本記事ではゼロトラストとはどのようなものなのかを解説したのちに、登場の背景や実現するためにどのようなサービスを検討すればよいのかについて説明します。

※本記事は2021年7月18日に投稿したものの再編集版です。

ゼロトラストとは

ゼロトラスト（ゼロトラストモデル）とは2010年にJohn Kindervagによって考えられたものです。ゼロトラストを簡単に表現すると「誰も信用しないことでセキュリティを向上させよう」という考え方であるというふうに言えます。NIST（National Institute of Standards and Technology：米国立標準技術研究所）が発行したレポートである「SP 800-207 Zero Trust Architecture（2nd Draft）」では定義と7つの基本原則を以下のように定めています。

ゼロトラストの定義

「ネットワークが侵害された場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小限の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと。」

ゼロトラストの基本原則

1. データソースとコンピュータサービスは、全てリソースと見なす
2. 「ネットワークの場所」に関係なく、通信は全て保護される
3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
4. リソースへのアクセスは動的なポリシーによって決定される
5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

参考：『NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳』

ゼロトラスト登場の背景

ゼロトラストがどのように登場したのか、その背景について説明します。

境界防御モデルの登場

ゼロトラストは、従来の境界防御モデルでのセキュリティが不十分であったため登場しました。境界防御モデルとは、ネットワークを内部と外側を遮断し、外からの攻撃や情報漏洩の防止しようとする考え方です。プライベートネットワークを安全とし、それを中心にセキュリティ対策が講じられました。セキュリティゾーンを内部の安全なゾーン、DMZ、インターネットという３つに分け、その境界線にデバイスを設置し、トラフィックにルールを設けることで安全性を確保します。

ゼロトラストの登場

　しかし、近年では境界制御モデルだけでは不十分になっています。クラウドサービス使用により、外部にも守るべきデータが存在するようになりました。そこで、登場した考え方が、ゼロトラストです。ゼロトラストとは、内は安全、外は危険とする境界防御モデルとは異なり、すべてを危険と捉えます。全トラフィックを疑うという考え方により、内部も外部も守ることができるのです。 

ゼロトラストを実現するために導入を検討する製品

ゼロトラストは全トラフィックを疑うという概念であり、特定の製品を導入すれば実現できるものではありません。また、ユーザビリティを下げずにゼロトラストを取り入れるには、自動化などのシステム導入や既存のシステム活用が必要です。

ゼロトラストを取り入れてセキュリティレベルを上げるにはどのような製品を検討すればいいのかを製品の機能ごとに紹介します。 

ゼロトラストを導入する手順については、こちらの記事をご覧ください。
「ゼロトラストを導入する4つのステップについて詳しく解説」

認証・認可

ゼロトラストでは内外を意識せず認証が要求されます。しかしシステムごと、アクセスごとに毎回ログインすることはユーザの使いやすさという観点から見ても、ID/PWの管理が大変になるなどというセキュリティの観点から見ても好ましくありません。アクセスごとに認証を行い、かつユーザビリティを下げない認証基盤が求められます。認証・認可を実現する製品として、SSOやIDaaSが挙げられます。

SSOについて詳しくはこちらの記事をご覧ください。

「今さら訊けない「シングルサインオン(SSO)とは？」メリット、導入時のポイントも解説」

IDaaSについて詳しくはこちらの記事をご覧ください。
「近年普及を見せるIDaaSとは？メリット、デメリットを解説」

ID管理システム

認証・認可を適切に行うためには、システムにID情報を正しく管理できている必要性があります。ゼロトラストでは毎回認証することが重要であり、その前段階であるID管理も必須です。特に、退職した社員のIDが残っているかどうかの確認や人事異動による社員のID情報の変更などはID数が多くなってくると手動では難しくなってきます。管理システムを活用するのが、効果的です。

ID管理について詳しくはこちらの記事をご覧ください。
「ID管理とは？メリットやシステム選定ポイントをわかりやすく解説」

ZTNA（Zero Trust Network Access）

ZTNAとはVPNのように社内システムに安全にアクセスするためのソリューションです。VPNとは異なる点としては、

1. アクセスごとに認証情報が検証され、システムへの接続が許可させること
2. ユーザの拡張が容易であること
3. 初めにソリューションで提供されるクラウドサービスへアクセスする必要があるため、クラウド、オンプレが同じ使用感で使えること
4. 帯域不足により通信の遅延が発生しないこと

などが挙げられます。また、こちらは社内システムへ安全にアクセスするためのもののため、SaaS利用のセキュリティを向上させるためのSWGと併用されることが多いです。

ZTNAについての詳細はこちらの記事をご覧ください。
「ZTNA（ゼロトラストネットワークアクセス）とは？」

CASB（Cloud Access Security Broker）

CASBは、SaaSをセキュアに使用するためのソリューションです。SaaSの利用が増えることによって統合管理が難しくなり、管理者が想定していないクラウドの使用（シャドーIT）のリスクが増えています。このような状況に対してSaaSのセキュリティ強化に重点を置いているCASBではクラウドサービスの利用制限・利用可視化などを細かな条件で設定することで、SaaS利用者のコントロールが可能になります。

CASBの詳細はこちらの記事をご覧ください。
「CASBとは？概要やメリット、必要性などを解説」

SWG（Secure Web Gateway

セキュリティを確保するためにSaaSへのアクセスにもVPNを使用する企業がありますが、データセンターからインターネットへの出口にトラフィックが集中してしまうことが懸念されます。SWGでは従来データセンターで行っていたWEBフィルタリング、サンドボックス、アンチウイルスなどの機能をクラウド上で可能にします。

EDR（Endpoint Detection and Response）

EDRはマルウェアやランサムウェアがデバイス上での不審な挙動（およびその痕跡）をしていないかの検出と調査に焦点を当てたツールです。常時ログを取得し、分析することで異常を検知、調査します。EPPはマルウェアの感染を防止するのに対し、EDRはマルウェア感染後の対応を支援するツールです。 

ランサムウェアの詳細はこちらの記事をご覧ください。
「ランサムウェアとは？VPNからの感染を防ぐ方法も解説」

MDM （ Mobile Device Management ）

MDMとは、企業や組織でスマートフォン・タブレット等のモバイル端末を管を管理するためのシステムのことです。MDMでは、紛失時のリモートによるデバイス制御や、モバイルデバイスの一元管理、セキュリティポリシーやアプリの一斉配布の機能があります。これらの機能により、モバイルデバイスの効率的な運用だけでなく、セキュリティの強化も実現できます。

脅威インテリジェンス

脅威インテリジェンスとは、セキュリティに関する脅威情報を収集・加工し、分析していくことで、セキュリティ脅威に対する対応を組織で決めていく仕組みのことです。IPA（独立行政法人情報処理推進機構）の「脅威インテリジェンスガイドライン」によると、①方針策定、②情報収集・加工、③分析、④配布、⑤評価の5つのフェーズを通して、高度なサイバー攻撃を防御・検知できるようになります。

SIEM(Security Information and Event Management)

SIEMは一つのシステム、端末のみならず、ネットワーク上に存在する機器、システム等すべてのログを統括して管理するソリューションです。またログを集めてきて、時系列で分析することで攻撃を受けたことを検知することができます。

まとめ

以上のようにゼロトラストは、誰も信用しないことでセキュリティを強化させる考え方です。従来の境界防御モデルよりも高いセキュリティを実現します。ゼロトラストは単一の製品を導入すれば実現できるものではありません。また、ネットワーク上に存在するすべてにおいてセキュリティを確保することは難しいでしょう。まずは企業において必要な点を確認しながら上記のようなソリューションを検討することをお勧めします。かもめエンジニアリングでは、ZTNA・IAPの機能を有するゼロトラスト接続サービスKeygatewayC1をご提供しております。ご興味・ご相談などございましたら、お気軽に下記フォームよりお問い合わせください。