DoRACOON NTTMEDIAS

企業の課題

企業の
課題

次世代セキュリティで用いられるゼロトラストについて解説

2021-9-9

次世代セキュリティで用いられるゼロトラストについて解説

次世代のセキュリティモデルにおける考え方として「ゼロトラスト」という言葉が用いられることが増えてきており、現在も注目を集めています。
ゼロトラストはあらゆるトラフィックを信用できない前提で考えていく思考法・概念で、次世代におけるセキュリティでも活用されています。
今回は、ゼロトラスト・ゼロトラストセキュリティの意味などについて解説していきます。

ゼロトラストとは

ゼロトラストは日本語に直訳すると「何一つ信用しない」ですが、その名の通り何も信頼しないことを前提にセキュリティ対策を講じるという考え方です。
また、ゼロトラストセキュリティとは、セキュリティ対策においてあらゆるものに疑い・警戒心を持って対策を進めていくことを指します。
ゼロトラストセキュリティの保護すべきものは機密情報を含むあらゆる社内データとし、重要なデータなどにアクセスすることに対して、すべて信頼しないことを前提にセキュリティ対策を進めていく考え方がゼロトラストセキュリティとなります。

ゼロトラストセキュリティを略してゼロトラストと呼ぶこともありますが、厳密には以下のように分類されます。

  • ・何一つ信用しない考え方・概念 :ゼロトラスト
  • ・ゼロトラストの概念に基づいた次世代セキュリティ:ゼロトラストセキュリティ
  • ・ゼロトラストセキュリティを実現したネットワーク:ゼロトラストネットワーク

従来のセキュリティの問題点

従来のセキュリティは、誰もが利用する公共のインターネットから社内ネットワークを切り離して隔離し、ネットワークを通じて社内の情報にアクセスできる人を制限することでインターネットセキュリティを確立していました。

昔はこの従来のセキュリティアプローチを徹底していればインシデントにつながることは少なかったのですが、現在は従来と比較して働き方が大きく変化しており、従来のネットワークセキュリティでは大きなインシデントに繋がってしまう可能性があります。

ゼロトラスト

ソーシャルエンジニアリングに弱い

一番の問題がソーシャルエンジニアリングに弱いということです。

従来は社員など制限された人達しか立ち入ることができないオフィス内で仕事をするのが一般的でしたが、現在は働き方改革などの影響によりリモートワークが浸透しています。

こうした働き方の変化により第三者による仕事用パソコン・書類などの盗難や覗き見などによるソーシャルエンジニアリングの被害に遭うリスクが増加しています。

そのためソーシャルエンジニアリングの被害を受ける可能性があることを前提に、つまりゼロトラスト思考でセキュリティ対策を行わないと外部からの侵入に非常に弱いセキュリティになってしまいます。

VPNの通信帯域性能の限界

従来のセキュリティをそのまま活用するために、社内ネットワークに接続するために使う専用のVPNを企業側で用意するケースも珍しくありません。

この場合、あらたにセキュリティ構築をする必要がないため、VPN導入コストだけで済ますことが可能ですが、VPNを用いる場合、VPNに接続している全ユーザーのトラフィックが集中するためキャパシティ不足に陥りやすくなります。

リモートワークの増加によりVPNを利用するユーザ数が増えると帯域消費が通常よりも増加することから、ゼロトラストセキュリティ実現のためにVPNを用いてしまうとキャパシティを大幅に超えたトラフィックによりシステムがダウンしてしまう可能性があります。

VPNシステムがダウンすると社内ネットワークにアクセスすることができなくなるため、業務に大きな悪影響を及ぼすことになるでしょう。

パソコンのクラッキング・盗難にも弱い

VPNを使うと社内VPNに接続するためのアクセス情報を所有している社員しか接続できませんが、社内VPN に接続しているパソコンやスマートフォンがクラッキングを受けた場合、VPN接続情報が盗まれて悪意ある第三者に侵入されてしまう可能性があります。

同様にパソコンの盗難でも正規のユーザーになりすましてアクセスされてしまう可能性があるため、VPNを使えば強固なセキュリティが担保されるというわけではありません。

ゼロトラスト

ゼロトラストセキュリティを実現する考え方

ゼロトラストセキュリティを実現するためには従来のセキュリティアプローチでは実現できず、ゼロトラストを前提にセキュリティ対策を進める必要があります。

続いては、ゼロトラストセキュリティを実現するための考え方について見ていきましょう。

脱VPNを進める

現在 VPN を用いて社外アクセスのセキュリティを確保している場合は脱VPNを進めるべきでしょう。

急激なトラフィック増加に耐えられないほか、VPNシステムがダウンした時は全社員の業務がストップします。

「VPN=安全」というわけでもないため、ゼロトラストセキュリティの実現を考えるのであれば脱VPNは必要でしょう。

書類形式の統一

ゼロトラストセキュリティではあらゆるデータへのアクセスを信頼できないものとして処理するために、デジタルデータへ統一するケースが多いです。

紙の書類の場合、持ち出しによる情報漏えいに繋がりやすいほか、いつどこで誰が流出させたかどうかの特定も困難です。

社外で働くシーンが増加していることもあり、ゼロトラストセキュリティでは書類形式の統一はセキュリティだけでなく業務効率の面でも有効でしょう。

そのため、すべての書類をデジタルデータ化してアクセスログを監視できる体制がゼロトラストセキュリティでは求められます。

完成されたクラウドサービスの活用

よくある失敗が、社内でセキュリティシステムを開発して運用するケースです。

社内でセキュリティシステムを開発したケースではセキュリティにコストを割きすぎるあまり業務効率が疎かにされていることが珍しくありません。

また、一度完成させたセキュリティシステムを時代の変化に合わせてアップデートを繰り返すことをしない場合は、時が経つにつれて脆弱なシステムへと成り下がってしまい、好ましくありません。

しかし、現在はクラウドサービスの普及によりゼロトラストセキュリティの実現に利用できるセキュアなサービスが数多くリリースされています。

ゼロトラスト

実際にゼロトラストセキュリティを実現させている企業は、既存の信頼できるクラウドサービスを活用していることが多くなっています。

クラウドサービスを利用することによって自社の本来の事業にコストをかけることができるため、セキュリティのみならず業務効率の面でも大きなメリットがあります。

EAAの導入

ゼロトラストセキュリティの実現に用いられるケースが増えてきたEAA(Enterprise Application Access)。

クラウド上のソフトウェアを認証されたユーザーのみが利用できるようにすることで、信頼できない端末を拒否しつつ安全にインターネットを通じて社内データ・ソフトウェアへのアクセスが可能になります。

EAAを提供しているサービスを利用することにより、以下の恩恵を得られます。

  • ・VPNを必要としない
  • ・信頼できない端末の拒否
  • ・端末の結合
  • ・導入・拡張しやすい

VPNを必要としないため、トラフィックが急増してキャパシティ不足に陥ることもなく、拡張性も高くなっています。

EAAはゼロトラストに則っているためEAAに接続するユーザーを誰一人信用することがありません。そのため、EAAへの接続には必ず多要素認証などによって認証しても良いユーザーかどうかを確認します。

新しい接続のたびに認証が行われるほか、多要素認証がほとんどであるためソーシャルエンジニアリングにも強いなど、現在注目されているゼロトラストセキュリティを実現する手段のひとつです。

ゼロトラスト思考は現代ITでは必要不可欠

まとめ

現代のインターネットセキュリティを考える上ではゼロトラスト思考は欠かせません。 先ほど紹介したEAA(Enterprise Application Access)のクラウドサービスなど、ゼロトラストセキュリティの実現に役立つサービス・ソフトウェアが増えてきているため、本格的にゼロトラストセキュリティの実現に向けて動き始める時代がきたといえるでしょう。

ページ上部へ戻る