覚えておきたい情報セキュリティ&ネットワークのキホン（第4回） 「ゼロトラストセキュリティ」とは何か？

　テレワークや業務でのクラウド利用が広がったことで、従来型の情報セキュリティ対策では安全の維持が難しくなりつつあります。そこで注目されているのが「ゼロトラストモデル」の情報セキュリティフレームワークです。

　ゼロトラストセキュリティのフレームワークとは何なのでしょうか？　そして、ゼロトラストセキュリティは今までの情報セキュリティ対策と何が違うのでしょうか？　本記事では、ゼロトラストセキュリティの概要とフレームワークについて整理します。

ゼロトラストモデルとは？基本的な解説

　ゼロトラストモデルとは、「すべてのアクセス行為が危険である」と定義した情報セキュリティモデルです。

　ゼロトラストは2010年にForrester Research社が提唱していましたが、当時は従来の境界防御型の情報セキュリティ対策が一般的だったため、採用する企業はそこまで多くありませんでした。しかし、テレワークが普及し、社外からでもオフィスと同等のデータにアクセスすることが当たり前となりつつある今、ゼロトラストの重要性が注目されています。

境界防御モデルとは

　従来型の情報セキュリティ対策である「境界防御モデル」は、信用する領域と信用しない領域に境界を明確に定めて情報を守る方法です。社内を「信用できる領域」、社外を「使用できない領域」と定めたうえで、社内と社外のネットワークの境界線上に情報セキュリティ対策をすることによって安全な環境をつくり上げます。例えば、ファイアウォールなどの情報セキュリティ機器を設置し、外部からの不正な通信を遮断する考え方です。

　こうした境界防御モデルは、守りたいデータやシステムが社内のネットワークにあることを前提としています。しかし、テレワークによって社外ネットワークから社内データにアクセスする機会が増えたことで、社内と社外の境界が曖昧になり、境界防御モデルによる情報セキュリティレベルの低下が懸念されるようになりました。

ゼロトラストモデルの特徴

　ゼロトラストモデルは、境界防御のようにネットワークの内外を区別せずに、アクセスするものをすべて疑い、検証することによって脅威を防ぐものです。例えば、ネットワークの内外を問わずデータを暗号化したり、端末すべてのアクセスログを監視したりします。ゼロトラストを採用すれば、もし外部から自社システム内に不正に侵入されたとしても、素早く検知し対処できるようになります。その結果、情報漏えいリスクを最小限に抑えることにつながります。

ゼロトラストフレームワークの主な要素

　では、ゼロトラストを自社に導入するにはどうすればよいのでしょうか。IPA（情報処理推進機構）は、以下4つを検討することが重要と述べています。

認証・認可
　ユーザーが企業内のデータにアクセスする際は、必要最低限の権限のみ付与するようにする。

クラウド利用
　境界防御モデルだけではなく、クラウド利用を想定した情報セキュリティ対策を行う。

端末セキュリティ
　テレワーク用パソコンやスマートフォンなど、社外で利用する端末がサイバー攻撃の踏み台とならないように情報セキュリティ対策を行う。

ログ管理
　サイバー攻撃の経路分析や影響範囲の調査に、アクセスログの収集・分析ができるようにする。

ゼロトラストフレームワークを支えるソリューション

　前述の「認証・認可」「クラウド利用」「デバイスセキュリティ」「ログ管理」によって、ゼロトラストを実現する情報セキュリティソリューションはすでに多く登場しています。以下にて説明します。

SWG（Secure Web Gateway）
　SWGは、Webフィルタリング機能やマルウエア検出機能を提供するクラウド型の情報セキュリティソリューションです。アクセス先のURLやIPアドレスを確認し、安全性が確認できない場合はアクセスを遮断するため、ウイルスの侵入を未然に防ぎます。社外から接続している場合でも、SWGのフィルターを利用することが可能です。

SDP（Software Defined Perimeter）
　SDPは、ネットワーク上の境界をソフトウエアで実現する技術です。従来のファイアウオールでは、アクセス先を境界で分けることしかできませんでした。SDPを使うことで、物理的な境界に依存しない情報セキュリティを確保できるため、テレワークやクラウド利用においても柔軟にセキュアなアクセス環境を構築できます。

EPP（Endpoint Protection Platform）
　EPPは、日本語に訳すと「エンドポイント保護プラットフォーム」になります。端末のマルウエア感染防止に特化しており、登録されているパターンに基づき、侵入したウイルスの削除を行います。近年提供されているEPPでは、AIの技術を活用して、未知のマルウエアへの対策が期待できるものもあります。

EDR（Endpoint Detection and Response）
　EDRは、日本語に訳すと「エンドポイントでの検出・対応」になります。EPPはマルウエアの感染を予防する製品ですが、EDRはマルウエア感染後を支援する製品です。EDRはパソコンやサーバーの挙動を監視し、マルウエア感染が発覚次第、対処します。ウイルスの検知・検出をEPPで、侵入後の対応をEDRで実施するケースも見受けられます。

MDM（Mobile Device Management）
　MDMとは日本語に訳すとモバイル端末管理です。近年、ビジネスシーンでスマートフォンなどのモバイル端末を活用する機会が増えており、サイバー攻撃のターゲットにもなっています。MDMによって、従業員自身でアプリケーションの追加・削除が行えない状態に利用制限をかけることで、悪意のあるアプリケーションのインストールを予防できます。

IDaaS（Identity as a Service）
　IDaaSとは、クラウド上で利用するIDを管理するクラウドサービスです。ゼロトラストセキュリティを実行するためには、IDの設定・管理は非常に重要です。IDaaSには、1回のユーザー認証で複数のアプリケーションやクラウドサービスなどが利用できるシングルサインオン機能やアクセスコントロール機能、ID管理機能などが用意されています。

CASB（Cloud Access Security Broker）
　CASBとは、ユーザーとクラウドプロバイダーの間にコントロールポイントを設置し、クラウドの利用を制御できるソリューションです。CASBは、シャドーITと呼ばれる、企業が利用を認めていないアプリケーションへのアクセスログがないか確認します。ユーザーごとへの細かい権限設定も可能です。

SOAR（Security Orchestration, Automation and Response）
　SOARは、情報セキュリティ運用の自動化・効率化が期待できる製品です。事前に情報セキュリティ運用ルールを設定して自動化できるほか、インシデント対応で行った作業の自動記録といった機能も備えています。

まとめ

　テレワークやクラウド利用によって働き方が大きく変化する中で、情報セキュリティへの考え方も変えていく必要があります。ゼロトラストを実現する情報セキュリティのソリューションはすでに多く登場しており、導入する企業の事例も増えています。時代に合わせた情報セキュリティ対策のアップデートを行うなら、ゼロトラストモデルを検討してみてはいかがでしょうか。

※掲載している情報は、記事執筆時点のものです