ゼロトラストとは?境界防御型モデルとの違いや、必要とされる理由を解説
近年、LAN内部から外部のクラウドサービスを利用したり、リモートワーク中の従業員が社内LANにアクセスしたりするケースが増加しています。
こうした環境の変化により、「LAN内部は信頼し、外部は信頼しない」という従来の境界防御型モデルでは、セキュリティ対策として不十分とされるようになってきました。そこで注目されているのが、LAN内部であっても信頼せず、全ての通信やアクセスを検証する「ゼロトラスト」という考え方です。
本記事では、情報セキュリティに関わる方に向けて、ゼロトラストの基本概念や必要とされる背景、従来モデルとの違いに関してわかりやすく解説します。今後のセキュリティ対策を検討する際の参考にしてください。
日本最大のシステム開発・運用・保守に関する総合展
【構成展示会】
ソフトウェア&アプリ開発 展、
IoT・エッジコンピューティング EXPO、
情報セキュリティ EXPO、 データセンター EXPO、
IT人材不足対策 EXPO、 情シス応援 EXPO
ゼロトラストとは
ゼロトラスト(Zero Trust)とは、「全てを信頼しない」という前提でセキュリティ対策を実施する考え方です。
ゼロトラストでは、LANの内部・外部を問わず、どのような場所・端末でも、強固な利用者認証と厳格なアクセス制御を徹底します。
境界防御型モデルとの違い
これまでは、セキュリティ対策として主に「境界防御型モデル」が採用されてきました。境界防御型モデルとは、LANの境界を超えるデータに着目して、「外部からの攻撃」や「内部からの情報漏洩」に備える手法です。
LANの内部と外部を区別した上で、LANの内部を信頼する点が、ゼロトラストとの違いです。ゼロトラストでは、LANの内部も信頼しません。
ゼロトラストが必要とされる理由・背景事情
近年では、LAN内部から外部のクラウドサービスを利用したり、リモートワーク中の従業員が社内LANにアクセスしたりするケースが増えています。また、従業員が私用のパソコンやスマートフォン、タブレットなどを社内ネットワークに接続する例もしばしば見られます。
さらに、社外の関係者とチャットツールなどを使って共同でプロジェクトを進める場面も珍しくありません。
このようにネットワークの境界が曖昧になっているなかで、「LAN内部は信頼できる」という前提に基づく従来の境界防御型モデルでは、セキュリティ対策として不十分です。そこで、全てのアクセスを前提から見直す「ゼロトラスト」の考え方が、現在必要とされています。
ゼロトラストの原則
2020年8月に米国国立標準技術研究所(NIST)が公表した文書※では、ゼロトラストの原則として以下の7項目が挙げられています。
- 企業が所有する全リソースを対象とする
- ネットワークの場所に関係なく、全通信を保護する
- 企業リソースへのアクセスに関しての許可・不許可をセッション単位で判断する
- ユーザーの所属部門・役職・行動履歴などを踏まえて、アクセスを許可するかどうかを動的に判断する
- 全デバイスを継続的に監視・測定する
- 継続的にコミュニケーションし、信用を動的に再評価する(多要素認証の実施を含む)
- 情報資産やネットワークの状態に関して、可能な限り多くの情報を収集し、セキュリティを高めるために利用する
上記を満たすように、「ID管理」「ネットワーク制御」「端末管理・制御」「状況監視」に関するプロダクト・ソリューションを組み合わせましょう。
ゼロトラストを実施する流れ
ゼロトラストを実施するためには、現状を把握・評価した上でツール・ソリューションを選定・導入する必要があります。以下、大まかな流れを紹介します。
①現状の把握
まず、ユーザー・資産・データフロー・ワークフローを把握しましょう。把握するべき資産には、パソコン・タブレットなどの物理的な機器だけではなく、アカウントやアプリケーションなども含まれます。
特に開発者やシステム管理者など、特別な権限を有するユーザーに関しては、慎重かつ詳細な調査が必要です。
②方針の策定およびプロダクト・ソリューションの選定
次に、ゼロトラストの対象とする資産・ビジネスプロセスを決定し、どの範囲に、どのような影響があるのか特定します。
段階的に導入する場合は、影響範囲が限定的なものを優先しましょう。その上で、導入する対象に適したツール・ソリューションを選定してください。
③ツール・ソリューションの導入および運用開始
ツール・ソリューションの導入直後は、監視モードで運用し、正常に動作するかどうかをチェックしてください。ネットワークや資産の監視、トラフィックの記録を実施しながら、少しずつ適用対象を拡大しましょう。
「導入したら、それで終わり」ではなく、ユーザーからのフィードバックを踏まえた運用の改善が重要です。
ゼロトラストの注意点
ゼロトラストを実施するためのツール・ソリューションを導入する際には、一定のコストがかかります。費用はベンダーによって異なるため、複数社から見積もりを取り、機能やサポート内容を比較した上で、自社の予算やニーズに合った製品を選定するのが望ましいです。
また、導入直後は従業員からの問合せが増えるため、システム部門が迅速に回答できる体制を整えておく必要があります。最初はビジネスへの影響が小さい部分から導入し、徐々に適用範囲を拡大しましょう。
社内にITに詳しい人材がいない場合は、外部の専門家からアドバイスを受けることもご検討ください。
ゼロトラストを実施するためのツールを探すなら「情報セキュリティEXPO」へ
RX Japanの展示会「Japan IT Week」の「情報セキュリティEXPO」では、ゼロトラストを実施するためのツール・ソリューションが数多く展示されます。
ゼロトラストへの移行を検討している場合は、ご来場の上、最新情報を収集してはいかがでしょうか。また、ゼロトラストを実施するためのツール・ソリューションを提供している企業の場合は、新規顧客開拓のために、ぜひ出展をご検討ください。
下表に、開催地域・開催場所・日程をまとめました。
日本最大のシステム開発・運用・保守に関する総合展
【構成展示会】
ソフトウェア&アプリ開発 展、
IoT・エッジコンピューティング EXPO、
情報セキュリティ EXPO、 データセンター EXPO、
IT人材不足対策 EXPO、 情シス応援 EXPO
境界防御型モデルからゼロトラストに移行しよう
ゼロトラストとは、LANの内部・外部を問わず「全てを信頼しない」という前提に基づいてセキュリティ対策を行う考え方です。近年では、クラウドサービスの活用や、リモートワーク中の従業員による社内LANへのアクセスが増加しています。
こうした状況では、従来の「内部は安全、外部は危険」という境界防御型モデルでは十分な対応が難しくなっています。そのため、全てのアクセスを検証・制御するゼロトラストの考え方に基づいたセキュリティ対策が求められています。
RX Japanの展示会「Japan IT Week」の「情報セキュリティEXPO」では、ゼロトラストを実施するためのツール・ソリューションが多数展示されます。
ゼロトラストへの移行を検討している場合は、ご来場の上、最新情報を収集してはいかがでしょうか。また、ゼロトラストを実施するためのツール・ソリューションを提供している企業の場合は、新規顧客開拓のために、ぜひ出展をご検討ください。
▶監修:青井 真吾 氏
大学卒業後はIT企業に入社。システムエンジニアとして大手企業向けのERPシステム開発を経験。その後独立し、人材派遣、不動産、自動車、ファッション、エネルギーなど多くの業界でDX推進などのITプロジェクトに従事。現在はAOIS Consulting株式会社を設立し、エンタープライズシステムの開発・導入を支援するITコンサルティングサービスを展開している。