ゼロトラストとは?2021年に学ぶべき次世代セキュリティモデル

"クラウド&テレワーク時代の新常識セキュリティ「ゼロトラスト」とは?|ソフトバンクのビジネスWebマガジン「Future Stride」"

(2021年2月2日 掲載)

従来の境界型セキュリティに代わる次世代のセキュリティモデルとして「ゼロトラスト」という概念が注目を集めている。全てのトラフィックを信用できないものであることを前提としたゼロトラストセキュリティモデルは、社内のアクセスであっても都度信用を評価するため、内外どこからの脅威にも対応できる。クラウドやテレワークの利用が進む現代のビジネス環境において、ゼロトラストモデルの導入はセキュリティの重要なポイントとなる。本稿では、ゼロトラストの概念について、分かりやすく解説する。

目次

ゼロトラストとは

"ゼロトラストとは|ソフトバンクのビジネスWebマガジン「Future Stride」"

ゼロトラストの定義

「ゼロトラスト」とは、あらゆるトラフィックは完全には信頼できないという考えのもと、全てのトラフィックに対して信用をスコアで評価し、対策を行う、次世代のセキュリティモデルである。社内からのアクセスなど従来は信用できると評価されてきたトラフィックであっても、信用評価を都度行うことで、内外どこからの脅威に対しても備えることができるという特長をもつ。
ゼロトラスの概念自体は2010年にForrester Research社が提唱したものだが、ゼロトラストモデルのセキュリティアプローチは、クラウド利用やテレワークの増加に伴い、社内外から重要な情報にアクセスする現代のビジネス環境に最適であることから、近年注目を集めている。
こうしたゼロトラストの概念に基づく次世代のセキュリティモデルを「ゼロトラストセキュリティモデル」、ゼロトラストセキュリティを実現したネットワークを「ゼロトラストネットワーク」などと呼ぶ。

従来型セキュリティモデルとの違い

パスワードなどでの認証に代表される従来の境界型セキュリティモデルでは、ファイアウォールなどを設置することで最初のゲートでのみ信用評価が行われており、社内からのアクセスといった一度信用できると評価されたトラフィックはその後も安全であると評価されてきた。この境界型セキュリティモデルでは境界の内側に一旦入ってしまえば、たとえ端末がウイルスやマルウェア等に侵されていても自由に行動できてしまうため、悪意のあるサイバー攻撃に対して十分な対策ができていなかった。
一方、ゼロトラストモデルでは、社内からのアクセスであっても信用評価を都度行うことで、境界の内部に侵入した脅威も防御するため、従来型のセキュリティモデルの弱点は解消されている。また、ゼロトラストモデルには、ユーザそれぞれに応じた最小限の権限しか与えない「最小権限の原則」という考え方があり、悪意のあるユーザに侵入されてもリスクが最小限に抑えられる。

ゼロトラストセキュリティモデルが注目されはじめた背景

"ゼロトラストセキュリティモデルが注目されはじめた背景|ソフトバンクのビジネスWebマガジン「Future Stride」"

DXの推進に伴う働き方の変化

昨今、企業のDXの推進に伴い、テレワークの浸透など働き方にも変化が生じている。こうした動きが加速すればするほど、社外からのアクセスに対応する必要性は高まっていく。
企業の重要なデータが保存されている環境に社外の端末からアクセスすることが日常となっている現在、社外からのアクセスを制限する境界型のセキュリティモデルでは対応しきれなくなっている。
働き方の変化やDX推進などの環境変化を受け、ゼロトラストセキュリティモデルへの注目が高まっている。

クラウドサービス利用による利用端末の増加

昨今では、社員が作成したファイルから顧客情報、サービスやWebサイトの構成データまで、企業のあらゆる情報がクラウドに集約されることが当たり前になってきた。2020年10月には総務省が行政サービスのプラットフォームとして経済産業省はAWSを採用したと発表しており、今や官民ともにクラウドに重要なデータを置く時代となった。
多種多様なデータが置かれたクラウドに、一人一人が社内外の複数の端末からアクセスする今日のビジネス環境においては、ゼロトラストモデルに基づくセキュアな環境が必要だと言える。

内部不正による情報漏えいリスク

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2020」によると、組織のセキュリティの脅威の第2位に「内部不正による情報漏えい」がランクインしている。企業は今、社内外からのアクセスによるマルウェアなどの持ち込みだけでなく、悪意ある社員の内部不正による情報の持ち出しにも目を光らせる必要がある。 従来の境界型のセキュリティモデルでは、こうした内部不正による情報漏えいへの対応は困難であり、信頼できるとされる社内ネットワークを介して、悪意ある社員が境界の内側から情報を持ち出せる状態だったと言える。 こうした社内からの脅威への備えとしても、ゼロトラストセキュリティが有効であることも、注目を集める理由のひとつとして挙げられる。

ゼロトラストセキュリティモデルのメリット

"ゼロトラストセキュリティモデルのメリット|ソフトバンクのビジネスWebマガジン「Future Stride」"

データ流出リスクの軽減

年々企業が抱えるデータ量は増大を続けており、顧客データや取引先の機密情報、社員の個人情報など、膨大な重要データが企業には保管されている。これらのデータの流出は、損害賠償や社会的な信頼が低下するリスクにつながるため、リスクに備えることは企業の存続において、大変重要な課題であると言える。
一方で、年々サイバー攻撃は高度化・悪質化をしており、その数も増加しているため、従来のセキュリティモデルではデータ流出リスクを抑えきれなくなってきている。
ゼロトラストセキュリティモデルは、こうしたデータ流出リスクを軽減できると期待されている。ゼロトラストには「最小権限の原則」という基本構成要素があり、必要に応じた最小限の権限しか与えないことで、不要な機密情報の閲覧を防ぐことができる。このような防御機構により、仮に外部の攻撃者が不正に侵入することに成功したとしても、閲覧できる情報はごく限られているため、データ流出のリスクは最小限に抑えることが可能となる。

インシデント発生時の検出時間の短縮

強力なセキュリティモデルであるゼロトラストだが、残念ながらあらゆるセキュリティ事故を完全に防ぐことはできない。従来の境界型を含め、全てのセキュリティモデルはインシデントの発生率を0にはできない。ゼロトラストの強みは、セキュリティ事故が発生しても、早期にインシデントを検出し、対応することができる点にある。
ゼロトラストセキュリティでは、都度認証を行わなければ、ユーザが情報へアクセスできない。アクセスを求める度に認証を行うため、リアルタイムでアクセス履歴を残すことが可能だ。そのためインシデントが起こった際には、アクティビティの確認を行うことで、問題点を早期に特定することが可能となる。早期にインシデントを特定することは被害を最小限に抑えることにつながるため、備えとして非常に有効だと言える。

システムアーキテクチャの複雑さを軽減

ゼロトラストは新たな考え方のため、セキュリティのシステムアーキテクチャが複雑になると思われがちだが、セキュリティの構築がクラウドで完結するため、従来のモデルと比べたとき、逆にシステムアーキテクチャの複雑さを軽減できるというメリットを持つ。
このメリットは、企業規模を拡大した場合やビジネスをグローバルに展開した場合などでも、容易にセキュリティ環境が構築できることを示しており、事業や企業の規模の拡大・縮小にフレキシブルに対応できるため、セキュリティ対策にかかるIT人材やコストなどの負担が軽減されることにつながる。

ネットワーク利用者の利便性の向上

従来型の境界型セキュリティモデルでは、アクセスするシステムによって異なるパスワードを利用することに加え、セキュリティを強固にするために長く複雑なパスワードを設定することが強く推奨されている。複数の複雑なパスワードを管理することはユーザの負担になるばかりか、入力間違いによるアカウントロックや再発行の手続きに時間がかかるなど、生産性向上を妨げる一因となっていた。
ゼロトラストモデルでは、たった一つのパスワードだけでさまざまなシステムに安全にアクセスできるシングルサインオン機能などをクラウドベースで提供することで、ユーザの利便性を損なわせずにセキュリティを担保することができる。こうした機能は、パスワードを管理する企業側の管理コストも抑えることができるため、ユーザと管理者双方に利便性をもたらすと言える。

DXの推進

先述したように、DXが進めば進むほど、従来の境界型セキュリティモデルでは対応しきれないケースが増えてくることが予想されるため、データ流出などのリスクに備えつつ安全にDXを推進するためには、ゼロトラストなどの強固なセキュリティを持ったネットワークを実現していく必要がある。
企業のDXを支える上で、その土台となるクラウド環境を安全に提供するためにも、ゼロトラストセキュリティは重要な役割を果たせると言える。

ゼロトラストセキュリティモデルを実現するための方法

"ゼロトラストセキュリティモデルを実現するための方法|ソフトバンクのビジネスWebマガジン「Future Stride」"

EPP (Endpoint Protection Platform)

EPP(Endpoint Protection Platform)とは、エンドポイントとなる端末を各種脅威から守るためのセキュリティソリューションの総称だ。EPPを導入することで、マルウェアなどを検知・駆除してくれるため、デバイスへの脅威に対応ができる。
AIを活用したマルウェア検知エンジンを取り入れることで、既知のマルウェアはもちろん、未知や亜種といったマルウェアの検出も可能なソリューションもある。巧妙化しているサイバー攻撃への備えとなるため、ゼロトラストモデルを実現するために有効だ。

EDR (Endpoint Detection and Response)

EDR(Endpoint Detection and Response)とは、エンドポイントとなる端末が攻撃されたときにいち早く検知し、マルウェアなどを隔離したり、攻撃経路や影響範囲を特定したり、端末を復旧したりといった対応を行うソリューションの総称だ。
脅威から守ることを目的としたEPPに対し、EDRは攻撃の被害を受けたときに被害を最小化することを目的としている点が特徴だと言える。攻撃を未然に防ぐことばかりを重視していると、 被害にあった場合、発見の遅れや初動の遅れにつながってしまい、被害が拡大してしまう恐れがある。EPPで脅威から守りつつ、EDRで攻撃があった際に迅速な対応を行えるよう備えることで、ゼロトラストは強固なセキュリティを確保できる。

IAM (Identity and Access Management)

IAM(Identity and Access Management)とは、その名の通りIDとアクセス管理を適切に行おうとするセキュリティ管理体制を指し、IDによるユーザ認証に加え、デバイスのセキュリティ状態や位置情報などを確認して確実性の高い本人認証を行った上で、正しいユーザのみをアクセスさせることを目的としている。
「内外すべてのトラフィックを信用しない」と考えるゼロトラストでは、IDやパスワードが正しくとも、端末やアプリケーションのセキュリティ状況に異常がある場合などは、不正なアクセスを疑わなければならない。また、認証を通ったユーザに対しても、必要最小限の情報のみアクセスできるよう管理することも、ゼロトラストには必要だ。
正しいユーザに、適切な範囲の情報を、必要な回数だけアクセスさせるIAMの管理体制は、ゼロトラストを実現する上で、重要な鍵を握ると言える。

CWPP (Cloud Workload Protection Platform)

CWPP (Cloud Workload Protection Platform)とは、複数のクラウドサービスのワークロードを一元的に監視・保護するためのソリューションである。自社が利用している多種多様なクラウドアセットのセキュリティを集中管理することで、企業のセキュリティ統制を高めることができる。
現在、多くの企業では日常的に多くのクラウドサービスを利用しており、部署や利用用途によって個別に契約していることも多く、管理体制が複雑化し、セキュリティ統制が十分に機能していないケースが散見される。CWPPを利用することで、利用しているクラウドサービスのシステム監視や保護を一元管理できるほか、システム管理者が把握していなかったクラウドサービスの利用も検知できるため、システム管理のコストを抑え、統制の取れたセキュリティ対策を敷くことができる。
ゼロトラストを実現する上で、クラウドセキュリティの集中管理は避けては通れないため、CWPPの導入を検討すると良い。

CSPM (Cloud Security Posture Management)

CSPM (Cloud Security Posture Management) とは、複数のクラウドサービスの設定ミスやガイドライン違反がないかを継続的にチェックするセキュリティソリューションである。クラウドの設定情報やログを取得し、脆弱な設定がないか、アカウントの乗っ取りがないかなどを自動監視することができる。
CWPPでも述べた通り、多くのクラウドサービスを利用することが一般的な今、各種ルールやガイドラインに則り正しくクラウドの設定が行われているかを手動で監視することは効率的でないばかりか、脆弱性を生み出しかねない運用だと言える。
クラウドの設定管理をセキュアで効率的に行うためのソリューションとして、ゼロトラストの構築のためにCSPMの活用を検討したい。

SOAR (Security Orchestration, Automation and Response)

SOAR (Security Orchestration, Automation and Response)とは、セキュリティ運用の自動化と効率化を実現するセキュリティソリューションの総称である。米Gartner社が提唱した造語であり、「脅威と脆弱性の管理」「セキュリティ運用の自動化」「インシデント対応」の3つの機能を持つセキュリティソリューションをSOARと定義した。
入口でのみ信用評価を行う境界型セキュリティモデル以上に、ゼロトラストモデルはセキュリティに関する多くの運用・管理が発生するため、SOARのような自動化・効率化を実現するソリューションがなければ、情報セキュリティ部門に大きな負担がかかってしまう。セキュリティ運用の多くのプロセスを自動化する方法として、SOARはゼロトラストに欠かせないソリューションだと言える。

ゼロトラストネットワークをサポートする製品

"ゼロトラストネットワークをサポートする製品|ソフトバンクのビジネスWebマガジン「Future Stride」"

BeyondCorp リモートアクセス - Google

https://cloud.google.com/solutions/beyondcorp-remote-access

「BeyondCorp リモートアクセス」は、Googleが提供するゼロトラストモデルに基づくセキュリティソリューションだ。Googleが約10年にわたり社内で使用してきた実績があるソリューションであり、VPNを使用することなく、クラウドに簡単かつ安全にアクセスできる。
IDやデバイスのステータス、場所、その他の属性などに基づいてアクセス制御を行うことで、生産性を維持したまま、どこからでも安全なアクセスを実現できるほか、このようなゼロトラストモデルに基づくセキュリティ環境を数日で導入できるとうたっている。
従来のVPNを使ったリモートアクセスに代わる新しいアプローチとして、多様なデバイスや信頼されていないネットワークからの安全なリモートアクセスを実現している。

Cisco Duo セキュリティ - シスコシステムズ合同会社

https://www.cisco.com/c/m/ja_jp/duo.html

「Cisco Duo セキュリティ」はシスコシステムズ合同会社による、ゼロトラストセキュリティプラットフォームである。
シスコでは「あらゆるユーザとデバイス」「あらゆるアプリ」「あらゆる場所」の3領域をゼロトラストの保護対象と考えており、Cisco Duo セキュリティは「あらゆるユーザとデバイス」がアプリケーションにアクセスする際の、ユーザ認証とデバイスの信頼性を評価するソリューションに当たる。社員ではないゲストユーザや、社員が利用する会社支給ではないデバイスでも認証と評価を行うことで、安全にアプリケーションにアクセスできる。
その他、シスコでは「あらゆるアプリ」のためのゼロトラストとして「Cisco Tetration」を、「あらゆる場所」のためのゼロトラストとして「シスコのセキュアなネットワーク」を提供しており、Cisco Duo セキュリティと連携させることで高度なゼロトラスト環境の構築が可能だと言う。

参考リンク:シスコ ゼロトラストセキュリティ カタログ

Zscaler™プライベートアクセス – ソフトバンク株式会社

https://www.softbank.jp/biz/security/zpa/

「Zscaler™プライベートアクセス」とは、ソフトバンク株式会社が2019年10月から提供開始したリモートアクセスソリューションである。ゼロトラストセキュリティモデルに基づくSDP (Software Defined Premiter) アーキテクチャにより、柔軟なアクセスポリシーの適用、セキュリティレベルの向上、シンプルかつ短納期の展開を可能とし、企業のリモートアクセス環境を大幅に向上させる。
「Zscaler™プライベートアクセス」はクラウドで提供されるため、ユーザはハードウェアのインストールやメンテナンスが必要ない。既に利用しているSSO(シングルサインオン)サービスとの連携や、ユーザデバイスのディスク暗号化設定や証明書有無などを判定した情報へのアクセス許可のコントロールが可能だ。
また、各デバイスの動きはリアルタイムで監視できるため、インシデントが起きた際にも迅速に対応が可能となる。初めてゼロトラスト環境を導入した企業でも適切な運用が行えるよう、ソフトバンクならではの独自サポートである「専門スタッフによる24時間365日のサポート体制」も完備している。

"Zscalerプライベートアクセス 利用イメージ図|ソフトバンクのビジネスWebマガジン「Future Stride」"

引用元)Zscaler™プライベートアクセス|ソフトバンク

ゼロトラストネットワークを実現した事例4選

"ゼロトラストネットワークを実現した事例4選|ソフトバンクのビジネスWebマガジン「Future Stride」"

21st Century Fox

米21st Century Foxはメディア事業を行う企業として、映画、ライブ、スポーツなど多種多様なコンテンツを世に送り出しているが、これらのコンテンツは21st Century Fox単体で作り上げているのではなく、多くの協力会社が関わることで作られている。
例えば2017年公開の『猿の惑星:聖戦記』では、200以上もの協力会社が製作に関わったというが、これだけの関係者をネットワークに接続させれば当然セキュリティリスクは極めて高いため、21st Century Foxではゼロトラストセキュリティモデルを採択した。
21st Century Foxではゼラストモデルに基づき、誰がどのシステムにアクセスしたかの記録、多要素認証、2段階認証などを、ユーザの業務効率を落とさない仕組みで導入し、ゼロトラストの先進的な事例として注目を集めた。

auカブコム証券株式会社

auカブコム証券株式会社はオンライン証券サービスを提供してきた企業である。企業内部には重要な個人情報や口座情報などが数多く存在しており、セキュリティ対策は大きな課題の一つであった。auカブコム証券はバックエンドからフロントエンドまでシステムを内製化しており、社員がいつでもどこでも安全に、オフィスと同等の環境で仕事ができることを目指し、ゼロトラストセキュリティを推進してきた。
auカブコム証券では、Microsoft、Splunk、Akamai Technologiesの3社のソリューションを組み合わせ、高度なゼロトラストセキュリティを実現している。多くのツールを導入し、高度なゼロトラストネットワークを構築した企業は日本にはまだ少なく、国内の先進的な事例として注目を集めている。

株式会社ZOZO

ファッション通販サイトZOZOTOWNを運営する株式会社ZOZOは、子会社のZOZOテクノロジーズで2019年8月からテレワークを始めたことに伴い、ゼロトラストセキュリティの実現を進めてきた。
ZOZOテクノロジーズは、Microsoftが提供するゼロトラストツール「Azure Active Directory (AD) Premium」や「Microsoft Intune」のほか、「Microsoft 365 E5」に含まれるEDRツール「Microsoft Defender Advanced Threat Protection」などを利用して、アクセス管理や社内端末の保護を行っている。
ZOZOではゼロトラストセキュリティの実現に伴う管理部門の負担増を抑えるため、ゼロトラストに関わる全てのツールをMicrosoft社で統一し、管理の一元化と効率化を図っているという。

株式会社ヴィレッジヴァンガードコーポレーション

株式会社ヴィレッジヴァンガードコーポレーションは「遊べる本屋」をキーワードに、書籍、SPICE(雑貨類)、ニューメディア(CD・DVD類)を融合的に陳列して販売する小売業で、全国350店以上の店舗を展開している。
ヴィレッジヴァンガードコーポレーションでは、社内のIT基盤全体のクラウド移行を進めており、「Microsoft Office 365」や「Microsoft Azure」などの活用が積極化する中、処理量の面でもセキュリティの面でもオンプレミス型のセキュリティ対策に限界が来ていた。
その中でクラウド型セキュリティサービスとして、国内外で評価が高かった「Zscaler™インターネットアクセス」の採用を検討し、PoCを実施した上で機能と価格の両面に納得し、導入を進めた。
「Zscaler™インターネットアクセス」は、インターネットアクセス時のパフォーマンス低下がないことに加え、ポリシーをユーザ・グループ単位ごとに柔軟に割り当てられ、日本語対応の管理コンソールが扱えるため、本社や支社、多くの店舗などから、日々大量のアクセスを多様なデバイス経由で送る際の、セキュリティと効率が改善されたという。

まとめ

2020年は企業や従業員にとって働き方の変化が求められた年だった。この急激な変化を受けて、多くの企業でDXが急速に進み始めている。DXが進めば進むほど、従来のセキュリティの考え方では対応しきれない部分が増えてくる。2020年9月、政府も行政のデジタル化に伴うサイバーセキュリティ対策にゼロトラストモデルの導入を検討していることが発表された。今後、ゼロトラストの考え方がセキュリティのスタンダードになっていくだろう。
DXを推進し、生産性と競争力を強化して安定した企業経営を実現するために、ゼロトラストモデルへのシフトを検討したい。