サイト内の現在位置

ゼロトラストとは?
意味やセキュリティ対策のポイントをわかりやすく解説

ゼロトラストとは?意味やセキュリティ対策のポイントをわかりやすく解説

ゼロトラストセキュリティとは、信用がないことを前提にしたセキュリティ対策のことです。今までのネットワークセキュリティが抱える課題から、ゼロトラストセキュリティが重要視される理由やメリット・デメリットについて考えてみましょう。さらにゼロトラストの7つの原則と、実現に向けた4つのソリューションを解説しながら、導入時・運用時の注意点を詳しく紹介します。

テレワーク・クラウド利用など企業を取り巻くICT環境が急速に変化する中、「ゼロトラスト」の実現に向け、NECフィールディングはお客さまの多様なニーズに対応し、設計から保守・運用までトータルサポートで「安心」をお届けします。

詳細はこちら

NECフィールディングが考えるゼロトラスト

NECフィールディングが考えるゼロトラスト

お客さまのご要望や環境に合わせて最適なソリューションを組み合わせて提供します。また、お客さまが対策したい脅威に対応する対策も紹介します。

詳細はこちら

NECフィールディングのセキュリティ紹介

NECフィールディングのセキュリティ紹介

目次

ゼロトラストセキュリティとは

「トラスト」とは英語で「信用・信頼」の意味で、「ゼロトラスト」は「信用がゼロ」であること。「ゼロトラストセキュリティ」は、「すべて信用しないことを前提にさまざまな脅威を防ぐセキュリティ対策」を指します。

ゼロトラストは、2010年にForester Research社が提唱した考えです。社内にあるものは安全で、外部は危険であるという考えが根付いていましたが、インターネットが普及し社外で仕事する人も増えるなか、社内と社外の境界線はあいまいになってきています。そこで、ゼロトラストでは社内と社外を区別せず、守るべき機密情報や情報資産へアクセスしようとするものを「すべて信頼せず」、守っていこうとするセキュリティ対策の考え方が生まれたのです。そして、企業のセキュリティ対策がますます重要視されるいま、ゼロトラストセキュリティの注目度が高まってきています。

今までのネットワークセキュリティ

これまでのネットワークセキュリティで基本にあったのは、「Trust But Verify(信じよう、しかし確認しよう)」という考えです。これは社内と社外には境界があり、「社内は安全であり、社外は危険」ととらえる考えです。これでは、社内は安全という前提であることから、万が一社内に脅威があった場合にそれを防いだり対応したりすることができません。

それに対して、ゼロトラストセキュリティでは「Verify and Never Trust(決して信用せず、確認しよう)」を前提としています。社内と社外に境界線はなく、大切な情報資産は社内にも社外にも存在し、あらゆるものを信頼せずに、大切な情報資産にアクセスしようとする脅威から守ろうと考えます。

ゼロトラストセキュリティが重要視される背景

ゼロトラストセキュリティが脚光を浴びるようになってきた背景には、さまざまな社会や働き方の変化があります。

理由1.リモートワークの普及

新型コロナウイルスの感染予防を機に普及したリモートワーク。これまでは社員が出社して行っていた仕事を、社員それぞれの自宅から行うようになりました。当然ながら企業のさまざまな情報に社外からアクセスすることになり、それだけネットワークにおけるリスクが高まります。
JPCERT コーディネーションセンターのレポートによると、過去5年間に報告されたインターネットに関するインシデントの件数は次の通りです。

  1. 2017年 18,141件
  2. 2018年 16,398件
  3. 2019年 20,147件
  4. 2020年 46,942件
  5. 2021年 50,801件


リモートワークが広まっていった2020年や2021年に急激に増加していることがうかがえます。つまり、それだけリモートワークが起因となり、さまざまな脅威にさらされているのです。

参考:new windowJPCERT コーディネーションセンター インシデント報告対応レポート
※外部サイトへ移動します

理由2.社外とのネット協業の増加

インターネットサービスを利用して、他社や外部組織とコラボレーションしやすくなっていることも、ゼロトラストセキュリティに注目が集まってきた背景にあります。
クラウドサービスが当たり前になるなどして、企業は他社や別の組織に仕事を依頼する機会が増えているでしょう。また、企業と企業がオンラインストレージを利用して、各種のファイルを共有することも多くなっています。そのような協業によって、セキュリティのリスクが増加しています。

理由3.IT鎖国の終焉

これまでのビジネススタイルは、社内の人間だけでプロジェクトに取り組み課題を解決するという考えが基本にありました。しかし人材不足やインターネットサービスの発展もあり、インターネットを利用して社外の人材とコラボレーションするなど、よりオープンな考え方になってきています。それまでの「IT鎖国」型から「IT開国」型のスタイルにシフトしてきているのでしょう。そこで、ネットワークについても社内・社外を問わず、セキュリティ対策を行うことが必要となってきているのです。

お問い合わせはこちら

ゼロトラストセキュリティのメリット

ゼロトラストセキュリティを導入することのメリットは何でしょうか?

メリット1.いつでも社外から仕事できる

ゼロトラストセキュリティが導入されれば、場所を問わずに厳重にセキュリティが管理されることになり、社内であっても社外であっても安全に社内ネットワークに接続できます。すると、リモートワークなど場所を問わない働き方も安全性が高まることになります。

メリット2.セキュリティをシンプルに設定できる

これまでのセキュリティ対策では、VPNやファイヤウォールなどを用いたもので、設定が複雑になりがちでした。しかしゼロトラストセキュリティでは、どのようなアクセスであっても同様に厳しい認証を行うことになるため、そもそもの設定をシンプルにできます。

ゼロトラストセキュリティのデメリット

一方でゼロトラストセキュリティのデメリットについて見てみましょう。

デメリット1.コストと時間がかかる

ゼロトラストセキュリティはこれまでのセキュリティ対策に比べて安全性が高くなりますが、ネットワーク上のすべてのリソースをモニタリングするため、どうしても対象範囲が広くなります。そのため導入に際してコストや時間がかかり、運用面でもコストが必要となります。

デメリット2.ログインに時間がかかる

セキュリティを強化するためには、ログイン時の認証を2段階認証にしたり多要素認証を導入したりすることが必要になります。そのため社員がログインする際、これまで以上に時間を要してしまうことがデメリットとして挙げられます。

お問い合わせはこちら

ゼロトラストにおける7つの原則

ゼロトラストにおける7つの原則

アメリカでは政府がゼロトラストの重要性について注目し議論を進めています。そこでNIST(National Institute of Standards and Technology:米国立標準技術研究所)は、ゼロトラストの定義について次の7つの原則を報告書でまとめています。

  1. すべてのデータソースとコンピューティングサービスはリソースとみなす
    ネットワークに接続するすべてのデバイスはリソースとして認識されます。アクセスする側/される側、デバイスの規模、デバイスの性能を問わずにリソースとして認識する点が特徴です。
  2. すべての通信はネットワークの場所に問わず保護される
    従来のセキュリティモデルでは社内ネットワークの安全性に着目しており、社内ネットワークの通信は暗黙の信頼がある前提になっていました。ゼロトラストの基本原則では、社内/社外関係なく、ネットワークの通信はすべて保護すべきとされています。
  3. 組織のリソースへのアクセスは、セッションごとに許可される
    一度許可したセッションは一定時間記憶されることが多いですが、ゼロトラストの基本原則では、セッションが発生する都度に許可をするべき、とされています。また、アクセス時に与える権限も必要最低限の権限にする必要があります。
  4. リソースへのアクセスは動的なポリシーによって決定される
    ゼロトラストでは、さまざまな属性をパラメータ化し、アクセスを求められる都度、ポリシーに従って許可を与えるような仕組みが求められます。リソースのリスクレベルによってアクセスルールを定める必要があります。
  5. 組織が保有するデバイスは、すべて正しくセキュリティが保たれるように監視する
    ゼロトラストの考え方では「すべてのデバイスは基本的に信用できない」とされています。そのため、常にデバイスの監視をおこない、セキュリティ上の問題が発見された場合にはセキュリティレベルを高める対策が必要とされています。
  6. リソースの認証と認可は動的であり、アクセスが許可される前に厳密に実施される
    従来は、ユーザ側の認証・認可は、一度認証されたらしばらくは認証結果を参照し、ユーザ側の再認証手順は不要になっていました。ですが、ゼロトラストの基本原則では、一度認証・認可された場合でも、通信の信頼性は評価され続けます。そのため、場合によっては再認証の要求を求める場合があります。
  7. 資産・ネットワーク・通信の状態について、可能な限り多くの情報を収集し、セキュリティ改善のために利用する
    ゼロトラストの基本原則では「資産のセキュリティ状況」「アクセス要求のログ」「トラフィックの状態」を常に監視することが要求されています。これらは監視するだけでなく、監視結果を分析し、ポリシーの作成やセキュリティの改善に活かしていく必要があります。

ゼロトラストを実現させるための4つのソリューション

ゼロトラストセキュリティを実現するためには、次の4つのポイントでのセキュリティが重要になります。

ユーザ認証

ユーザ認証はユーザがアクセスするときの入口となるもの。ここで信頼できるユーザかどうか、きちんと確認することがセキュリティの第一歩です。このユーザ認証でセキュリティを強化することにより、なりすましのリスクを軽減できます。よくあるのは二段階認証、生体認証、デジタル証明書を利用した自動ログインなどです。

エンドポイントセキュリティ

エンドポイントとは、インターネットに接続されたパソコン、タブレット、スマートフォン、サーバなどのこと。これまでのセキュリティでは、このような端末は社内で使う分には保護されていましたが、ゼロトラストセキュリティでは社内と社外の境界がなく、端末でのセキュリティ強化が必須になります。例えば、社員に貸し出す端末を個別に管理する、端末の挙動を常時記録する、端末ごとのセキュリティ設定やアクセス制限をかけることなどが挙げられます。

ネットワークセキュリティ

インターネットの通信部分におけるセキュリティも重要です。入退室管理やWi-Fi認証、VPN認証、SDP認証などを行い、不正なアクセスを排除します。

クラウドセキュリティ

現代のビジネスではクラウドの利用が一般的になってきています。クラウドとは利用者がインターネットを介して、各種のデータやリソースを共有できるサービス。しかし情報漏洩やデータ消失、不正アクセスなどのリスクがあります。そこで保護すべき情報を整理して、ユーザIDと紐づけてアクセス制限をかけるなどしたセキュリティ強化が必要でしょう。また機密情報の持ち出しや改ざんがないか、監視するといったことも求められるでしょう。

お問い合わせはこちら

ゼロトラストセキュリティにおける導入時の注意点

ゼロトラストセキュリティは安全性が高い対策ですが、対象となる領域が広範囲にわたるという面があります。そこで一度に導入を進めるのではなく、どの部分から優先的に対応していくのかスケジュールを立て、中長期の計画で考えていく必要があるでしょう。

またゼロトラストセキュリティを導入すると、それを実際に利用するのは社員です。そのため、社員に事前にゼロトラストについて説明し、なぜ導入する必要があるのか、導入すると以前に比べて業務面でどのようなメリットがあるのか詳しく説明し、納得して利用してもらうように努めるといいでしょう。

ゼロトラストセキュリティにおける運用時の注意点

ゼロトラストセキュリティは、セキュリティ面における業務の効率化を図れる一方で、企業の毎日の業務にはネガティブな影響を与える可能性もあります。例えば、それまでは一度ログインすれば利用できたのに、ゼロトラストセキュリティではログインするたびに何度も認証を求められるといったことが生じます。すると社内からは「煩わしい」といった声が生まれてくることも考えられます。

しかし業務の効率だけを考えて元に戻しては、不正アクセスなどのリスクが高まり意味がありません。そのため、社内にゼロトラストセキュリティの重要性について深く理解を求めることが大切になるでしょう。

セキュリティ対策の相談ならNECフィールディングへ

ゼロトラストの実現には、「デバイス・ピープル・ワークロード・ネットワーク・データ・可視化・分析」という7つの要件を満たす必要があります。

NECフィールディングでは、クラウドの利用ユーザをID管理し、さまざまなクラウドの利便性を上げるほか、セキュリティゲートウェイのクラウド化など、企業がゼロトラストを導入するサポートを行っています。既存環境を活用して必要な場所にだけ導入する「ハイブリッド型導入」と、全体を管理する「フルクラウド型導入」を用意しており、企業の業務環境や抱えている課題に合わせて最適な方法を提案しています。

▼NECフィールディングが考えるゼロトラスト
https://www.fielding.co.jp/service/security/zerotrust/

お問い合わせはこちら

まとめ

「安全な場所やものはない」と考え、あらゆる脅威に備えるゼロトラストセキュリティ。以前は社内にセキュリティ対策を講じていれば安全だったかもしれません。しかし社員の働き方やネットワーク環境も変化し続けており、サイバーセキュリティの問題は年々増えています。

そこで注目を集めるのが、ゼロトラストセキュリティです。

導入にはコストや時間がかかり、導入前に社員の理解を深める必要があるといった注意事項がありますが、今後は時間や場所を問わず働く人が増えており、このようなセキュリティ対策が必要になることは間違いないでしょう。 さまざまなリスクから企業を守るために、ゼロトラストセキュリティは有効な手段になるはずです。

関連サービス

関連記事

クラウドセキュリティとは?考えられるリスクと対策方法、選び方を解説!
クラウドセキュリティとは?考えられるリスクと対策方法、選び方を解説!

クラウドセキュリティは、クラウド環境に特有のリスクに対するセキュリティ対策のこと。クラウドの利用が進むなか、クラウドセキュリティは企業に求められる新しいセキュリティ対策の考え方・施策として、より重要になっています。ここでは、クラウドセキュリティの概要、クラウド環境におけるセキュリティリスク、具体的な対策、オンプレミス環境との比較、クラウドサービスに特化したセキュリティ基準などを紹介します。

詳細を読む
EDRとは?EPPとの違いや製品選びの比較・選定ポイントをわかりやすく解説!
EDRとは?EPPとの違いや製品選びの比較・選定ポイントをわかりやすく解説!

サイバー攻撃が年々高度化するのに伴い、企業で利用するパソコンやサーバなどのデバイスに対し、セキュリティ対策ソフトをインストールするだけでは対処できないことも増えてきています。そこで近年注目されているEDRについて、その仕組みや重要性などを紹介します。

詳細を読む
SASEとは?意味や仕組み、メリットなどをわかりやすく解説!
SASEとは?意味や仕組み、メリットなどをわかりやすく解説!

SASEはクラウド時代に対応したネットワークセキュリティの新しい考え方です。「サシー」「サッシ―」と読みます。ゼロトラスト(すべて危険という考え方)に基づきクラウドからネットワーク機能・セキュリティ機能を提供し、急速に変化する企業のICT環境に対応します。ここではSASEとは何か、主な機能、SASEが求められる理由、メリット、さらにゼロトラストやCASB、DLPとの違いなどを解説します。

詳細を読む
他の関連記事はこちら

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。

対象サービスの紹介