ゼロトラストとは?クラウド時代のセキュリティ対策をわかりやすく解説
目次
テレワークの普及に伴いクラウド型サービスを活用する多くの企業は、新たなセキュリティリスクの増大に悩まされています。テレワーク導入で従来のセキュリティ対策では対応できないと感じ、ゼロトラストセキュリティの理解を深めたい企業担当の方もいるのではないでしょうか。
ゼロトラストとは、全ての通信を信頼しないことを前提としたセキュリティ対策です。従来型のセキュリティモデルの危険性とゼロトラストセキュリティの必要性、ゼロトラストモデルの要件を満たすシステム運用を理解することで、テレワーク環境の効率的なセキュリティ対策ができます。マネジメントサービスも手掛けるサービス事業者にも目を向け、自社リソースを圧迫せず安全にクラウド型サービスを活用しましょう。
そこでこの記事では、ゼロトラストモデルの概要と重要性、7つの要件や具体的なセキュリティソリューションについてご紹介します。
ゼロトラストとは?
セキュリティモデルは従来型のペリメータセキュリティと、近年注目を集めるゼロトラストセキュリティに大別できます。社内ネットワークの境界が曖昧になったテレワーク環境では、ゼロトラストモデルによるセキュリティ対策が必要です。まずはペリメータセキュリティとゼロトラストセキュリティの違いを見ていきましょう。
従来型のペリメータセキュリティ
ペリメータセキュリティ(境界型防御)とは、インターネットと社内ネットワークの境界(Perimeter)で実施されるセキュリティ対策です。ペリメタモデルにおいては、保護すべきデータやシステムが社内ネットワーク内にあり、攻撃は外部(インターネット)から行われるものを前提とします。
代表的なセキュリティソリューションはファイアウォールやプロキシです。社内LANとインターネットを明確に分離し、内側にあるものを信頼しつつ、境界を越えるデータにフォーカスしてセキュリティ対策を実施します。
注目が高まるゼロトラストセキュリティ
近年はクラウド型サービスやモバイルデバイスの利用増加、テレワークの普及などに伴い、ネットワークの境界が曖昧になっています。そこで注目が高まっているのは、2010年にアメリカで提唱されたゼロトラストセキュリティです。
ゼロトラストモデルにおいては、「何も信頼しない(一度認証されたものも無条件に信頼しない)」ことを前提として、あらゆるデータやアクセスを対象にセキュリティ対策を実施します。
ネットワークの内側・外側という境界ありきの発想を脱却し、あらゆる通信経路の暗号化や多要素認証による強化されたユーザー認証、ネットワークやデバイスの総合的なログ監視などを実施するセキュリティモデルです。
ゼロトラストセキュリティが重視される背景
ゼロトラストセキュリティは以下のような状況の変化に伴い必要性を増しています。
・テレワークの導入とシャドーITやBYODのリスク増大
・オンプレミス型からクラウド型へのサービス移行
・無条件の信頼による情報漏えい事故の多発
テレワークやクラウド型サービスの導入・活用に着手する全ての企業は、ゼロトラストモデルによるセキュリティ対策を推進する必要があります。
テレワークの導入とシャドーITやBYODのリスク増大
テレワークを導入すると、従来のペリメータセキュリティでは情報資産を守り切れません。働き方改革や新型コロナウイルス対策の影響で、テレワークなどの場所に依存しない働き方を取り入れる企業が増えています。
柔軟な働き方にはさまざまなメリットがある一方、企業が把握していないデバイスやアプリを業務利用する「シャドーIT」や、セキュリティ対策の不十分な「BYOD(私物デバイスの業務利用)」が増えるリスクは懸念点です。
働く場所の拡大によりネットワークの境界が曖昧になり、シャドーITやBYODのリスクも高まる中、ゼロトラストセキュリティへの移行が求められています。
【関連記事:「シャドーITとは?リスクとセキュリティ対策、導入管理すべきサービスを解説」】
オンプレミス型からクラウド型へのサービス移行
さまざまなクラウド型サービスを利用すると、ペリメータセキュリティの発想では対処し切れません。テレワークの導入拡大もあり、近年のICTサービスはオンプレミス型からクラウド型へ急速に移行している状況です。
ベンダーが提供するサービスをインターネット経由で利用することで、サービスの本体となるサーバシステムを自社で管理する必要がなくなります。保守管理の手間やコストを最小化できる上、場所やデバイスに依存せずアクセスできる利便性も魅力です。
一方で情報資産がインターネット上の複数のサーバに分散されてしまい、ネットワークやアクセスの管理も難しくなる中、ゼロトラストセキュリティへの移行が求められています。
無条件の信頼による情報漏えい事故の多発
ICT活用の拡大に伴いサイバー攻撃も多様化・巧妙化しており、ID・パスワードの窃取による不正アクセスや、マルウェアに感染したPCやVPN機器を踏み台とする大規模攻撃などが増えています。情報漏えい事故は多発しており、一度認証されたデバイスやアクセスを無条件に信頼するペリメータセキュリティでは危険です。
またアンチウイルスソフトなど従来のセキュリティソリューションは、基本的に既知の脅威を対象とするもので、未知の脅威に対応できません。ヒューマンエラーやランサムウェアの被害も重大な脅威となっている中、「何も信頼しない」ゼロトラストセキュリティへの移行が求められています。
【関連記事:「ランサムウェアの感染経路は?最新の攻撃手法や感染対策をわかりやすく解説」】
ゼロトラストセキュリティのメリットと課題
ゼロトラストセキュリティはペリメータセキュリティでは対処できない脅威から情報資産を保護します。一方で、セキュリティソリューションの仕組みやカバーできる脅威の範囲を十分に理解できず、安全とは言い難い運用になっているケースも珍しくありません。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティを実装するメリットは、まずセキュリティ強化につながることです。境界が曖昧になっているかどうかにかかわらず、ペリメータセキュリティではアプローチできない脅威に対して防御できます。
また境界が曖昧でもセキュリティを担保できることで、クラウド型サービスを積極活用した業務の推進や、パートナー企業とのコラボレーション促進につながることもメリットです。
ゼロトラストセキュリティの課題
ゼロトラストセキュリティの課題として挙げられるのは、どこから着手してよいか分からない企業が多いことです。適切なセキュリティソリューションの組み合わせが分からず、セキュリティホールを残したままになっているケースも見受けられます。
またゼロトラストモデルのセキュリティソリューションを新たに導入するコストや、認証プロセスが複雑化して利便性を損なう場合もあるなどの課題もあります。
ゼロトラストセキュリティの7つの要件
ゼロトラストモデルでは、以下7つのセキュリティ要件を満たすことが提唱されています。
・ネットワーク:不正アクセスのリスクを回避できるネットワークで機密情報を管理する
・デバイス:デバイスが企業リソースにアクセスする際、毎回の識別と認証をする
・データ:企業データの分類・隔離やアクセス制限
・アイデンティティ:ネットワークにアクセスするユーザーを特定・検証し、制限する
・ワークロード:サービスへの不正なアクセス・データ収集・改ざんを防止する
・可視化と分析:アクセスやセキュリティプロセスを監視・分析する
・自動化:各ソリューションを自動化し集中管理する
ゼロトラストモデルの具体的なセキュリティソリューション
ゼロトラストモデルは、ネットワーク・デバイス・データなど、7つの領域でセキュリティホールのないセキュリティ対策をすることを要求します。ここでは、ゼロトラストモデルの7つの要件に対応する具体的なセキュリティソリューションを、4つのカテゴリに分けて見ていきましょう。
エンドポイントセキュリティ
ゼロトラストモデルのデバイス要件については、エンドポイントセキュリティで対策します。エンドポイントとは、ネットワークに接続されたPC・スマホなどのネットワーク端末です。
テレワークの普及に伴い、エンドポイントの範囲は社内ネットワークの外に拡大しています。そこで「EDR(エンドポイントでの検出や対応)」や「MDM(モバイルデバイス管理)」などのセキュリティソリューションにより、境界ではなくエンドポイントを監視することで、マルウェア検知やデバイスの隔離などの体制を整えることが重要です。
ネットワークセキュリティ
ゼロトラストモデルのネットワーク要件については、ネットワークセキュリティで対策します。エンドポイントからインターネットを経由するアクセスを、クラウド型サービスを含めて監視・制御するソリューションが必要です。
このタイプのソリューションには、セキュアなリモートアクセスができる「ZTNA(ゼロトラストネットワークアクセス)」や、トラフィックを分析して悪意あるパケットをフィルタリングする「SWG(セキュアWebゲートウェイ)」などがあります。
クラウドセキュリティ
ゼロトラストモデルのデータ・アイデンティティ・ワークロード要件については、クラウドセキュリティで対策します。クラウド型サービスへのアクセスを、ユーザーの信頼性を確実に担保しながら制御することも必要です。
このタイプのソリューションには、各種クラウド型サービスのユーザーを統合管理するID管理ツールや、サービスの利用状況を可視化・制御するクラウドアクセス制御ツールなどがあります。
セキュリティ監視・運用
ゼロトラストモデルの可視化と分析・自動化要件については、セキュリティ監視・運用で対策します。24時間365日体制で、各種サービスの可用性を担保することも必要です。しかし多くの企業にとって、自社で運用管理体制を整えるのは現実的ではありません。
そこでサイバー攻撃の検知・分析・対策を専門とする「SOC(セキュリティオペレーションセンター)」を外部にアウトソースすることも多いでしょう。また、本来のサービスに付随する導入・管理・運用なども一括サポートする「マネージドサービス」の利用もおすすめです。
ゼロトラストセキュリティ対応型のサービス導入ならイッツコム!
イッツコムはクラウドセキュリティ対策も一本化できるコンテンツマネジメントシステム「Box」、ネットワークセキュリティの懸念点を払拭する営業支援ツール「ホットプロファイル」、エンドポイントセキュリティを強化するモバイル通信サービス「モバイル閉域接続」を提供しています。
各種サービスに付随するマネージドサービスも一括提供するため、専門のセキュリティチームのない企業でも安心です。
クラウドセキュリティ対策も一本化できるコンテンツマネジメントシステム「Box」
テレワーク環境におけるデータ・ファイルの一元管理は重要ですが、クラウドストレージサービスの中にはセキュリティやコスト、コラボレーション機能の面で使いにくいものもあります。
そこで導入したいのが、万全のクラウドセキュリティをクラウドストレージサービス単体で提供できる「Box」です。全ての有料プランは容量無制限で、ストレージ容量の追加購入に伴うコスト増加は起こりません。
7種類のアクセス権限設定や外部ユーザーの2要素認証、70種類以上のログ監視にも対応し、社内外ユーザーの安全なコラボレーションを促進します。オプションサービス「Box Shield」による未知のマルウェア検知や詳細なコンテンツ分類・アクセス制御も利用でき、ゼロトラストモデルに対応するセキュリティ機能も魅力です。
イッツコムならBoxのユーザーサポートやカスタマーサクセスを無償で利用でき、有償の導入支援・データ移行なども含め、導入から運用までワンストップでサポートできます。
ネットワークセキュリティの懸念点を払拭する名刺管理・営業支援ツール「ホットプロファイル」
営業部門もクラウド型サービスを活用し、組織的かつデータドリブンな体制に移行する企業も増えています。しかし営業部門向けのサービスを複数導入すると現場に定着しにくく、顧客情報も扱うためセキュリティの懸念点が増えるケースも少なくありません。
そこで導入したいのが、名刺管理・SFA(営業支援システム)・MA(マーケティングオートメーション)一体型の「ホットプロファイル」です。名刺のスキャンやCSVファイルの読み込みだけで社内人脈を可視化し、システム利用者全員でリアルタイムに変化する顧客情報や営業履歴にアクセスして、組織的な営業活動やメールマーケティングに対応できます。
ホットプロファイルはNASAや米国国防省も採用するAWSのプラットフォーム上で提供され、システム間の通信は全て暗号化される上、クラウドセキュリティガイドラインに準拠する運用体制であるため、ネットワークセキュリティ面でも安心です。
エンドポイントセキュリティを強化するモバイル通信サービス「モバイル閉域接続」
エンドポイントセキュリティに対応していない企業では、VPNハッキングや通信先IPアドレスの露呈による社内LANへの攻撃、ID・パスワードの傍受などに懸念があります。
これらの問題を解決するモバイル通信サービスが、イッツコムの「モバイル閉域接続」です。SIM対応デバイスに挿入した専用SIMのみで経路判別するため、VPNアプリは不要で、ID・パスワードの管理の手間も省けます。インターネットを経由しないセキュアなネットワークで通信し、攻撃者は通信の事実自体知り得ません。
登録されたデバイスのみ接続でき、通信ログも取得できるため、ゼロトラストセキュリティに対応するモバイル通信サービスとして最適です。
まとめ
テレワークやクラウド型サービスの普及に伴い、ネットワークの境界が曖昧になることで、従来型のペリメータセキュリティでは対処できない脅威が増えています。情報資産を確実に守りつつビジネスを加速するなら、ゼロトラストセキュリティに対応した適切なサービスの選定が必要です。
イッツコムはクラウドセキュリティに対応する「Box」、ネットワークセキュリティに対応する「ホットプロファイル」、エンドポイントセキュリティに対応する「モバイル閉域接続」を提供しています。ゼロトラストセキュリティへの対応とビジネスの加速の両立をお求めなら、各種サービスに付随するマネージドサービスも一括提供するイッツコムにご相談ください。
