ニューノーマル処方箋（第34回） すべての通信を信用しない「ゼロトラスト」とは何なのか

＜目次＞

・すべての通信を信用しない「ゼロトラスト」とは何なのか？

・ゼロトラストではなぜ「IDの統制」が最重要なのか

・ゼロトラストは、デバイスの管理もできる

・ゼロトラストで、セキュリティレベルは従来より格段に高まる

すべての通信を信用しない「ゼロトラスト」とは何なのか？

　企業のセキュリティ対策というと、これまでは社内のネットワークを守るためにファイアウォールを設置し、外部の不正アクセスやサイバー攻撃を防ぐ「境界型セキュリティ」が一般的でした。

　しかし、テレワークやクラウドサービスが普及した今、社外から社内ネットワークに、もしくは社内から社外のクラウドサービスに接続する機会は日常的に起きています。そのため、従来の境界型セキュリティのままでは、セキュリティ対策が不十分で、悪意のある第三者の侵入を許してしまう恐れがあります。

　こうした従来のセキュリティ対策の一歩先を行く考え方として「ゼロトラスト」が存在します。ゼロトラストは、たとえ境界内部の通信であっても無条件に信用せず、全ての通信を確認し、認証・認可を行う手法となります。

　ゼロトラストは、どのようにしてセキュリティを維持するのでしょうか？また、従来の境界型セキュリティと比べ、どのような点が異なるのでしょうか？ IPAが公開している資料「ゼロトラスト移行のすゝめ」から、その仕組みを読み解きます。

ゼロトラストではなぜ「IDの統制」が最重要なのか

　同資料によると、ゼロトラストは、【1】ID統制（ID管理）、【2】デバイス統制・保護、【3】ネットワークセキュリティ、【4】データ漏えい防止、【5】ログの収集・分析、という5つの要素から構成されるといいます。

　【1】の「ID統制」とは、誰が社内のリソースにアクセスしようとしているのかを、その都度識別し、認証・認可を行うことを指します。

　退職した従業員のIDを使用不可にすることも、ID統制に含まれます。退職者の従業員のIDが利用できる状態になっている場合、そのアカウントが何者かに悪用され、機密ファイルが外部に流出することもあり得ます。資料ではID統制について「ゼロトラストの概念を実装するにあたり、最も重要と言える」と断言しています。

　ID統制を可能にするサービスとしては、「IDaaS (アイダース、ID as a Service) 」があります。IDaaSは、複数のアプリやサービスに登録されているIDやパスワードを、クラウド上で一元的に管理するサービスのことです。IDaaSを利用すれば、従業員はアプリやサービスへのサインインを一度に行えるため（いわゆるシングルサインオン［SSO/Single Sign On]）が利用でき、従業員の利便性にも寄与します。

ゼロトラストは、デバイスの管理もできる

　【2】のデバイス統制・保護とは、たとえ従業員がノートパソコンやスマートフォンなどのデバイスを社外に持ち出して働いていたとしても、管理者がその端末をコントロールできるようにすることを指します。

　具体的には、従業員に貸与している業務用ノートパソコンやスマートフォンの中に、あらかじめMDM（モバイルデバイス管理/Mobile Device Management）をインストールしておくことで、従業員がデバイスを紛失した際に、端末にロックを掛けたり、端末内のデータを消去したりすることで、情報漏えいの発生を未然に防げます。加えて、端末に搭載されている、業務と関係のない機能を制限することもできます。

　この他、EDR（イーディーアール、Endpoint Detection and Response）も、デバイス統制・保護を可能にするツールです。EDRはファイル操作など端末のあらゆる挙動を監視し、不審な挙動を発見した場合、管理者にアラートを出します。既知／未知いずれの攻撃についても検知が可能です。

ゼロトラストで、セキュリティレベルは従来より格段に高まる

　【3】のネットワークセキュリティは、すべての通信に対し、必要なセキュリティ対策を行うことをさします。例えば、SWG（セキュア・ウェブ・ゲートウェイ、Secure Web Gateway）やCASB（キャスビー、Cloud Access Security Broker）による、不審なWebコンテンツへのアクセス制限やマルウエアの検出もこれに含まれます。

　【4】のデータ漏えい防止とは、サイバー攻撃者や内部犯行者による機密情報の持ち出し、および人為的なうっかりミスによる情報漏えいを防ぐことです。DLP（データ損失防止、Data Loss Prevention）ツールによる、社内機密ファイルのダウンロード／アップロードの禁止、外部記憶媒体へのコピー禁止、メール転送禁止などが当てはまります。

　最後の【5】が、ログの収集・分析です。社内のIT環境を構成する機器からログを収集・分析することで、サイバー攻撃の早期検知や対応を行います。ログの収集と分析は、SIEM（シーム、Security Information and Event Management）というシステムを利用します。

　ここまで挙げてきたように、ひと口に「ゼロトラスト」といっても、それを構成するためのシステムやソリューションは多岐にわたります。IDaaSだけ、EDRだけを導入しても、ゼロトラストが成立するわけではありません。そのため、これらの機器を導入するコストと時間や手間がかかる点はデメリットといえそうです。

　資料によると、ゼロトラストは「全てを信用しない」というよりも、「全てを確認した上で認証・認可を行う」という考え方に近いとしています。ゼロトラストは、ファイアウォールのように社内と社外の境界線で守るのではなく、デバイスやネットワークなどさまざまな層で通信を確認するため、セキュリティレベルは従来の境界型セキュリティと比べ、格段に高められます。ちなみに資料では、【1】のID統制と、【2】デバイス統制については、特に優先的に取り組むべきとしています。

　資料ではこの他にも、従来の境界型セキュリティからゼロトラストへ移行する際の手順やマインドも紹介しています。テレワークやクラウドサービスを利用しているにもかかわらず、まだゼロトラストに移行できていない企業は、ぜひこの資料を参考に、ゼロトラストを推し進めてみてはいかがでしょうか。