リモートワークの普及の影響もあり、注目を集めているゼロトラストセキュリティ。
本記事では、ゼロトラストセキュリティの概要から、導入の進捗状況、導入の実務までを解説します。
境界型セキュリティとの違い
ゼロトラストセキュリティとは、その名の通り、「完全に信頼できるものはない」というコンセプトに基づいた、セキュリティ対策のモデルのことです。
従来の境界型セキュリティとの違いは、境界の内側を安全と判断するかどうかという点です。
境界型セキュリティは、ファイヤーウォール、IDS(不正侵入検知システム)、IPS(不正侵入防止システム)などを企業の内部と外部の境界に設けることによって、外部からの侵入を防ぐというモデルでした。
別の見方をすれば、「境界の内部にある社内の端末は全て安全であり、脅威は外部から侵入してくるものである」ことが前提となっていました。
それに対して、ゼロトラストセキュリティは、脅威の認識に内部と外部の境界を設けないことを前提としています。言い換えると、「企業の内部も、外部と同様に脅威の対象である」ことが前提となっている点が最大の相違点です。
ゼロトラストセキュリティの歴史
ゼロトラストセキュリティの歴史は、2007年にさかのぼります。「Jericho Forum」がホストの信頼性に基づいたセキュリティモデル提案したのがルーツとなっています。
これはトラストモデルと呼ばれ、ホスト自体のセキュリティを高めることで、境界型セキュリティが不要になるというコンセプトのモデルでした。
しかし、当時の技術水準では、すべてのホストを管理、制御できている組織は少なく、ホスト自体のセキュリティだけでは不十分であったため、ネットワーク制御が必要不可欠でした。
その後、Jericho Forumのアイデアが発展して、集中管理型のセキュリティ制御やネットワークアクセス制御(NAC)が誕生しました。
現在のゼロトラストモデルは、トラストモデルやNACをベースにして成立したものです。
「Jericho ForumのトラストモデルやNACをもとに変化したセキュリティモデルがゼロトラストと言えるでしょう。ゼロトラストはホスト自体に防御力を確保するのでなく、「信頼できない限り一切の活動を許可しない」という原則にもとづいており、これはファイアウォールで”Deny-All”を設定する30年前への回帰とも言えます。」
ゼロトラストにおけるエンドポイント
エンドポイントとは、パソコンやスマートフォンのような端末のことです。
境界型セキュリティでは、エンドポイントはセキュリティ環境の内部にある安全なものとされてきました。しかしながら、ゼロトラストセキュリティにおいては、脅威となりうる対象として認識します。
たとえば、境界型のセキュリティを採用した場合、企業が所有する多数の端末のうち、一つでもウィルスの侵入を許してしまうと、たちまち社内で広まってしまいかねません。これを「ラテラルムーブメント」と呼びます。
境界内部の端末であっても、脅威となりえる存在として認識し、適切な防御策を講じるのが、ゼロトラストのコンセプトの一つです。
ゼロトラストのメリット・デメリット
ゼロトラストセキュリティには以下のようなメリットがあります。
1.シンプルなシステム構造
境界型セキュリティと比較して、ゼロトラストセキュリティは単純な構造で構築することができます。境界型セキュリティでは、VPNアプライアンスなど必要となるソフトウェアが多岐にわたっているのに対して、ゼロトラストセキュリティでは、クラウドベースで構築することが前提のため、全ての機能をクラウドサービス内で構築できるためです。このことにより、システム規模の拡大や縮小にも柔軟に対応することができます。
2.利便性の向上
ゼロトラストセキュリティでは、多要素認証やシングルサインオンを採用するため、ユーザーは複雑なパスワードを記憶したり、繰り返し入力することなく、一つのパスワードで複数のサービスを利用することができます。
3.情報流出リスクの軽減
ゼロトラストセキュリティでは、ネットワークの内外を問わず、正当なユーザーと端末だけがデータやアプリケーションへのアクセスを許可されるため、情報漏洩や不正アクセスのリスクを大きく軽減することができます。
ゼロトラストシステム導入進捗
それでは、ゼロトラストセキュリティは、実際にどの程度浸透しているのでしょうか。
導入済みは13%にとどまる
2020年のCybersecurity Insidersの調査によれば、導入済みの企業はわずか約13%にとどまっています。これは想像よりも低い数値なのではないでしょうか。
出典:Cybersecurity Insiders 「ゼロトラストに関する導入進捗報告書」
導入中・計画ありが60%
その一方で、プロジェクト進行中(16%)と計画済み(43%)を合計すると、59%となります。2020年の時点で約6割の企業が、「これからゼロトラストセキュリティを導入する予定」と回答していますので、2021年はゼロトラストセキュリティの「普及元年」となるのかもしれません。
出典:Cybersecurity Insiders 「ゼロトラストに関する導入進捗報告書」
ゼロトラストシステム導入の実務
最後に、ゼロトラストセキュリティ導入の実務について実例を交えて紹介します。
VPNのリプレイス
ゼロトラストで最初の検討事項は、「VPNをどうするか」でしょう。
LIXILのVPNリプレイスの事例では、当初一部のアプリケーション向けにVPN併用する予定でしたが、コロナウイルスの流行により、リモートワーク用の端末でアクセスする必要性が生じたことで事情が一変しました。
そこで、急遽クライアントコネクターを使用して、EAAに未対応のアプリを含めて、EAAベースの管理をすることに成功しました。
「外部の業者も社内ネットワークにアクセスする」というのもポイントで、VPNに社外の人もアクセスさせなければならない環境であったということです。出入り業者が多い業界では、ゼロトラストセキュリティの必要性が高いといえるでしょう。
「LIXILはコロナ禍の2020年4月、最大2万5000人のリモートアクセス環境を実現したとして話題となった。同社は拠点が多く、外部の業者も社内ネットワークにアクセスする。このため、「境界防御とは違う守り方が必要だった」(LIXILの安井卓IT部門デジタルテクノロジーセンターセンター長)として、2年前からゼロトラストネットワークに切り替え始めていた。」
出典:国内事例に学ぶゼロトラスト導入、第一歩となるアクセス制御の工夫とは
多要素認証の導入
ネットワークにアクセスする人や端末、場所が多様化している現在、ネットワークの境界が「ID」に変わりつつあるという前提のもと、「ID」を起点にしたリスク軽減とユーザーの利便性を担保するのが、多要素認証ソリューションです。「認証の回数が増えて、ユーザーが不便なのでは?」という危惧には及びません。
シングルサインオンにより、ユーザーの利便性が損なわれることなく、時間や場所にかかわらず、セキュアなアクセスが可能となります。同志社女子大学の事例の「Cisco Duo Security」の場合、プッシュ通知、パスコード、音声通話など、多くの選択肢から認証方法を選ぶことができます。
「国内の事例では、同志社女子大学の事例がある。多要素認証によるセキュリティ強化が急務で、シングルサインオンによる利便性の高いシステムを求めていたところ、「Cisco Duo Security」の導入によって課題を解決した事例だ。」
出典:テレワークのカギを握る「安全なインターネットアクセス」「多要素認証」を実現するソリューションとは?
EMM(MAM/MDM/MCM)の導入
MDM/MAM(Mobile Device Management/Mobile Application Management)ツールは、スマートフォン全盛の現代では欠かせないツールの一つになりました。事例のauカブコム証券で導入しているMicrosoft Intuneは、Azure Active Directoryを介して、モバイルアプリケーションごとの挙動を制御できる点が特徴です。
例えば、顧客データベースでコピーしたテキストを、その他のモバイルアプリケーションにはペーストできないように設定するなど、詳細な制御が可能です。大量の顧客情報を扱う業界では、特に重視される情報流出防止の観点からも、有用な機能の一つです。スマートフォン端末で大半の仕事が行われる未来も、そう遠くはないのかもしれませんね。
「auカブコム証券は米Microsoft(マイクロソフト)の「Microsoft 365 E5」を中心に、ゼロトラストネットワークに取り組んだ。多くの社内システムをスマホで操作できるように改善しているという」
出典:国内事例に学ぶゼロトラスト導入、第一歩となるアクセス制御の工夫とは
まとめ
ゼロトラストセキュリティは、スマートフォンやリモートワークの普及など、我々の社会環境の変化に対応した、新しいセキュリティの仕組みとして注目されています。10年以上前に海外のフォーラムから生まれたコンセプトですが、わが国でも、徐々に浸透しつつあります。社会環境の変化が急速に進む折、情報セキュリティもまた、変化していかざるをえないのでしょう。
この記事が、情報セキュリティに関係する皆様のお役に立ちますと幸いです。