デジタルテクノロジーの急速な発展と共に、セキュリティ対策もまた新たな進化を迎えています。
企業のネットワークは、以前よりもはるかに広範で複雑化し、その一方で、サイバー攻撃もまたその巧妙さを増しています。
このような状況下で、注目を集めているのが「ゼロトラストセキュリティ」です。
従来の考え方とは一線を画し、誰も信用しないという思想に立脚するゼロトラストは、ネットワークの保護に新たな可能性をもたらしています。
この記事では、ゼロトラストセキュリティの基本的なモデルとその具体的な導入例について解説します。
ゼロトラストセキュリティとは
「ゼロトラスト」という用語は、「一切を信頼しない」という意味で、性悪説に基づくセキュリティの考え方です。
これまでのセキュリティモデルでは、社内外をファイアウォールで防御さえすれば、内部ネットワークを信頼できると見なしていましたが、ゼロトラストセキュリティはこの概念を覆しました。
この新たなアプローチは、信頼された内部ネットワークの概念を排除し、組織内外を問わず、全てのネットワークトラフィックを疑うことを前提としています。
つまり、ゼロトラストセキュリティは、すべてのユーザーとデバイスが潜在的な脅威であり、常に認証を受けるべきという理念に基づいています。
ゼロトラストセキュリティの必要性
では、なぜゼロトラストセキュリティが必要となったのでしょうか?
まず、従来のセキュリティモデルが対応できない新たな脅威が増えているからです。
例えば、BYOD(Bring Your Own Device:自己所有のデバイスの職場持ち込み)やリモートワークの増加により、ネットワークの境界が曖昧になり、セキュリティの管理が難しくなっていることが挙げられます。
また、近年のサイバーセキュリティインシデントは、従来の堅牢なセキュリティであっても、一度内部のネットワークに侵入されると、侵入者はほぼ制限なく攻撃することが可能です。
そのため、ゼロトラストセキュリティは、内部のユーザーやデバイスに対する監視と検証を強化し、企業のデータとシステムを保護するのに不可欠な考え方となっています。
ゼロトラストセキュリティの実装
ゼロトラストセキュリティを実装するには、次に紹介する戦略とテクノロジーが必要となります。
1.ネットワークセグメンテーション
ネットワークセグメンテーションは、ネットワークを複数のセグメントに分割することです。
これにより、万が一特定のネットワークで問題が発生しても、他のセグメントに影響を与えないようにすることが可能です。
ゼロトラストセキュリティでは、このネットワークセグメンテーションが不可欠な戦略となります。
2.マルチファクタ認証(MFA)
マルチファクタ認証は、ユーザーがシステムにアクセスするために必要な認証手段を複数用意することで、セキュリティを強化します。
例えば、スマートフォンのパスワードと生体認証であったり、ネットバンキングのワンタイムパスワードだったりがMFAに該当します。
これにより、パスワードのみの認証よりも、不正アクセスのリスクを大幅に減らすことが可能となります。
3.リスクベース認証
リスクベース認証は、ユーザーのアクセスリクエストをリアルタイムで評価し、リスクレベルに基づいてアクセスを許可または拒否するという方法です。
具体的には、東京に住んでいるAさんの会社のパソコンに、海外から不正なアクセスがあったとします。
会社のネットワークセキュリティはIPアドレスから位置情報を割り出すことができるため、普段と違う場所からアクセスがあったことを検知して、「不正アクセスの可能性が高い」と認識します。
そして、Aさんが予め設定した「はじめて見た映画は?」といった本人しか知りえない「秘密の質問」で追加認証を求めます。
この制御方法は、不正なアクセスや異常な行動を即時に検出できるため、ゼロトラストセキュリティの中心的な要素となります。
4.エンドポイントセキュリティ
エンドポイントセキュリティは、個々のデバイスが安全にネットワークに接続されていることを確認するための戦略とテクノロジーを指します。
エンドポイントとは、「末端」という意味であり、システムを利用する末端の端末、つまり会社の情報の出口である従業員の貸与PCや社用携帯など、最もウイルスが侵入しやすいデバイスにもセキュリティ対策を導入する方法です。
これには、アンチウイルスソフトウェアやファイアウォール、侵入検知システムなどが含まれ、企業のセキュリティ責任者がエンドポイント保護ポリシーを設定し、個々のエンドポイントで実行されるセキュリティソフトウェアをリモートで管理する形で行われます。
日本企業におけるゼロトラスト導入事例
1. 富士通株式会社
富士通は、ゼロトラストモデルを組織全体に導入した日本の企業の一つです。
富士通は、自社の豊富な経験から、情報システムのセキュリティを強化するために「Zero Trust Network」を開発しました。
これはゼロトラストに必要となる認証方式や堅牢なネットワークを構成し、従業員一人ひとりのアクセスを厳重に検証することで、リスクを管理するセキュリティサービスです。
富士通自身がこのモデルを採用することで、セキュリティ対策を従来のネットワーク中心から個々のユーザーとデバイス中心に移行させることが可能となりました。
2. NTTデータ
NTTデータは、世界主要7拠点のグループ会社に対し、ゼロトラストモデルの導入を行っており、その中で発生した課題とノウハウを基に、2021年11月頃から「ゼロトラストセキュリティサービス」を提供しています。
全世界55ヶ国のグローバル社員14万人が利用するクラウドサービスに対して、多要素認証やログ監視などによる高セキュリティのゼロトラスト環境を導入しました。
NTTデータはゼロトラストの導入により、全社員が、パソコン・スマホ・タブレットなど好みの端末で、自宅やオフィスどこからでも、各種クラウドサービスを最大限活用しながら業務ができる環境を実現しています。
3. 荏原製作所
荏原製作所では、国内の社員、海外赴任者、海外拠点のローカルスタッフ、メンテナンス担当のベンダーや提携代理店など、多様な利用者のリモートアクセスに対応する必要がありました。
社外からのアクセスにはVPNを利用していましたが、OSのアップデートでアクセスができない事象や、対応にかかる工数などを鑑みて、リモートアクセスVPNに代わる手段として、2019年頃、アカマイ・テクノロジーズ合同会社が提供するクラウド型のID認識型プロキシソリューション(EAA)を導入しました。
その後、2020年の緊急事態宣言をきっかけに在宅勤務を利用する従業員が増加し、アクセスが通常の10倍に急増しましたが、軽快で安定した稼働状況により、業務を継続することができました。
ゼロトラストセキュリティの課題
日本企業にも浸透しつつあるゼロトラストセキュリティですが、実は導入には多くの課題を伴います。
まず、この新しいモデルを組織全体に適用するには、テクノロジーだけではなく、業務全体のプロセスを見直す必要があり、組織内の各ユーザーにセキュリティ意識を高めるためのセキュリティ教育とトレーニングが必要不可欠です。
ゼロトラストセキュリティモデルは、組織内外の全てのアクセスが疑わしいと考え、それを確認することにより、データとシステムを保護します。
しかし、その導入には、企業がセキュリティに対する理解を深め、ゼロトラストを実現するための専門知識と準備が必要であり、一晩で達成可能なものではありません。
ゼロトラストは今後どうなる?
従来のセキュリティでは、境界の外側と内側を明確に分け、内側は安全と見なすというモデルが一般的でした。
しかし、COVID-19パンデミックの影響で、多くの企業がリモートワークを導入し、この変化により、企業ネットワークのセキュリティ境界はますます拡大し、伝統的なセキュリティ手段だけでは十分な保護が困難です。
そのため、ゼロトラストモデルが提供する「すべてを疑い、常に検証する」という原理は、今後のセキュリティ対策においてますます必要な要素となっています。
このように、クラウドコンピューティング、リモートワークといったテクノロジーの進化と深く結びついており、これらの技術が進化し続けるにつれて、ゼロトラストは変化する脅威環境に対する堅牢な防衛線を提供し続けるでしょう。
しかしながら、技術的な側面だけでなく、組織文化や意識の側面も忘れてはなりません。
ゼロトラストを適切に実装し、維持するためには、全てのステークホルダーがセキュリティに対する継続的な関心と理解を持つことが重要です。
これは、企業のリーダーシップが中心となって、ゼロトラストの理念を組織全体に浸透させ、適切な教育とトレーニングを提供することを意味します。
クラウドサービスへの移行が進む中で、ビジネスの継続性と信頼性を保証するために、ゼロトラストは今後、その重要性を増すでしょう。
まとめ
企業は、急速に変化するデジタル環境でセキュリティを維持するために、新しい方法を模索する必要があります。
ゼロトラストセキュリティはその一つであり、内部ネットワークすら信頼せず、すべてを検証することにより、データとシステムの保護を目指します。
しかし、この新しいモデルを採用するには、組織全体の理解と知識が必要です。
ネットワークのセグメンテーション、マルチファクタ認証、リスクベース認証、そしてエンドポイントセキュリティが重要な役割を果たします。
ゼロトラストセキュリティは、完全なセキュリティを実現するための魔法の解決策ではありませんが、データ保護の新しいアプローチとして、多くの企業が採用している重要な戦略です。
この新たなセキュリティモデルの理解と適用は、現代のビジネスが直面する脅威から自身を守る上で、非常に価値のある投資となります。
フリーランコンサルタントとして活躍するなら
『これからフリーランス』を運営する株式会社ビッグツリーテクノロジー&コンサルティングは独立系のSIであり、BTCエージェントforコンサルタントというサービスを展開しています。
本サービスでは、案件紹介だけではなくキャリアアップや単価相談などフォローアップが充実していますので、是非一度ご相談いただければと思います。