背景

ゼロトラストがどのように登場したのか、その背景について説明します。

境界防御モデルの登場

ゼロトラストは、従来の境界防御モデルでのセキュリティが不十分であったため登場しました。境界防御モデルとは、ネットワークを内部と外側を遮断し、外からの攻撃や情報漏洩の防止しようとする考え方です。プライベートネットワークを安全とし、それを中心にセキュリティ対策が講じられました。セキュリティゾーンを内部の安全なゾーン、DMZ、インターネットという３つに分け、その境界線にデバイスを設置し、トラフィックにルールを設けることで安全性を確保します。

ゼロトラストの登場

　しかし、近年では境界制御モデルだけでは不十分になっています。クラウドサービス使用により、外部にも守るべきデータが存在するようになりました。そこで、登場した考え方が、ゼロトラストです。ゼロトラストとは、内は安全、外は危険とする境界防御モデルとは異なり、すべてを危険と捉えます。全トラフィックを疑うという考え方により、内部も外部も守ることができるのです。 

ゼロトラストを実現するために導入を検討する製品

ゼロトラストは全トラフィックを疑うという概念であり、特定の製品を導入すれば実現できるものではありません。また、ユーザビリティを下げずにゼロトラストを取り入れるには、自動化などのシステム導入や既存のシステム活用が必要です。

ゼロトラストを実現するためには以下のような機能を持つ製品を導入させる必要があります。 

• 認証・認可 
• 接続環境 
• デバイス保護 
• ログ管理 

ゼロトラストを取り入れてセキュリティレベルを上げるにはどのような製品を検討すればいいのかを製品の機能ごとに紹介します。 

ゼロトラストを導入する手順については、こちらの記事をご覧ください。
「ゼロトラストを導入する4つのステップについて詳しく解説」

認証・認可

ゼロトラストでは内外を意識せず認証が要求されます。しかしシステムごと、アクセスごとに毎回ログインすることはユーザの使いやすさという観点から見ても、ID/PWの管理が大変になるなどというセキュリティの観点から見ても好ましくありません。アクセスごとに認証を行い、かつユーザビリティを下げない認証基盤が求められます。認証・認可の製品の例として、IDaaSやID管理システムが挙げられます。

IDaaS

IDaaSとはID管理やSSOの機能を提供するクラウドサービスのことです。IDaaSにログインできればほかのシステムにログインする際には、アサーションというチケットを自動で発行してそれにより認証のやり取りをするため人がログインをする手間が省かれます。 

IDaaSについて詳しくはこちらの記事をご覧ください。
「近年普及を見せるIDaaSとは？メリット、デメリットを解説」

ID管理システム

認証・認可を適切に行うためには、システムにID情報を正しく管理できている必要性があります。ゼロトラストでは毎回認証することが重要であり、その前段階であるID管理も必須です。特に、退職した社員のIDが残っているかどうかの確認や人事異動による社員のID情報の変更などはID数が多くなってくると手動では難しくなってきます。管理システムを活用するのが、効果的です。

ID管理について詳しくはこちらの記事をご覧ください。
「ID管理とは？メリットやシステム選定ポイントをわかりやすく解説」

接続環境

今までは社内からオンプレのシステムにアクセスすることがほとんどでしたが、社内からクラウドサービスへのアクセスや社外から社内システムへのアクセスなど接続に関して様々な状況に対応する必要があります。以下では接続環境の例を紹介しています。

ZTNA（Zero Trust Network Access）

ZTNAとはVPNのように社内システムに安全にアクセスするためのソリューションです。VPNとは異なる点としては、

1. アクセスごとに認証情報が検証され、システムへの接続が許可させること
2. ユーザの拡張が容易であること
3. 初めにソリューションで提供されるクラウドサービスへアクセスする必要があるため、クラウド、オンプレが同じ使用感で使えること
4. 帯域不足により通信の遅延が発生しないこと

などが挙げられます。また、こちらは社内システムへ安全にアクセスするためのもののため、SaaS利用のセキュリティを向上させるためのSWGと併用されることが多いです。

ZTNAについての詳細はこちらの記事をご覧ください。
「ZTNA（ゼロトラストネットワークアクセス）とは？」

IAP（Identity-Aware Proxy）

IAPとはオンプレミスのシステムを社外からアクセスする際にインターネット経由のアクセスが可能になる製品です。クラウド上にあるIAPと社内システム間を暗号化された通信でつなぐことでセキュアな接続を可能にします。

IAPについて詳しくはこちらの記事をご覧ください。
「IAPとは？VPNと比較しつつ、メリットを解説」

CASB（Cloud Access Security Broker）

CASBは、SaaSをセキュアに使用するためのソリューションです。SaaSの利用が増えることによって統合管理が難しくなり、管理者が想定していないクラウドの使用（シャドーIT）のリスクが増えています。このような状況に対してSaaSのセキュリティ強化に重点を置いているCASBではクラウドサービスの利用制限・利用可視化などを細かな条件で設定することで、SaaS利用者のコントロールが可能になります。

CASBの詳細はこちらの記事をご覧ください。
「CASBとは？概要やメリット、必要性などを解説」

SWG（Secure Web Gateway

セキュリティを確保するためにSaaSへのアクセスにもVPNを使用する企業がありますが、データセンターからインターネットへの出口にトラフィックが集中してしまうことが懸念されます。SWGでは従来データセンターで行っていたWEBフィルタリング、サンドボックス、アンチウイルスなどの機能をクラウド上で可能にします。

デバイス保護

企業の設備の外から使用されるデバイスには、私的な用途での業務用デバイスの使用、不用意なリンククリック、悪意のあるアプリケーションによる脅威など多様な危険性が想定されます。そのためデバイス自体のセキュリティ対策も必要になります。

EPP（Endpoint Protection Platform）

EPPとはマルウェアの感染を防止するために広く使われている製品です。事前にマルウェアの特徴を登録しておくことでその特徴にあったマルウェアをパターンマッチングという技術を駆使して検出します。近年では機械学習などを用いることで登録したマルウェアの亜種まで検知できる製品もあります。

EDR（Endpoint Detection and Response）

EDRはマルウェアやランサムウェアがデバイス上での不審な挙動（およびその痕跡）をしていないかの検出と調査に焦点を当てたツールです。常時ログを取得し、分析することで異常を検知、調査します。EPPはマルウェアの感染を防止するのに対し、EDRはマルウェア感染後の対応を支援するツールです。 

ランサムウェアの詳細はこちらの記事をご覧ください。
「ランサムウェアとは？VPNからの感染を防ぐ方法も解説」

クライアント証明書

クライアント証明書とは、利用者の端末（クライアント）に証明書を発行し、ログインの際にその証明書を参照することで、許可されたクライアント以外のアクセスを防ぐものです。クライアント証明書はSSOやIDaaSの機能に付属して利用できるものも多いので、このようなソリューションを利用している方は確認してみることをお勧めします。

クライアント証明に関する記事はこちらをご覧ください。

OAuthとOpenID Connectについて～仕組みや特徴など解説～

ログ管理

サイバー攻撃は徐々に巧妙化しており、100％侵入を防ぐことが難しくなっています。したがってセキュリティ対策には、機器やアクセスのログを集計し、可視化することで、侵入の痕跡や予兆を見つけることも重要になっています。

SIEM(Security Information and Event Management)

SIEMは一つのシステム、端末のみならず、ネットワーク上に存在する機器、システム等すべてのログを統括して管理するソリューションです。またログを集めてきて、時系列で分析することで攻撃を受けたことを検知することができます。

まとめ

以上のようにゼロトラストは、誰も信用しないことでセキュリティを強化させる考え方です。従来の境界防御モデルよりも高いセキュリティを実現します。ゼロトラストは単一の製品を導入すれば実現できるものではありません。また、ネットワーク上に存在するすべてにおいてセキュリティを確保することは難しいでしょう。まずは企業において必要な点を確認しながら上記のようなソリューションを検討することをお勧めします。かもめエンジニアリングでは、ZTNA・IAPの機能を有するゼロトラスト接続サービスKeygatewayC1をご提供しております。ご興味・ご相談などございましたら、お気軽に下記フォームよりお問い合わせください。