BLOGAzureブログ

ゼロトラストとは?
概要から、Azureを活用した解決策までご紹介

2021.09.24

クラウドサーバーご検討中の方必見 お役立ち資料一覧

最近、よく耳にする「ゼロトラスト」という言葉。
テレワークが普及し、ネットワークセキュリティを高める必要がある中、より安心できるセキュリティ環境を整える必要が出てきています。そんな昨今の状況下で、注目を集めているゼロトラストの意味や概要を確認するとともに、実現方法や課題、実現するための一つの方法として、MicrosoftのAzureの活用方法を知っておきましょう。

1.ゼロトラストとは?従来の境界型防御と比べる

ゼロトラストは、「信頼できるものは何もない」という前提に立った、最近注目されているセキュリティ対策です。
新しいセキュリティ概念「ゼロトラスト」が登場したことで、従来のセキュリティを指すものとして「境界型」という言葉も広まりました。
境界型防御とは「社内は安全」という前提で対策を行うことです。内部のユーザーやデバイス、ネットワーク等はすべて信頼し、外部のユーザーデバイス、ネットワーク等はすべて信頼しないという「境界型」のモデルです。

2020年8月に、米国国立標準技術研究所( NIST )が「NIST-SP800-207 Zero Trust Architecture」を発行しました。ゼロトラストの考え方に基づいたサイバーセキュリティ対策(ゼロトラスト・アーキテクチャ)の概念的な定義を示しています。
「NIST-SP800-207 Zero Trust Architecture」では、ゼロトラストの考え方について「ネットワークの場所に関係なく、すべての通信を保護する」と示されています。つまり、社内ネットワークでも容易に信頼するのではなく、すべての通信において保護や認証を利用した安全な通信する必要があるということです。

ゼロトラストと似た概念として「SASE」というシステムも名前が挙げられますが、SASEはあくまでも具体的なシステムのパッケージというイメージになります。そのため、ゼロトラストの概念をSASEで実現する、ということも可能です。
用語としてはわずかな違いではありますが、セキュリティ向上の施策を実施していくため、両者の関係を把握しておくことも重要です。



zero-trust_img02.png

なぜゼロトラストが注目されるようになったのか、それはこの従来の境界型防御では企業や組織のシステムや情報を安全に保つことが難しくなっているからです。
その背景には、テレワークの普及があります。
テレワーク環境下では社外から社内ネットワークへの接続は常態化し、社内と社外の境界線が曖昧となります。

またクラウドサービス利用の増加も挙げられます。
データを外部に保存することは、それだけアプリケーションやデータは不安に曝されることになります。
しかしクラウド利用で得られるメリットも大きいため、今後企業が「クラウドを利用しない」という選択肢を採ることは非現実的です。

さらに内部不正やシャドーITの脅威が高まり、外部からのあらゆる攻撃もより盛んになってきています。これらは全てマルウェア感染の原因になる恐れがあります。
※マルウェア感染とは...ウィルス・ワーム・トロイの木馬・スパイウェアの4つの総称。

例えば、1人の社員が誤って違法サイトにアクセスし、自分のIDやパスワードなどの情報を社外へ漏らしてしまった場合を考えてみましょう。もし第三者がそのIDとパスワードを使って侵入しようとした場合、境界型セキュリティではそれを防ぐことはできず、中に入ってしまえば、「社内は安全」という前提のもとにしているので、そこから先はいかなる社内の情報にも自由にアクセスできるようになってしまいます。

上記のような例や、シャドーIT(社員が会社で使用が許可されていない外部サービスや、個人で所有しているデバイスを業務中に無断使用すること)など、人為的なミスが境界型セキュリティを脅かすことが多いため、社員に禁止事項をつくれば防げることではないか?と感じる方もいるかも知れません。
しかし、外部サービスを使用する理由の大半が、業務上に必要なものを社内ツールで網羅できておらず使用してしまう、仕事の効率化を図るなどの理由があるため、罪の意識のない人をコントロールしようとすることは難しく、禁止するだけでは解決にはなりません。

社内ネットワークだけを保護する境界型セキュリティ自体が、現代の企業形態や働き方にそぐわなくなってきているのです。

それに対してゼロトラストは、「内部も外部もすべて信頼しない」というモデルです。 ゼロトラストの考え方にのっとったセキュリティ対策は、"何か一つの技術を利用すれば実現できる"というものではなく、多方面のセキュリティの懸念事項を、多数の技術で対応していきます。



zero-trust_img03.png

具体的には、利用するユーザー・デバイス・ネットワーク自体を都度確認し、さまざまな認証を挟みながら、アプリケーションや情報資産(データやコンテンツ)へのアクセスを制御します。

今後の進化する働く環境に、より合致しているモデルといえます。

政府においてもゼロトラストは注目されており、ゼロトラストに基づく新しいサイバーセキュリティ対策を始められています。

NISTの発刊物をご一読いただくこともお勧めです。「NIST-SP800-207 Zero Trust Architecture」では、ゼロトラストやゼロトラスト・アーキテクチャに関する基本的な内容が記載や、ゼロトラスト・アーキテクチャへの移行などについて網羅的に示されています。

2.ゼロトラスト導入のメリット・デメリット

ゼロトラストの概念を導入することによるメリットとして、クラウドサービスの利用推進が挙げられます。ゼロトラストによって、これまでの境界型防御の概念では対策することが難しかったクラウドサービスのセキュリティについても対策が可能となるため、DXなどのクラウドを活かしたデジタル施策を推進しやすくなるというメリットが挙げられます。

一方で、デメリットとしては、ゼロトラストの概念では、「内部も外部も全て信頼しない」ことが重要となるため、利便性の面では不便になる可能性があります。これまで利便性を重視して省略していた認証プロセスが、ゼロトラストの概念では省略できなくなってしまう、といったことも考えられます。

また、ゼロトラストを活用したセキュリティ強化の際に、用意できるリソースがあまり多くない場合、十分な対策が取れないという懸念点も挙げられます。
例えば、人的なリソースが少なく、セキュリティに精通している人材のリソースが無い場合は、外部リソースなどを活用するなどの方法を採らなければ、有効なセキュリティ対策を実施することが難しくなります。このような「投入リソースによって実現レベルが変わってくる」という課題に対しては、次項以降にて解決策を解説しております。

3.ゼロトラストの実現方法と課題

ゼロトラストに基づくネットワークは、どのように実現することができるのでしょうか。ここでは簡単に概要をご紹介します。

●ゼロトラスト・アーキテクチャの構築・策定

ゼロトラスト・アーキテクチャは、ゼロトラストを実現するための設計・フレームワークです。すなわち、ゼロトラストの実現に関しては、具体的にどのように今の環境を保護していけばよいかというサイバーセキュリティ計画です。
何を計画しなければいけないかについて具体的に言うと、ネットワーク設定の見直しや、社内リソースへのアクセス制限の見直し、さらにエンドポイントの管理としては、各デバイスやユーザーIDの安全性を随時確認できる動的にコントロール、そしてエンドポイント管理に関連するポリシーの策定、実際監視管理を行うための体制の構築など、アーキテクチャの設計から実際の実施プロセスまで、予め考えておかなければいけないというところです。

●セキュリティソリューションの組み合わせ具体例

ゼロトラスト・アーキテクチャを実現するには、多方面のセキュリティの懸念事項を実現するために、多数の技術を組み合わせる必要があります。その技術の組み合わせ例をご紹介します。

・IDaaSとSDP

社内システムや情報資産などの「リソース」へのアクセスを適切に行うためには、ID管理や認証システムのクラウドサービスIDaaSと、セキュリティソリューションであるSDP(Software Defined Perimeter)と組み合わせることができます。SDPは認証・認可されるまでは、いかなる接続も行わない仕組みです。

・SWG

例えば、テレワークで社員が外部からネットワークを通じて、社内システムやクラウド、インターネットにアクセスします。すると、社内情報を格納している利用端末がセキュリティリスクにさらされるため、SWG(Secure Web Gateway)を利用します。SWGを経由することで、アクセスする場所に関わらず、利用端末を守ることができます。

・EDR

EDR(Endpoint Detection and Response)とは、 PCやスマートフォン、タブレットなどのエンドポイントのセキュリティを担うソリューションです。通信状況の監視を行なうことで、不審な動きを早期検知し、対処します。EDRにより、被害が拡大する前に対応することができます。

●ゼロトラストモデル導入時の課題

こうしたゼロトラストモデルは、導入する際に課題が生じます。単一製品で済むものではないため、自社の現状、課題などを洗い出した後、どこから手を付けていいかわからない、どのように設計すれば良いか分からない、といったむずかしさがあります。

また、PCやスマートフォンなどのエンドポイントごとにアクセス制限を設ける必要があることから、エンドユーザーの利便性が低下する懸念があります。
また、複数の認証や通信の暗号化を実行するなどの理由により回線が混雑し、パフォーマンスが落ち、生産性が低下する懸念もあります。

4.ゼロトラストの製品例と導入のポイント

ゼロトラストセキュリティは、どれくらいの資金を投資するか、セキュリティに精通する社員がいるかなどで、実現のレベルが変わってきます。
企業内のあらゆる情報資産をすべて守りなさい、というやり方では、セキュリティ強化投資に際限がなく、現実的ではないでしょう。重要度の高い情報資産など、優先順位を決めて戦略的に強化していくのがよいでしょう。
上記を理解した上で、SBC&Sは、まずは「認証」の部分を整備していくことをおすすめします。社内社外を区分して対応するというのではなく、アイデンティティベースで区分していくことが最初に必要とするステップです。

>ゼロトラストをAzureで実現する具体な手法はこちらをご覧ください

上記を実現した上、今度はログの分析、可視化、エンドポイントセキュリティなどを順に実施していけます。「認証」部分は基礎の部分となるため、最初に行うべきところとなります。
Azureなら、Azure Active Directoryというサービスを利用できます。
Azureとは、Microsoft社が提供するパブリッククラウドサービスであり、仮想マシンや仮想ネットワークを構築する基礎機能から、データ分析、AIなどの最新機能が備えられています。

またセキュリティソリューションの組み合わせ例に合致するAzureサービスの中から、「Azure AD」、「Microsoft Defender for Cloud」「Azure Sentinel」の3つをご紹介します。

●「Azure AD」

Azure ADは、クラウド上のユーザーIDの管理や認証機能を提供するIDaaS(Identity as a Service)サービスです。クラウド経由でID認証やIDパスワード管理、アプリケーションやシステムのログイン時にパスワード一つだけで利用できる「シングルサインオン」、多要素認証などの機能があります。これにより、セキュリティレベルを上げることができます。
>Azure ADの詳細が気になる方はこちらをご覧ください

●「Microsoft Defender for Cloud」

Microsoft Defender for Cloudは、自社のさまざまなサーバーやアプリ、仮想マシンなどあらゆるリソースを監視できる統合インフラストラクチャ・セキュリティ管理システムです。Azure内になくとも、クラウド内やオンプレミスなども合わせて保護する高度なセキュリティを実現します。
>【Azure 基礎用語解説】「 Microsoft Defender for Cloud (旧:Azure Security Center)」
>Microsoft Defender for Cloudの詳細が気になる方はこちらをご覧ください

●「Azure Sentinel」

Azure Sentinelは、AIを活用したセキュリティソリューションです。クラウド規模でファイアーウォールや各種サーバーなどからデータを収集し、脅威の検出を行う「SIEM」と、セキュリティオーケストレーション自動応答の「SOAR」を組み合わせたものです。セキュリティオーケストレーション自動応答は、集めた情報を統合的に分析し、インシデント発生時にネットワークを遮断したり、マルウェアを隔離したりといったインシデント対応の機能を持ちます。SIEMとSOARは、導入しているネットワーク製品やセキュリティ製品からの情報を自動で相関分析し、素早くインシデントを検知します。

●その他

エンドポイントセキュリティソリューションとしては、Microsoft Defender for Endpointなどもございます。上記で紹介しているAzure Security Centerでシームレスに統合管理することもできますので、こういったMicrosoft 製品の組み合わせたご利用もおすすめします。

5.まとめ

ゼロトラストは、テレワークやクラウドサービスが浸透し、内部不正の脅威にもさらされている今、非常に重要な概念といえます。ゼロトラストネットワークを構築する際の課題解決のために、MicrosoftのAzureを利用することをおすすめします。

Azure上のセキュリティサービスの選定、Azureに関するご不明点などございましたら、ぜひお気軽にAzure相談センターまでお問い合わせください。

Azureの導入や運用に関するお悩みは SoftBankグループのSB C&Sにご相談ください

SoftBankグループのSB C&Sは、さまざまな分野のエキスパート企業との協力なパートナーシップによって、多岐にわたるAzure関連ソリューションをご提供しています。

「Azureのサービスを提供している企業が多すぎて、どの企業が自社にベストか分からない」
「Azure導入のメリット・デメリットを知りたい」
「Azureがどういう課題を解決してくれるのか知りたい」
など、Azureに関するお悩みならお気軽にお問い合わせください。
中立的な立場で、貴社に最適なソリューションをご提案いたします。

クラウドサーバーご検討中の方必見
お役立ち資料一覧

クラウドサーバーご検討中の方必見 お役立ち資料一覧
  • クラウドサーバーの導入を検討しているがオンプレミスとどう違うのか
  • AWSとAzureの違いについて知りたい
  • そもそもAzureについて基礎から知りたい
  • 今、話題の「WVD」って何?

そのようなお悩みはありませんか?
Azure相談センターでは、上記のようなお悩みを解決する
ダウンロード資料を豊富にご用意しています。
是非、ご覧ください。

Azureの導入・運用に役立つ資料を
無料でダウンロードしていただけますDOWNLOAD

オンプレミスからクラウドへの移行を検討している方のために、安心・スムーズな移行を実現する方法を解説し、
運用コストの削減に有効な「リザーブドインスタンス」もご紹介するホワイトペーパーです。

Azureのことなら、
SB C&Sにご相談を!

導入から活用まで専門スタッフが回答いたします。
お気軽にお問い合わせください。