IT セキュリティに関わる人であれば、最近「ゼロトラスト」という言葉を耳にする機会が増えていると思います。「ゼロトラスト」は、IT の利用の仕方や脅威の性質が変化していく中で、適切に IT セキュリティを守る環境を作っていくために有用な考え方です。企業規模の大小にかかわらず、今後の IT セキュリティを考える上で、ゼロトラストは重要な基礎になります。この記事では、ゼロトラストとはどのような考え方なのか、そして、中小規模の企業がゼロトラストを指向したセキュリティ環境を作っていく上で、できることについて紹介します。
Cisco Blog ゼロトラスト考察関連
[1] ゼロトラスト考察 – NIST SP 800-207 (Draft2)
[2] ゼロトラスト考察 – Forrester Zero Trust eXtended (ZTX)
[3] ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020
[4] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 1
[5] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 2
[6] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 3
ITとビジネスの変化に対応するために生まれた「ゼロトラスト」
ゼロトラストとは、アメリカのフォレスターリサーチ社が 2010 年に提唱した「すべてを“信頼しない”」を前提にアクセス方法を再考した、新しいIT セキュリティの考え方です。
より本質的な捉え方としては「IT システムやサービスへアクセスしようとするユーザを正しく信頼し、適切にアクセスさせるための一連の方法論」であるとも言えます。
話を分かりやすくするために、従来のITセキュリティモデルとゼロトラストとの違いを考えてみましょう。これまで多くの企業が採用してきた IT セキュリティのモデルは「境界型」と呼ばれるものです。
これは、企業が管理しているネットワークに社内と社外とを隔てる「境界」を設け、その境界で認証し、不正アクセスや脅威の社内への侵入を防ぐという考え方です。そして、一度チェックを通過した対象(ユーザやデバイスなど)は「信頼」され、基本的に境界の内側にある多様なリソース(アプリケーション、データ、ネットワークなど)に自由にアクセスすることができます。
この考え方は、すべての社員がオフィスに出社し、社内のシステムだけを利用するような、社内と社外の区別が分かりやすかった時代には有効なものでした。しかし、現在のセキュリティを取り巻く状況はより複雑なものになっています。
たとえば、以下のような点が挙げられます。
・社員が業務に利用するシステムとして、社内のものだけでなく、外部のクラウドサービスも広く活用されるようにビジネス形態が変化した。
・1人のユーザが複数の端末を使い分け、さまざまな場所やネットワークから、業務に関わるシステムやデータにアクセスするようにビジネス形態が変化した。
これは特に、感染症の世界的流行がきっかけとなり、オフィスに出社しないで業務を進めるために、これまでアナログで行われていたような「ワークフロー」や「会議」などのデジタル化、リモートワーク化も一気に進むことになりました。
こうした変化によって、企業が利用する IT 環境に、社内と社外の分かりやすい境界がなくなりつつある現在、従来のような「境界型」によるセキュリティ対策だけでは、企業が保有するシステムや重要なデータを、適切に守ることができなくなっているのです。「ゼロトラスト」は、そうした変化に対応するために登場した考え方だと言えるでしょう。
ゼロトラストの目指すこと、企業にとってのメリット
ゼロトラストでは、ネットワークの内外を区別せず、特定のリソースに対してアクセスを求めるユーザや端末のすべてに対し、そのつど資格の確認と評価を行います。そして、アクセスが認可された場合には、必要最小限の特権を与えることを基本的なルールとしています。そうすることで、境界でのチェックをパスしたことによる「暗黙の信頼」を排除して、個別のリソースへのアクセスを適切に管理することができるというわけです。
こうしたゼロトラストのコンセプトを利用し、企業のITセキュリティを守っていくための取り組みのことを「ゼロトラスト・アーキテクチャ(ZTA)」と呼びます。
企業がゼロトラストの考え方を取り入れるメリットは、セキュリティレベルの大幅な向上です。ZTA の取り組みは、伝統的な「境界型」のアプローチだけでは防ぎきれない、さまざまなリスクへの有効な対策になり得ます。
たとえば、利用デバイスの状況や場所、時間といった複合的な属性に基づいてアクセスの認可を行うので、社内の人間による意図的、あるいは意図しない、不適切なデータへのアクセスや外部への流出を防ぐことができます。また、社内のネットワークをなるべく細かい単位ごとに分けて管理するので、社内ネットワークを通じて感染を拡大し、複数のシステムを利用不能にするようなマルウェアによる被害を、最小限に留めることができます。
ゼロトラストを指向した環境を実現することは、大企業はもちろん中小企業など比較的規模が小さな組織でも重要です。クラウド活用やリモートワークの導入といった IT を取り巻く環境の変化は、あらゆる規模の組織で起こっているためです。
企業がゼロトラストを実現していくための 3 つのアプローチ
では、企業がゼロトラストを指向した環境を実現していくためには、どのようなことが必要なのでしょうか。
ゼロトラストという考え方が最初に提唱されたのは、冒頭で述べたように 2010 年です。それから約 10 年の間にコンセプトは洗練され、2020 年には米国国立標準技術研究所(NIST)が「ゼロトラスト・アーキテクチャ」と題した、各関係団体の標準的な解釈を取り入れた技術文書(NIST SP 800-207)を公開しました。現在は、この文書がZTAに関する事実上の標準的ガイドラインとして参照されています。ここで紹介されている以下の3つのアプローチを元に紹介します。
1.拡張 ID ガバナンス
2.マイクロセグメンテーション
3.ネットワークインフラと SDP(Software Defined Perimeters)
1.拡張IDガバナンス
「拡張 ID ガバナンス」は、ZTAを実現していく上での中心的なアプローチです。従来のような「ID」と「パスワード」の組み合わせだけでなく、利用デバイスの状態(セキュリティパッチの適用状況など)や、場所・時間・経由しているネットワーク・要求の内容といった多様な属性を組み合わせて、随時、その ID の信用度(トラストレベル)を算出し、アクセス可否を決められる仕組みを導入するというものです。
理想としてはそうした判断がアクセス要求のたびに行われるべきなのですが、実用性や現在利用している ID 管理システムの機能面での限界などから、とりわけ中小企業などでは実現が難しいケースも多いかもしれません。まずは現状で ID 管理の仕組みが分散しているようであれば、その統合を検討し、ポリシー設定などを活用して「暗黙の信頼」が生まれにくい仕組みを作ることから始めましょう。
2.マイクロセグメンテーション
「マイクロセグメンテーション」は、ネットワークのセグメント分けをできる限り小さくし、その中にリソースを配置することで「必要最小限の特権」を付与しやすくするアプローチです。これは、スイッチ、ルータ、エンドポイント(ネットワークにつながっているパソコンやスマートフォン端末)の設定を変えることでも実現が可能です。従来の境界型アプローチで「オフィス単位」や「事業部単位」で大きく区切っていたセグメントを、含まれるリソースの観点で、より小規模なものに変更します。
メリットとしては、既存のネットワーク機器の設定を見直すだけで、ある程度の実効性が見込める点があります。特に新たな技術やソリューションの導入を必要としないため、コストと運用の両面で、中小企業においても取りかかりやすいアプローチと言えます。
3.ネットワークインフラとSDP(Software Defined Perimeters)
「SDP(Software Defined Perimeter)」とは、アクセス制御を社内・社外という物理的な境界で行うのではなく、ソフトウェア上で行う仕組みのこと。ソフトウェア上に境界を作成し、ソフトウェアによる動的ネットワーク設定を行うことで、ネットワークを経由したさまざまな脅威に対する防御を可能にします。
中小企業がゼロトラストを実現するには、「ロングジャーニー」を想定
ゼロトラストの実現には、旧来のセキュリティに対する考え方を更新した上で、既存のIT環境全体を新しいものへと作り替えていくことが必要です。しかし、現状では「これさえあれば完全なゼロトラスト体制が実現できる」というような単一のソリューションは存在していません。
現状では、ほとんどの組織にとって、それは短期的なプロジェクトではなく、長期スパンでの取り組みになるはずです。フォレスターリサーチ社でゼロトラスト拡張フレームワークの策定に関わったチェイス・カニンガム博士も「Cisco Secure Insights Summit」での講演で「ゼロトラストは、長いサイクルによる複数の手段で成り立つものであり、今後数十年にわたる“ロングジャーニー”になるだろう」と述べています。
それを踏まえつつ、大切なのは完全なゼロトラストを目指すのではなく、まず、自社のユーザやデバイス、利用しているアプリケーション、ワークフローの状況を把握した上で、ゼロトラストのコンセプトに基づいた青写真を描くこと。そして、可能な部分から一歩ずつその理想に近づけていくことです。
ゼロトラストは今後、IT 活用で競争力を高めたいと考える、すべての企業にとって必要なコンセプトとなります。まずは自社の現状を正しく把握するところから始め、ゼロトラストをいつ、どの部分に取り入れていくか、長期的なプランを作っていきましょう。
関連記事
まずは多要素認証(MFA)から。リモートワークにおいて必要なセキュリティ対策とは?
自社にあった方法はどれ?多要素認証(MFA)ソリューション選びのポイント
現代のセキュリティ問題を解決する「SASE」。導入する前に知っておきたいこと
【セキュリティ用語入門】EDR とは?主要な機能、EPP や XDR との違いも解説
【セキュリティ用語入門】SASE(サッシー)とは?概念や構成する要素を解説
【セキュリティ用語入門】多要素認証(MFA)とは?概要やメリット・デメリットを解説!
【セキュリティ用語入門】ゼロトラストとは?概要やメリットなどを解説!
Cisco Blog ゼロトラスト考察関連
[1] ゼロトラスト考察 – NIST SP 800-207 (Draft2)
[2] ゼロトラスト考察 – Forrester Zero Trust eXtended (ZTX)
[3] ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020
[4] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 1
[5] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 2
[6] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 3