Googleが選んだセキュリティ「ゼロトラスト」とは？

ここ20年ほどで企業のデジタル導入、テレワークやリモートワークなどといった働き方が急速に進んでおり、社員の利便性や業務効率化にも大きく貢献しています。しかし、セキュリティ面では従来までの対策方法は通用しづらくなっており、自社のセキュリティ対策に課題を感じている企業様も多いのではないでしょうか。

そこで本記事では、新たに提唱されている、あのGoogleが自社システムに全面採用した最新のセキュリティ対策「ゼロトラストセキュリティ」の必要性から実現要素、導入時に抑えておきたいポイントまで併せて解説します。

 

 

 

 

┃次世代のセキュリティ対策モデル

「ゼロトラストセキュリティ」とは？

ゼロトラストセキュリティとは、社内・社外を問わず、ネットワークに接続されている端末とサーバー間の通信を暗号化し、情報資産やシステムへのアクセス時には「何も信頼しない」を前提にその安全性を検証する考え方のこと。ウイルス感染や重要な情報資産への脅威から身を守るといった新しいセキュリティの考え方です。

では、従来のセキュリティ対策との違いやゼロトラストセキュリティが注目される背景にはどのようなものがあるのでしょうか。以下で詳しく解説します。

┃従来のセキュリティ対策との違い
従来、社内のネットワークは安全だが外部は危険という考え方に基づき、内部と外部に境界線を設けてセキュリティ対策を実施する「境界型防御」が主流でした。つまり、内部のネットワークを許可された人であれば、どんな状況でもアクセスが許可されたのです。
一方でゼロトラストセキュリティでは、ネットワークの内部と外部を区別することなく、重要な情報資産やシステムへのアクセス時には何も信頼せずに安全性を確認することで、脅威を防ごうとするセキュリティ対策となっています。

┃ゼロトラストセキュリティが注目される背景
ゼロトラストセキュリティが注目されるようになったきっかけとして、まずクラウドサービスの利用が増加したことが挙げられるでしょう。

クラウドサービスを利用することにより、データの保管が内部だけでなく、外部でもできるようになります。そのため、ネットワークの内部と外部に境界線がなくなり、従来の境界型防御では対応できなくなることから、ゼロトラストセキュリティが注目されているのです。
また、テレワークの増加によって従業員が会社の端末を外部に持ち出し、社内システムにアクセスすることや内部不正による情報漏洩が増加することなども、ゼロトラストセキュリティが注目される背景として挙げられます。

 

 

 

 

┃ゼロトラストセキュリティ導入のメリットと注意点
ここでは、ゼロトラストセキュリティを導入することのメリットと注意点についてご紹介します。

┃ゼロストラストセキュリティ導入のメリット

①あらゆる場所からどの端末でもアクセスが可能
ゼロトラストセキュリティの最大の強みは、勤務先に依存することなく安全に業務を遂行できるほか、どの端末からでも情報にアクセスできること。社員が柔軟に働くことができるため、業務効率化や従業員の満足度向上も期待できるでしょう。

②より強固なセキュリティ体制の実現
ゼロトラストセキュリティは境界型防御と比べて、アクセス権限のポリシーがより厳密にコントロールできることから、強固なセキュリティ体制の実現が可能です。そのため、アクセス権限を細分化して機密情報が漏洩してしまった際の対策を取ることや情報漏洩してしまった原因を特定するのにも役立ちます。

③複雑な設定が必要ない
境界型セキュリティ対策の場合、VPNやファイアウォールの導入・運用に複雑な設定が必要となります。一方でゼロトラストの場合、VPNやファイアウォールに関する複雑な設定が必要ありません。また、ゼロトラストセキュリティは、クラウドサービスにセキュリティ体制を構築できるため、管理者の設定にかかる時間を短縮させることができます。セキュリティの規模を拡大したり縮小したりする際に複雑な設定をせず変更できるのがメリットです。
また、巧妙なマルウェアやサーバー攻撃などといったリスクを最小限に抑え、クラウドサービスや社外の端末を利用できることも大きなメリットです。

 

 

┃ゼロトラストセキュリティ導入の注意点
ゼロトラストセキュリティを導入することの注意点として、以下の2点が挙げられます。

・コストがかかる
ゼロトラストセキュリティを構築するためには、導入や運用にある程度のコストがかかることを把握しておきましょう。自社内のセキュリティ対策を実施するうえで、予算や運用体制などをあらかじめ明確にしておくことが重要だといえます。また、導入して終わりではなく、定期的に予算の見直しや効果などを見直しすることも大切です。

・業務に際して利便性が悪くなる場合もある
ゼロトラストセキュリティは強固なセキュリティ体制を構築できるのがメリットですが、アクセス制限や認証回数の増加などから業務効率が悪くなる可能性もあります。

たとえば、外部へ漏洩しても問題のない情報までセキュリティ対策を実施してしまうと、会社の生産性は大きく低下してしまうでしょう。そのため、セキュリティ対策を行うべきところを見極めることも非常に重要です。

 

 

 

 

┃ゼロトラストセキュリティ対策を実現するために求められる要素

ゼロトラストセキュリティは、守りたい情報や対応するセキュリティ脅威に応じて、さまざまなコンポーネントから構成されています。実現するために必要な5つの要素について、以下でご紹介します。

①アカウント管理

【代表的なソリューション】
IAM (Identity and Access Management)

【代表的な対策方法】
・ユーザーのID/パスワードの厳密な認証とアクセス権限の付与、多要素認証などの管理
・アカウントの振る舞いから早急にリスクを検知し、リスクを検知した場合にアカウント凍結

 

 

②ネットワークセキュリティ

 

【代表的なソリューション】
SWG （Secure Web Gateway）
SDP （Software Defined Perimeter）

【代表的な対策方法】
・URLやIPアドレスのフィルタリングやモバイル端末のアクセスを一括管理
・集中的なアクセス制御をソフトウェアで実現し、物理的な境界では防ぎきれない脅威から防御

 

 

③エンドポイントセキュリティ

 

【代表的なソリューション】
EPP （Endpoint Protection Platform）
EDR （Endpoint Detection and Response）
MDR （Managed Detection and Response）
UEM （Unified Endpoint Management）
【代表的な対策方法】
・端末の挙動を常時記録しながら能動的に分析し、セキュリティ事故の予防や早期発見
・マルウェアへの感染を早期検知し迅速に事後対策をとることで被害を最小限にする

 

 

④アプリケーション・データ保護

 

【代表的なソリューション】
CWPP （Cloud Workload Protection Platform）
DLP （Data Loss Prevention）
【代表的な対策方法】
・複数のクラウド上のワークロードを一元的に監視・保護
・不審な通信を検知した場合、アプリケーションやデータを隔離

 

 

⑤分析・可視化・自動化

【代表的なソリューション】
CASB （Cloud Access Security Broker）
CSPM （Cloud Security Posture Management）
SIEM （Security Information and Event Management）
SOAR （Security Orchestration, Automation and Response）
【代表的な対策方法】
・各種ログを分析・可視化することで、インシデントの早期検知や原因究明を支援
・インシデント対応を極力自動化し、インシデント対応を支援

 

 

 

 

┃ゼロトラストセキュリティの導入を成功させるポイント
ゼロトラストセキュリティの導入を成功させるポイントは、

①自社内の運用体制を明確にすること

②従業員の理解

が挙げられます。「自社にとって何が課題なのか」「どの部分のセキュリティを強化するべきなのか」などを把握できていないまま導入をしてしまうと、納得のいく効果は得られないでしょう。

また、運用体制の明確化だけではなく、従業員のゼロトラストセキュリティに関する理解も非常に重要。導入後に従業員が難しいと感じてしまったり、システム利用ができなかったりしてしまうと運用していくことはできません。そのため、社内でセキュリティ教育や研修を積極的に実施するなど、従業員の理解を深めるのも大切です。

 

 

 

 

┃まとめ

企業内の働き方が大きく変わり、クラウドサービスの利用が増えていることから、従来までのセキュリティ対策では通用しなくなっているのが現状。そのため、企業内の大切な情報資産やシステムを守るうえで「ゼロトラストセキュリティ」に関心が集まっています。ゼロトラストセキュリティの実施により、場所を問わず、安全な業務が可能です。

ポイントをしっかり押さえたうえで、今後の新しい働き方や社内システムのクラウド化など、事業の発展に貢献する強固なセキュリティ体制を実現していくことが大切だといえるでしょう。