近年、「ゼロトラスト」という新しいセキュリティの考え方が注目を集めています。インフラのクラウドシフトが急速に進んでいる中で、ますます増加し続けるサイバー攻撃に備えるために必須となりつつあるゼロトラストとはどのような仕組みを持っているのでしょうか。今回は、ゼロトラストの意味や導入のポイントなどを含めて解説していきます。

目次

• ゼロトラストとは
• ゼロトラスト実現のための7つの要素
• 理想的なゼロトラストを実現するためのポイント
• NECフィールディングのゼロトラストの特長
• まとめ

ゼロトラストとは

「ゼロトラスト」とは、「何も信頼しない＝Zero Trust」を前提に対策を講じるという、2010年にForester Research社のJohn Kindervag氏によって提唱された新しいセキュリティの考え方です。すべてのユーザーやデバイス、接続先を「信頼できない」として、データにアクセスするごとに厳正な認証を実施し、データそのもののセキュリティを保証するものです。

IT調査会社であるガートナージャパン社が2020年8月に発表した「日本におけるセキュリティのハイプ・サイクル：2020年※外部サイトへ移動します」によると、ゼロ・トラスト・ネットワーク・アクセスを「過度な期待のピーク期」と位置付けており、近年のセキュリティ対策の潮流となってきていることがわかります。

従来のセキュリティとの違い

これまでのセキュリティ対策の考え方は、「社内は安全ですが社外は危険」という考えに基づきながら、社内ネットワークと社外ネットワークの境界線上にセキュリティ対策を行う「境界型防御」と呼ばれるものでした。すなわち、従来の境界型防御では「Trust But Verify（信ぜよ、されど確認せよ）」が前提で考えられていたのです。しかしゼロトラストでは「Verify and Never Trust（決して信頼せず必ず確認せよ）」を前提に考えられています。

近年、テレワークやリモートアクセス、クラウドサービスなどの利用増加により、企業システムの内部と外部を隔てる「境界」が曖昧になってきています。そこで、この「境界」という考えをなくして、自社データへのアクセスは内部からでも信用せずに安全性を検証することで情報資産への脅威を防ぐという、セキュリティの新しい概念がゼロトラストです。

ゼロトラストが普及する背景

前述したテレワークやクラウドサービスの利用拡大や、オフィスに出社しての業務とテレワークでの業務が混在したハイブリッドワークの増加によって、セキュリティ対策を社内ネットワークだけで行うのでは十分ではなくなってきています。これがゼロトラストの普及する背景となっています。クラウドサービスはデータの保管場所が社外となりますので、社内と社外の境界線がなくなるのが当然となります。

また、テレワークでは、会社の端末を外部へ持ち出したり、自宅などの外部から社内システムにアクセスしたりするようになります。社内ネットワークと社外ネットワークの境界線が曖昧になるため、従来のセキュリティ対策は通用しなくなります。

これらに加えて、内部からの情報漏えいもゼロトラストが普及する背景となっています。近年の情報漏えい事件は外部からのサイバー攻撃だけが原因ではありません。内部不正やヒューマンエラーで発生する情報漏えい事件も数多く発生しています。そのために、境界線内にあって安全だとされていた社内ネットワークを厳正に管理したり監視したりする重要性が高まっているのです。

ゼロトラスト実現のための7つの要素

ゼロトラストを実現するために重視したい要件として、「デバイス」「ネットワーク」「データ」「アイデンティティ」「ワークロード」「自動化」「可視化と分析」という７つの要素が挙げられます。

デバイス

ゼロトラスト実現のためには、従業員が利用しているデバイスをすべて管理することが必要です。社内で管理しているデバイスだけのアクセスを許可し、セキュリティについては資産管理ソフトなどによってバージョン管理を行い、利用しているデバイスのセキュリティレベルは高いものに保っておきます。

ネットワーク

社内ネットワークは端末ごとに承認を行って、未許可の端末はアクセスを拒否するといった運用が必須です。従来のセキュリティ対策である「社内ネットワークは安全で社外ネットワークは信頼できない」といった考え方とは違い、ゼロトラストでは「社内ネットワークも安全ではなく信用してはいけない」という考えに基づいて運用していく必要があるからです。

データ

データについては、機密保持の監視・保護のほか、内部情報の持ち出しや情報漏洩の防止を行います。その際、社内セキュリティ教育を行うことにより、機密・内部情報の扱いについての従業員の認識を高めていきます。また、ツールを活用して、機密情報の監視・保護、外的要因の情報漏洩防止を行います。

アイデンティティ

アクセス時のログインID・パスワードを一定の期間を区切って変えていくほか、アクセス権限を多くの人数に広く付与するのではなく、業務に必要な最小限の人数しかアクセス権限を持たせないといった考えがアイデンティティ・セキュリティとなります。

ワークロード

クラウドサービス利用状況の可視化・制限を含め、すべてのシステムを監視しておくことで、サイバー攻撃などの脅威の侵入を防げるようになります。

情報システム管理者が把握していないIaaSやPaaSについて、従業員が新たに導入・利用した場合には自動で検知し、利用者への警告と情報システム管理者への通知を行います。

自動化

セキュリティの監視・運用を、人的リソースをかけずに効率的に行うためには自動化が重要です。即応体制を実現するためにも、ワークフローやプロセスは自動化します。セキュリティインシデントが発生したときに、デバイスの隔離、脅威を排除するための修復などのアクションを自動実行することで、セキュリティインシデント発生時の素早い解決が可能となります。

可視化と分析

セキュリティ状態は常に可視化しておきます。サイバー攻撃を受けたときには、サイバー攻撃の内容の検出・分析・対応を行うことが重要です。

現実的にはサイバー攻撃を分析するための社内リソースを割けるのかといった問題があります。また、近年のサイバー攻撃は高度化しているために、自社だけで対応できるのかといった問題も残ります。そこで、24時間365日体制ネットワークやデバイスの監視を行うSOC（Security Operation Center）企業に対して、外部委託を行っていくことも視野に入れておきましょう。

理想的なゼロトラストを実現するためのポイント

クラウド＆テレワーク時代にはゼロトラストが必須となっています。理想的なゼロトラストを実現していくためには、「エンドポイントセキュリティ」「ネットワークセキュリティ」「クラウドセキュリティ」の3つに注意しながら、導入・運用していくことが求められます。

エンドポイントセキュリティの注意点

ゼロトラストでは、端末を守る境界部分のセキュリティがなくなるので、直接インターネットにアクセスするようになります。そのため、エンドポイント（終端となる機器）の脅威を継続的に監視して対応する技術であるEDR（Endpoint Detection and Response）を導入して端末を監視し、マルウェア検知機能や不正プログラム実行防止、デバイス隔離などを実現した運用を行うなど、エンドポイントでのセキュリティ強化が必要です。

エンドポイントセキュリティは、EDRだけでなく、デバイス管理、MDM（デバイス制御）も含めて考えるようにしましょう。

• ●EDR
  ・端末の挙動を記録しておき能動的に分析する
  ・セキュリティインシデントの予防や早期発見をする
  ・セキュリティ被害を最小化する
• ●デバイス管理
  ・会社が貸与している端末と、個人所有の端末を区別して端末登録する
  ・端末所有権に応じたセキュリティ設定やアクセス制御を行う
• ●MDM
  ・デバイス管理で登録した端末の設定管理を行う
  ・会社で許可したアプリケーションやプログラムを配布する
  ・端末設定の配布を行う

ネットワークセキュリティの注意点

エンドポイントからインターネットへのアクセスについて、クラウドサービスのアクセス先を含めて、誰がどのWebサイトにアクセスしていいのかどうかを制御していく必要があります。リモートアクセス、インターネットアクセス、拠点アクセスに分けて考えていきます。

• ●リモートアクセス
  ・VPNをクラウド化する
  ・グローバルのリモートアクセスを一本化し最適化する
  ・アプリやサービスに対してアクセスを制御する
• ●インターネットアクセス
  ・リソースを気にせず利用できるようにする
  ・URLフィルタや脅威防御機能を提供する
  ・スマートフォン、タブレットなど、モバイル端末からのアクセスも含め一括管理する
• ●拠点アクセス
  ・SaaSやインターネットアクセスを最適化する
  ・WAN（Wide Area Network）回線を有効利用する
  ・仮想ネットワーク化を行い、システムの論理分割と物理集約を行う

クラウドセキュリティの注意点

保護すべき情報を整理しIDと職責を紐づけ、クラウドサービスへのアクセス権限を適切に管理します。

各種クラウドサービスのユーザーを統合管理し、アクセスが必要なメンバーに必要な権限を付与し、一貫したライフサイクル管理といったID管理が求められます。

また、クラウドサービスの利用状況を可視化および制御することで、きめ細かいアクセスコントロールをし、クラウド上のデータを検査していくといったクラウドアクセス制御も必要です。

NECフィールディングのゼロトラストの特長

NECフィールディングでは、ゼロトラスト実現に求められるクラウドセキュリティ対策を用意しています。

NECフィールディングのサービスを導入する際には、お客さまの環境やご要望を丁寧にヒアリングしてトータルなクラウドセキュリティ対策を構築します。ネットワークの内部と外部を区別することなく、大切な情報資産やシステムにアクセスするすべてのユーザー、デバイスを信頼せずに検証するゼロトラストセキュリティを実現します。

ゼロトラスト実現に対応したNECフィールディングのクラウドセキュリティ対策を導入すれば、175を超えるクラウドサービスへのシングルサインオンをセキュアに実現します。同時に、誰がいつログインしたのかといった一元管理を可能にします。さらに、上司承認機能などのメールセキュリティ対策も充実しており、PPAP対策も万全となっています。

電子証明書やスマートデバイスへの通知による二段階認証などで端末のセキュリティ強化、一元管理などのエンドポイントセキュリティ、SaaSやインターネット利用の制御、利用情報の収集・分析まで、トータルなクラウドセキュリティ対策を実現します。

詳しくはこちらをご覧ください。
https://www.fielding.co.jp/service/security/cloud_security_measures/

まとめ

クラウドサービスの利用やテレワークの実施が当たり前となっている昨今の企業では、ゼロトラストがセキュリティ対策の新常識となってきています。

NECフィールディングなら、お客さまの環境やご要望に合ったクラウドセキュリティ対策をスムーズに導入することができます。ゼロトラスト実現にふさわしい、安心で便利なクラウド活用をサポートします。

ゼロトラストに関するサービスはこちら

・クラウドセキュリティ対策

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。