本記事ではゼロトラストとはどのようなものなのかを解説したのちに、登場の背景や実現するためにどのようなサービスを検討すればよいのかについて説明します。

ゼロトラストとは

ゼロトラスト（ゼロトラストモデル）とは2010年にJohn Kindervagによって考えられたものです。この考え方はまだ抽象的なものであり、具体的にこの製品を導入すれば達成できるといったものではありません。しかしながらNIST（National Institute of Standards and Technology：米国立標準技術研究所）が発行したレポートである「SP 800-207 Zero Trust Architecture（2nd Draft）」では定義と7つの基本原則を以下のように定めています。

ゼロトラストの定義

「ネットワークが侵害された場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小限の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと。」

ゼロトラストの基本原則

1. データソースとコンピュータサービスは、全てリソースと見なす
2. 「ネットワークの場所」に関係なく、通信は全て保護される
3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
4. リソースへのアクセスは動的なポリシーによって決定される
5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

参考：『NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳』

ゼロトラスト登場の背景

ゼロトラストは、従来の境界防御が現代のセキュリティ対策として不十分とされたことで登場しました。そこで、そもそも境界防御の背景と概要について述べたうえで、ゼロトラストがどのように登場したのか説明します。

境界防御の登場

ネットワークが普及し、ルーティングされる必要性がない領域が増加すると、グローバルIPアドレスの枯渇懸念の問題もあり、プライベートネットワークが誕生しました。そしてネットワーク内でグローバルに一意でないIPアドレスを使用できるようになると、ほかのネットワークからプライベートネットワークに直接アクセスすることができなくなり、安全性が保たれるようになりました。これにより、この時代はセキュリティが必要とされることはありませんでした。システムが進化し、ネットワーク間のアクセスが必要になってきてもプライベートネットワークが安全とされていたためこれを中心にセキュリティが考えられました。
この考えを中心に、セキュリティゾーンを内部の安全なゾーン、DMZ、インターネットという３つに分け、その境界線にデバイスを設置し、トラフィックにルールを設けることで安全性を確保するようにセキュリティ対策が取られました。これが現在主流となっている境界防御です。

ゼロトラストの登場

最近では、上述の境界防御は初期ほど隔離されなくなっており、十分なセキュリティレベルを担保しないものになっています。例えば、クラウドサービスを導入する企業が増えていますが、これは社内のネットワークに構築されるものではありません。
したがって社外にも守るべきデータが存在することになり従来の境界線防御モデルだけでは不十分です。また、リモートワークの促進により社外から社内ネットワークにアクセスをする機会も増えその端末も安全性を保たなければいけなくなり、境界線防御だけでは十分なセキュリティを確保できなくなりつつあります。
そこで登場したのが本記事冒頭で紹介した「ゼロトラスト」という概念です。ゼロトラストとは、内は安全、外は危険とする境界防御とは異なり、すべてを危険と考え、全トラフィックを疑うという考え方です。

ゼロトラストを実現するために導入を検討する製品

ポリシーを動的に変更したり、ユーザビリティを下げずにゼロトラストを取り入れるには、自動化などのシステム導入や既存のシステム活用が必要です。次では、コンセプト段階であるゼロトラストを取り入れてセキュリティレベルを上げるにはどのような製品を検討すればいいのかを紹介します。

ゼロトラストを導入する手順については、こちらの記事をご覧ください。
「ゼロトラストを導入する4つのステップについて詳しく解説」

認証・認可

ゼロトラストでは内外を意識しない認証が要求されます。しかしシステムごと、アクセスごとに毎回ログインすることはユーザの使いやすさという観点から見ても、ID/パスワードの管理が大変になるなどというセキュリティの観点から見ても好ましくありません。アクセスごとに認証を行い、かつユーザビリティを下げない認証基盤が求められます。

IDaaS

IDaaSとはID管理やSSOの機能を提供するクラウドサービスのことです。IDaaSにログインできればほかのシステムにログインする際には、アサーションというチケットを自動で発行してそれにより認証のやり取りをするため人がログインをする手間が省かれます。また、適切な権限を付与するためのID管理機能や、不審な挙動をしているユーザに対して多要素認証を求めるリスクベース認証などの機能があるIDaaSも存在します。

IDaaSについて詳しくはこちらの記事をご覧ください。
「近年普及を見せるIDaaSとは？メリット、デメリットを解説」

ID管理システム

認証・認可を適切に行うためには、システムにID情報を正しく管理できている必要性があります。退職した社員のIDが残っているかどうかの確認、人事異動による社員のID情報の変更などはID数が多くなってくると手動では難しくなってきます。ゼロトラストでは毎回認証することが肝であるのでその前段階であるID管理も必須です。

ID管理について詳しくはこちらの記事をご覧ください。
「ID管理とは？メリットやシステム選定ポイントをわかりやすく解説」

接続環境

今までは社内からオンプレのシステムにアクセスすることがほとんどでしたが、社内からクラウドサービスへのアクセスや社外から社内システムへのアクセスなど接続に関して様々な状況に対応する必要が生じました。以下ではそのような接続環境に関するソリューションについて説明します。

ZTNA（Zero Trust Network Access）

ZTNAとはVPNのように社内システムに安全にアクセスするためのソリューションです。VPNとは異なる点としては、①アクセスごとに認証情報が検証され、システムへの接続が許可させること、②ユーザの拡張が容易であること、③初めにソリューションで提供されるクラウドサービスへアクセスする必要があるため、クラウド、オンプレが同じ使用感で使えること、④帯域不足により通信の遅延が発生しないことなどが挙げられます。また、こちらは社内システムへ安全にアクセスするためのもののため、SaaS利用のセキュリティを向上させるためのSWGと併用されることが多いです。

ZTNAについての詳細はこちらの記事をご覧ください。
「ZTNA（ゼロトラストネットワークアクセス）とは？」

IAP（Identity-Aware Proxy）

IAPとはオンプレミスのシステムを社外からアクセスする際にインターネット経由のアクセスが可能になる製品です。クラウド上にあるIAPと社内システム間を暗号化された通信でつなぐことでセキュアな接続を可能にします。具体的には、オンプレにアクセスする際には、まずクラウド上にあるIAPにアクセスさせ、IdPで認証情報を確認します。本人確認が取れたところで暗号化された通信網にユーザを通してアクセスを許可します。SaaSにアクセスする際には直接IdPで認証を行うことでアクセスでき、オンプレミス、クラウドを同じ使用感で利用できます。ユーザがクラウド、オンプレの接続先に応じてVPNをオンオフ切り替える必要もなくなります。注意が必要なのが、IAPそのものには認証機能がないことが多いため、Azure Active Directory（AAD）やIDaaSなどIdP（Identity Provider）と呼ばれるものを別途用意する必要があります。

IAPについて詳しくはこちらの記事をご覧ください。
「IAPとは？VPNと比較しつつ、メリットを解説」

CASB（Cloud Access Security Broker）

CASBは、SaaSをセキュアに使用するためのソリューションです。SaaSの利用が増えることによって統合した管理が難しくなり、管理者が想定していないクラウドの使用（シャドーIT）のリスクが増えています。このような状況に対してSaaSのセキュリティ強化に重点を置いているCASBではクラウドサービスの利用制限・利用可視化などを細かな条件で設定することで、SaaS利用者のコントロールが可能になります。

CASBの詳細はこちらの記事をご覧ください。
「CASBとは？概要やメリット、必要性などを解説」

SWG（Secure Web Gateway）

セキュリティを確保するためにSaaSへのアクセスにもVPNを使用する企業がありますが、データセンターからインターネットへの出口にトラフィックが集中してしまうことが懸念されます。SWGでは従来データセンターで行っていたWEBフィルタリング、サンドボックス、アンチウイルスなどの機能をクラウド上で可能にします。

デバイス保護

企業の設備の外から使用されるデバイスには、私的な用途での業務用デバイスの使用、不用意なリンククリック、悪意のあるアプリケーションによる脅威など多様な危険性が想定されます。そのためデバイス自体のセキュリティ対策も必要になります。

EDR（Endpoint Detection and Response）

EDRはマルウェアやランサムウェアがデバイス上での不審な挙動（およびその痕跡）をしていないかの検出と調査に焦点を当てたツールです。常時ログを取得し、分析することで異常を検知、調査します。

ランサムウェアの詳細はこちらの記事をご覧ください。
「ランサムウェアとは？VPNからの感染を防ぐ方法も解説」

EPP（Endpoint Protection Platform）

EPPとはマルウェア対策として広く使われているソリューションです。事前にマルウェアの特徴を登録しておくことでその特徴にあったマルウェアをパターンマッチングという技術を駆使して検出します。近年では機械学習などを用いることで登録したマルウェアの亜種まで検知できる製品もあります。

クライアント証明書

クライアント証明書とは、利用者の端末（クライアント）に証明書を発行し、ログインの際にその証明書を参照することで、許可されたクライアント以外のアクセスを防ぐものです。クライアント証明書はSSOやIDaaSの機能に付属して利用できるものも多いので、このようなソリューションを利用している方は確認してみることをお勧めします。

ログ管理

サイバー攻撃は徐々に巧妙化しており、100％侵入を防ぐことが難しくなっています。したがってセキュリティ対策には、機器やアクセスのログを集計し、可視化することで、侵入の痕跡や予兆を見つけることも重要になっています。

SIEM(Security Information and Event Management)

SIEMは一つのシステム、端末のみならず、ネットワーク上に存在する機器、システム等すべてのログを統括して管理するソリューションです。またログを集めてきて、時系列で分析することで攻撃を受けたことを検知することができます。

まとめ

ゼロトラストとは閉じられたネットワークで完結していましたが、インターネットにアクセスする必要性に迫られ、ネットワーク外からもアクセスされるようになり、従来の境界線防御では不十分となり考えられたモデルでした。ゼロトラストではすべてを信用しないという特徴から多様な観点でセキュリティを向上させることが求められます。ネットワーク上に存在するすべてにおいてセキュリティを確保することは難しいですので、まずは企業において必要な点を確認しながら上記のようなソリューションを検討することをお勧めします。かもめエンジニアリングでは、ZTNA・IAPの機能を有するゼロトラスト接続サービスKeygatewayC1をご提供しております。ご興味・ご相談などございましたら、お気軽に下記フォームよりお問い合わせください。