ゼロトラストとは?その特徴や普及の背景、今後の動向について解説

この記事は約8分で読めます。
2020.11.02

ゼロトラストとは、従来からのネットワーク構造に即し「ネットワークを社内と社外に分けて、社内のネットワークは信頼し、社外のネットワークは信頼しない」という考え方とは違い、「ネットワークに関するすべてを信頼しない」という考え方を言います。

日本では、クラウドサービスの普及とともに、ゼロトラストが普及し、何らかの形でゼロトラストを取り入れている会社が8割ともいわれています。

ゼロトラストが必要になり、主流となってきている背景と、IT業界でのセキュリティの考え方に関する将来像についてまとめてみました。

「インシデント管理台帳」
ISMS規格に準拠!客観情報から再発防止策まで網羅的に対応!

ゼロトラストとは

ゼロトラスト」とは、「ネットワークに関するすべてを信頼しないという考え方」のことをいいます。

人・デバイスに関して、社内のネットワークも社外のネットワークも問わず、すべてを信用しないという考え方に基づきますので、具体的には次の前提条件に基づいてネットワークをとらえることとなります。

  • 人もデバイスも攻撃する可能性がある
  • 社内からも社外からもネットワークは攻撃を受ける可能性がある
  • デバイス・人それぞれにすべてに認証を要求する

それでは、なぜこのような前提条件のもとでネットワークを捉えるようになったのでしょうか。その理由や背景について見ていきましょう。

ゼロトラストが普及する理由や背景

このような考え方が重要視されるようになった理由や背景を考えると、さらに次のようにまとめることができます。

クラウドサービスの普及

クラウドサービスは、アプリケーション・ネットワーク・開発環境・あるいはセキュリティツールなど、企業でITを利用する限り、どこにでも登場するといっても過言ではありません。 ここ5年ほどで、クラウドサービスは日本でも爆発的に普及しています。

クラウドサービスにおいては、社外にデータを保管することになりますが、これは社内ネットワークと社外のネットワークの境界線をあいまいにするということです。
従来の社内ネットワークのように、安全な社内にデータを置くという前提ではありませんから、社内と社外で信頼性の度合いを変える必然性がなくなってきています。

より、社外でも安全なところにデータを置き、社内のメンバーにアクセスさせることとなったクラウドサービスはネットワークセキュリティの考え方を変えるきっかけになったのです

テレワークによる影響

テレワークも、クラウドサービスと同様に社内のネットワークと社外のネットワークの境界線をあいまいにします。社内のメンバー専用のVPN(仮想プライベートネットワーク)を経由することが多いものの、テレワークは社外からのデータに対するアクセスを許すものです。

社外からのアクセスを許すためには、社内の人間が安全で攻撃をしないとの前提をとるのではなく、すべての人が攻撃を仕掛ける可能性がある、と考えた方が合理的にネットワークの安全管理を行うことができます。
デバイスも、社外のルーターを通じて、VPNにアクセスを許すことになりますが、これらの管理も企業のネットワークデバイスと同様の信頼を置くことはできないものです。

社内のネットワークを監視する、という発想から「社外からアクセスする人とデバイスをすべて管理する」に変えることにより、不測の外部からの攻撃に備えることができます

内部における信頼性の欠如

情報漏えいの原因に目を移すと、内部不正による情報漏えいが多発しています。外部のサイバー攻撃も脅威ですが、内部者が情報に堂々とアクセスし、外に持ち出してしまうなどの被害があれば企業活動は大きな打撃を受けることは間違いありません。

実際に、IPAによる「情報セキュリティ10大脅威 2022」で「内部不正による情報漏えい」が5番目のセキュリティ上の脅威とされています。クラウドサービスの普及による情報の可用性の向上があったと同時に、クラウドサービス経由での情報持ち出しもしやすくなってしまったのが原因の1つと考えられます

さらに、ブラウザがあると、Webアプリケーションを使ったサービスに容易にアクセスできてしまうことから、自分の契約しているクラウドストレージから、社内の情報を持ち出すなどの行為が横行してしまうことがあります。
社内の機密文書をクラウド翻訳サービスにかけてしまうなどの行為も発生しています。会社のIT管理者の管理下に置かれていないITサービスを使う「シャドーIT」という問題です。 

「シャドーIT」は、情報持ち出しや情報漏えい・情報の可用性を損なうなど好ましくない事態が発生しがちであり、大きなセキュリティ上の脅威です。防止するためのシステムや装置を使い、会社でしっかり管理することもできます。

管理の目を逃れるシャドーITを具体的にはどのように実行しているのか、「手口」をよく把握しておくことは、対策を立てることを容易にする点で有効です。シャドーITの発生原因や対策について、こちらの資料に詳しくまとめております。併せてご覧ください。

実態と事例をもとにシャドーITに備える(無料)

ゼロトラストネットワークに必要なこと

ネットワークを外部と内部で分けて境界のみを監視する方法では、外部にあるデータの安全を確保し、内部不正を防ぐという課題に向き合うには難しいと考えられます。
課題を解決するために「ゼロトラスト」という考え方に基づき構築するネットワークのことを「ゼロトラストネットワーク」と呼びます。

「ゼロトラストネットワーク」は、すぐに実現できるものではなく、それまでより一層の「通信アクセスの可視化」や「ログの取得・保護」が必要になります

また、アクセス制限の設定においては、ユーザーの権限を広げず「必要最低限のユーザー権限の付与」を行うといった安全策を施すことが重要です。 

内部と外部でネットワーク境界を分けて、「外部ネットワークからのアクセスだけ監視する」や「外部からのアクセスだけログを取得する」など、それまでの考え方によると、一部にしかセキュリティ施策は一部の人にしか適用できなかったものです。

すべての人に適用できるよう、具体的にルール等を作成するうえで対策すべき点としては以下が挙げられます。

ルールの例
  • ID/ パスワードを本人が間違いなく利用しているか
  • 会社で業務上利用しているクラウドサービスに脆弱性がないか・不必要なサービスにアクセスしていないか
  • 会社が許可した場合でないと、アクセス権の変更・追加ができないようになっているか
  • ユーザーの操作等、PC上不審な挙動がないか
  • ネットワークに接続されているデバイスがマルウェアに感染していないか

ゼロトラスト導入の際の注意点

ゼロトラストの導入の際には、企業における情報漏洩のリスクを従業員に認識させたうえで、ゼロトラストのメリットを適切に説明することが必要です。
そのためには、社内全体でゼロトラストを導入するための体制作りが欠かせません

やみくもにアクセス制限を厳しくしたり、認証を設けたりするだけでは、従来のセキュリティ対策と変わらないだけでなく、業務の効率も低下させてしまいます。
ゼロトラストの導入は、企業として安全に働ける職場づくりの一環であり、従業員の生産性向上や働き方の多様性を高めるなどのメリットを理解してもう必要があります。そのためには、外部のセキュリティ専門家からの支援も重要になっています。

このようにゼロトラストの導入の意義をしっかりと従業員に伝えることが、ゼロトラストのスムーズな導入のための必要条件といえるでしょう。

ゼロトラスト化が進むITセキュリティの今後の動向

ゼロトラストが進むと、今後業界動向はどのように変わっていくのでしょうか。Forbesが掲載したGoogle Cloudの “Brand Voice” コンテンツには、近未来予測としておおむね以下のような趣旨の記載がありました。

2021年のセキュリティ業界で予想される傾向トップ3 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
COVID-19(新型コロナウイルス感染症)パンデミックが発生した最初の数か月間、多くの組織にお...
forbesjapan.com

さらに意識されなくなるセキュリティ

ゼロトラストは、素直に考えるとすべての人やデバイスに認証を要求するので、手間がかかり利便性を損なうことのはずです。

しかし、すでにセキュリティの世界ではAIによる自動化や工程の簡略化が進んでいます
例えば、組織はクラウドネイティブのセキュリティ機能を利用し(2段階認証・シングルサインオンなどに関する機能など)、ユーザーの入力・操作などの負担を軽減することができます。

究極的にはセキュリティを意識しなくても、ユーザーは業務に集中することができるようになるでしょう。

手動のセキュリティ・オペレーションは自動化される傾向にある

セキュリティ・オペレーションもまた、もし手動なら、ゼロトラストは管理者にも非常に大きな負担となるはずです。

しかし、実際には、監視・検知・レポートなどのセキュリティ・オペレーションも、クラウドサービスを通じて自動で行える場面が増えています

その結果、管理者の負担も解消されることが期待されます。そして、セキュリティ・オペレーション・チームは、より複雑な攻撃と、固有の脅威への対応に集中できるようになることが予想されます。

クラウド・コンピューティングを信頼しすぎないことが重要

今までご説明したゼロトラスト化に伴う工程の負担を自動化によりユーザー・管理者とも解消していく流れは、同時に企業のデータ管理権をクラウドベンダー側に委ねすぎてしまう危険があることを意味しています

企業の事業・業務用に利用するデータ、あるいは、管理者の利用するイベントログ・セキュリティログ・インシデントレポート等、究極的には、クラウドベンダー側がこれらのデータをコントロールしようと思えばコントロールできてしまいます。
ひとつ間違うと、クラウドベンダー側がユーザーである企業より、企業のことを知っていてもおかしくないような事態も想定されます。

そこで、クラウド・コンピューティングを信頼しながらも、企業データの管理の主導権は企業でしっかり持っておくことをどれだけ意識し、実現できるかが今後のセキュリティの考え方のポイントとなるものと考えられます。

最終的に、プロバイダが自分たちの組織の設定に従いデータを保存、処理、管理してくれることを信頼できるかどうかがカギになるでしょう。

まとめ

クラウドサービスの普及に従い、ネットワークセキュリティの構造自体が変わってきたため、ゼロトラストの考え方は現在合理的なネットワークセキュリティの考え方といえるでしょう。

しかしクラウドはあくまでも企業外に存在するものであるため、過度のクラウドの依存には危険性も含まれています。
ゼロトラストの導入には、企業の外部にあるデータの適切な管理・制御を徹底したうえで、信頼できるクラウドベンダーを選ぶことが非常に重要な視点です。

「インシデント管理台帳」
ISMS規格に準拠!客観情報から再発防止策まで網羅的に対応!
情報セキュリティ対策インシデント対策
従業員教育テレワーク
タイトルとURLをコピーしました