テレワークを定着させ「あたりまえ」にするために
ゼロトラストセキュリティとは? 注目される背景や仕組み、導入のメリットを解説
- 連載記事/コラム
複数のクラウドサービスの利用や、働き方改革によるテレワークにより、オフィス以外に持ち出される端末の増加などで、企業のセキュリティ対策も複雑になっています。
これまでの企業におけるネットワーク・セキュリティの基本でもあった、ファイアウォールの内側と外側でのアクセスを切り分けることも難しくなっている中で、今「ゼロトラストセキュリティ」という考え方が再び注目されるようになっています。
本記事では、ゼロトラストセキュリティとはなにか、どんなメリットがあるのかなど、ゼロトラストセキュリティについての概要を分かりやすく解説していきます。
新人「テレワークが急速に広がりましたが、セキュリティはこれまでどおり、というわけにはいかないですよね?」
先輩「そうだね。これからテレワークをあたりまえのものにするには、企業のセキュリティ自体を考えなおす必要があるだろうね」
新人「今でも、会社の PC には ID とパスワードが必要ですし、外から会社のシステムを使うには VPN とかでアクセスしていますけど、それだけじゃダメという事ですか?」
先輩「そのとおり、テレワークがあたり前になるという事は、極論すれば企業内にある端末全てが、企業の外側に行く可能性があり、そこから会社の重要な情報などへアクセスして仕事をするという事でもある。そのため、最近では、『ゼロトラストセキュリティ』という考え方が改めて広がってきているんだ」
新人「『ゼロトラストセキュリティ』ですか...どういった考え方なんですか?」
先輩「ゼロトラストセキュリティは、クラウドサービスが急速に成長した2010年頃に提唱されたセキュリティにおける考え方なんだ。当時想定されていた状況が、いよいよ現実となったこれからの企業のセキュリティで重要なキーワードと言えるゼロトラストセキュリティについて考えていこうか」
ゼロトラストセキュリティとは
先輩「まずは、ゼロトラストセキュリティがどういった考え方なのかを説明しよう」
これまでの企業におけるセキュリティは、社内と社外をファイアウォールで明確に切り分けて、社内は全て安全な状態であるという事を前提に成り立っていた。しかし、クラウドサービスの普及や働き方の多様化で、端末の多くが社外へ持ち出されるなど、ファイアウォールを境界とした対応だけではセキュリティ対策が万全とは言えなくなってきている。
ゼロトラストセキュリティに基づいたセキュリティでは、社内・社外という発想を取り払い、すべてのアクセスは悪意ある攻撃という前提で対策を実施していくんだ。
ゼロトラストセキュリティの概念
ゼロトラストセキュリティとは、「全てのアクセスを信頼せず、攻撃されているものとしてセキュリティ対策を施す」というもので、「ゼロトラストネットワーク」や単に「ゼロトラスト」と呼ばれたりもしている。
外部・内部問わずすべてのトラフィックを信頼しない「信頼度(Trust)がゼロである」という前提のもと、あらゆるアクセスにおいてアクセス元とその権限を都度認証することで脅威を防ぐというのがゼロトラストセキュリティの基本概念なんだ。
ゼロトラストセキュリティの定義
企業におけるゼロトラストセキュリティの定義は、以下のようになる。
- 企業ネットワークへのアクセスは全て信頼できないと考え、あらゆるアクセスを毎回検査・承認する
- 全てのアクセスで、アクセス元が適切な権限を有しているか、怪しい点がないかを調べ、情報資産へのアクセス、サービスの利用を徹底的に管理する
ゼロトラストセキュリティが注目されている背景
ゼロトラストセキュリティが注目され始めた背景は以下の3つになる、それぞれについて解説していこう。
- 企業におけるクラウドサービス利用の増加
- 働き方改革による在宅勤務、テレワークの増加
- 企業内部からの情報漏えい対策
企業におけるクラウドサービス利用の増加
1つ目は、企業でのクラウドサービス利用の増加だ。
クラウドサービスが登場する前は、企業における基幹システムやサービスはオンプレミス型で利用されており、企業の情報資産は自社内にあることが一般的だった。
そのため、企業の情報資産は、ファイアウォール内側のサーバーに蓄えられ社内ネットワーク内に存在していた。社外からアクセスするためには VPN を経由するなど、接続は制限されていた。
しかし、基幹システムや社内サービスをクラウドサービスで利用するようになると、社内ネットワークの外側にも情報資産が置かれるようになってきた。こうなると、全てをファイアウォールの内側で制御することが難しくなり。従来のファイアウォールで社内と社外を区切ることで、不正侵入や情報流出を防ぐようなセキュリティでは不十分になってきたんだ。
ゼロトラストセキュリティであれば、ファイアウォールだけでは守り切れない情報資産も防御可能になるということで注目されるようになってきたんだ。
働き方改革による在宅勤務、テレワークの増加
2つ目は、働き方改革による在宅勤務・テレワークの増加だ。
働き方改革では、スマートフォンやタブレット、ノートブック PC など、さまざまな端末を利用して、いつでも、どこでも仕事ができるという事が求められる。
そのため、これまでは企業の情報資産へのアクセスはオフィスという物理的な社内からのアクセスだけを考えて、セキュリティ対策をしていれば問題無かったのが、テレワークが登場したことで、社内ネットワークの外側にある、テレワーク先も社内からのアクセスと定義する必要が出てきた。
従来のようなセキュリティ対策を施そうとすると、IP アドレスで制御したり、VPN などもアクセス権限に複雑な設定が必要となり、社内のインフラを管理する側や社内ネットワークそのものへの負荷も高くなる。
これは、ゼロトラストセキュリティの社内や社外からのアクセスという発想自体をなくし、すべてのアクセスを同様に扱うという考え方と非常に近い状況だ。現実となってきた情報セキュリティへの脅威に対して、シンプルで強固な環境を構築できるとして、注目が集まっているんだ。
企業内部からの情報漏えい対策
3つ目は、社内ネットワーク内部からの情報漏えい対策だ。
これまでの企業のセキュリティは、ファイアウォール等で社内と社外を切り分けて、外からの侵入を厳しく管理することで実現されてきた。そして、外側から中へのアクセスは厳重でも、中から外へのアクセスはそれほど厳しくされてはいないのが一般的だ。これはこれまでのセキュリティ対策が「ファイアウォールによって社内は安全な状態が保たれている」という事をベースに想定されているからだ。だから、社内の人間による情報漏えいはもちろん、万が一社内へマルウェアやウイルスなどが侵入してしまうと、内側の危険性を想定していないだけに、被害が甚大なものになりかねない。さらに、近年では非マルウェアによる攻撃など、サイバー脅威は急速な進化を続けていて、最新のアンチウイルスソフトウェアでも、100%侵入を防ぐことが難しい状況になってきている。
ゼロトラストセキュリティは、全てのアクセスを疑うことだから、情報資産へのアクセスだけでなく、それぞれの端末がどんな動きをしているのかもチェックすることになる。これにより、従来のセキュリティ対策では難しかった情報漏えいへの初期対策の迅速さによる被害の封じ込めや低減が期待できるとして注目されているんだ。
ゼロトラストセキュリティの原則と仕組み
新人「なるほど、全てを信頼しないことでセキュリティの対応をシンプルにするのがゼロトラストセキュリティという事なんですね。でも、テレワークやクラウドサービスの拡大でただでさえ増大しているトラフィックを全部監視してチェックするのは大変じゃないですか?」
先輩「そうだな、だから企業におけるセキュリティ自体を考えなおす必要があるんだ。ゼロトラストセキュリティの原則と仕組みについてもう少し深く考えてみようか」
ゼロトラストセキュリティの原則
ゼロトラストセキュリティにおける原則は以下の4つだ。これを企業におけるセキュリティへと当てはめていくことになる。
- 常に識別 アクセスしてきたデバイスが社内で登録されている端末か、どんな時間にどこからアクセスしているかなどを毎回確認すること
- 常に制御 アクセスできる端末は、全てリモートから制御が可能な状態としておき、マルウェア感染や不正アクセス、ファイルの改ざんなどが検知されると、自動的にアクセス制御が実施できること
- 常に分析 端末がウイルスやマルウェアに感染していないか、インストールされている OS やアプリケーションは最新か、どんな権限でどこへアクセスしてどんなアクセスがされているかなど、端末の状態を常に分析すること
- 常に保護 情報資産としてのデータの種類や用途、アクセスする側の所有する権限に応じて、利用可能なネットワークそのものを分割し、「必要最小限のデータを必要最小限の人が利用できる」よう常にデータを保護すること
ゼロトラストセキュリティの仕組み
この4つの原則にあるように、ゼロトラストセキュリティでは、まず「全てを信頼しない」ことからスタートする。
従来のセキュリティ対策は、「外側(インターネット)=信用できない、内側(ローカルネットワーク)=信用できる」として設計されているため、一度外側から内側への認証が通ると、情報資産へのアクセスはある程度緩い状態に設定されてきた。
しかし、ゼロトラストセキュリティではアクセス全てを信頼しないため、毎回デバイスから ID の権限まで、セキュリティレベルを一からチェックして、安全が確認できたアクセスのみに許可を与える、つまり何をするにも、信頼できることの証をイチから説明することがリアルタイムでおこなわれることになるんだ。実際の会社で例えると、全ての扉の前に警備員がいて、通るときには社員証の提示だけじゃなく、どこから来て何の目的でここを通るのかの説明とボディチェックを受ける必要があるようなものだな。
だからゼロトラストセキュリティでは、データの種類や用途に応じてネットワークを分割して、各ネットワークの境界毎にセキュリティ対策を施すことが重要になる。
企業として「何を守り、それがどこにあり、誰が利用できるのか」という観点から対象や権限などを整理して脅威へ対抗するためのセキュリティ対策を施していくんだ。
ゼロトラストセキュリティのメリット・デメリット
新人「ゼロトラストセキュリティの仕組みは理解できましたが、やはりハードルも高いように思えますね、導入するメリットはどのぐらいあるんですか?」
先輩「それでは最後に、ゼロトラストセキュリティのメリットとデメリットを紹介しておこう」
テレワークによって社内ネットワークの外側に持ち出される端末の増加や、クラウドサービス利用の拡大など、これまでのセキュリティ対策で重要なポイントだった境界が曖昧となっていく現在において、有効に機能するゼロトラストセキュリティ導入のメリットとデメリットは次の通りだ。
メリット
ゼロトラストセキュリティのメリットはなんといってもデータ流出や情報漏えいのリスクを軽減できることだ。
これまであった社内・社外という境界を取り払って、全てのアクセスを信頼しないことをベースにセキュリティ設計するゼロトラストセキュリティでは、必要な人に必要なだけのアクセスを実現できる。
都度認証を行い、アクセスの信用度を確認してセキュリティを保つだけでなく、全てのアクセスを管理しているため、万一、情報漏えいが起きた場合でも、被害の検出から、原因の特定と対応までの時間を短縮して、被害を最小限に抑える事ができる。データが何よりも重要となる現在のビジネスにおいて、これは非常に大きなメリットと言える。
更に、一度環境を構築してしまえば、シンプルで強固なセキュリティを維持できるようになるため、セキュリティ管理の負荷を低減することにも繋がるんだ。
デメリット
ゼロトラストセキュリティのデメリットは、実現するためのシステムを新たに構築する必要があり、そのための費用がかかるということだ。
しかし、サイバー脅威が進化を続け、ビジネス環境が大きく変わっていく中で、企業がセキュリティ対策をしていくには一定の費用はかかるものだから、費用についてはゼロトラストセキュリティに限った話ではないと言える。
そして、現状のセキュリティ対策に限界が見えている上に、万が一の情報漏えいが発生した場合の被害損額を考えると、これからの時代の企業経営にとって、いつゼロトラストセキュリティを導入するかを判断するのは重要な要素だと言えると思う。
まとめ
新人「ゼロトラストセキュリティについて少しイメージできました。これからは、いつゼロトラストセキュリティへと移行するかが大事という事ですね。」
先輩「ゼロトラストセキュリティ自体は以前からある考え方だけど、テレワークが当たり前となっていくなど、働く環境が大きく変わる今だからこそ、改めて企業として導入すべきか考える時期に来ているだろうね」
新人「うーん、しかし導入は会社としての判断でしょうけど、従業員として使う側からするとセキュリティが高くなっても面倒になるのは嫌ですね・・・」
先輩「ゼロトラストセキュリティは、全てを一から認証していく仕組みになるけど、別に何かするたびに ID と PW を入れるようになるわけじゃない。むしろ従業員からすると、権限の認証先が一元化されることで、使いやすくなることもあるんじゃないかな。今のビジネス環境に沿っているから、シンプルに構築できるという一面もある事だしね」
新人「使いやすさと、セキュリティがどちらも上がるなら、一石二鳥ですね」
先輩「プラス管理性も向上するから、一石三鳥だな」
働き方が大きく変わって、従業員の持つエンドポイント端末が常に外部にあるという状況も増えてきました。 一方で、サイバー攻撃を仕掛ける犯罪者側は、AI を活用した高度な攻撃を行うなど、手口も複雑化してきています。
このような状況において、従来の境界型のセキュリティ対策では企業の情報資産を守り切れない可能性もあり、ゼロトラストセキュリティという考え方の重要性は増してきています。
最近では、ゼロトラストセキュリティも含めた、ネットワークとセキュリティのそれぞれの機能を統合しクラウド上で提供する SASE(Secure Access Service Edge:サッシー)という考え方も登場してきました。
テレワークが加速し、スマートフォンやノートブック PC などの増え続ける企業のエンドポイントのセキュリティをどう設計・運用するのかが、これからのビジネスにおいては重要となります。
SB C&S では、ゼロトラストセキュリティで重要となるデバイス毎の振る舞いを監視する EDR(Endpoint Detection and Response)を提供して、これからますます重要となるエンドポイントのセキュリティを強化する、クラウドをベースにした次世代のセキュリティソリューション「 VMware Carbon Black Cloud 」や、複数のクラウド環境をまたぐワークロードを保護する「 VMware Carbon Black Cloud Workload 」、持ち出された端末の管理を容易にし、従業員にセキュアなデジタルワークスペースを提供して安全なテレワークを実現する「 VMware Workspace ONE 」など、テレワーク時代における高いセキュリティを実現するソリューションを提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。
デジタルワークスペース
-
VMware Workspace ONE さまざまなデバイスから、いつでもどこでも、
簡単・セキュアに業務アプリケーションを利用できる
「デジタルワークスペース」を提供するプラットフォーム
次世代のエンドポイントセキュリティ
-
VMware Carbon Black Cloud 変革の進む IT 環境と進化するサイバー脅威に対応する、クラウドベースの EDR (Endpoint Detection and Response)ソリューション
侵入前提のセキュリティ対策を実現する EDR
-
VMware Carbon Black Cloud による
サイバー脅威への迅速な対応 VMware Carbon Black Cloudは、これからのセキュリティ製品に必要な検出、解析、運用面の全てで高水準の性能を提供します。
進化する脅威から企業を保護する次世代の EDR
-
VMware Carbon Black Cloud が実現する
次世代のエンドポイントセキュリティ 変革の進む IT 環境と進化するサイバー脅威に対応する、クラウドベースの EDR (Endpoint Detection and Response) ソリューション
複数のクラウド環境をまたぐ
ワークロードを保護
-
VMware Carbon Black Cloud Workload 複数のクラウド環境をまたぐ最新のワークロードの保護に特化した高度な保護機能により、進化するサイバー脅威に対するセキュリティ強化と攻撃対象領域の縮小を実現します。