2020年から話題の「ゼロトラストセキュリティ」とは何か?今さら聞けない基本的な仕組みを解説

2020年から話題の「ゼロトラストセキュリティ」とは何か?今さら聞けない基本的な仕組みを解説

クラウドサービスの普及にともない、ビジネスの分野においても製品開発や業務効率化にクラウドシステムを活かす企業が増えています。なかでも、2020年に導入が進んだテレワークはクラウドサービスなくして実現が難しい働き方といえるでしょう。

そのようななか、クラウドサービスと並んで「ゼロトラストセキュリティ」というキーワードも注目されています。今回の記事では、そもそもゼロトラストセキュリティとは何なのか、これまでのセキュリティ対策の問題点やゼロトラストと従来の対策との違いについても詳しく解説します。

急速に進むオンライン化

多くの企業が働き方改革に対して積極的に取り組むようになり、その一環としてテレワークが導入されています。また、2020年は新型コロナウイルスの感染拡大によって、テレワークの需要が一層高まることになりました。

働き方改革と新型コロナウイルスの感染拡大という複数の要因によって、あらゆるビジネスは急速にオンライン化・デジタル化が進んでいる状況にあります。このような時代においてテレワークを実現するためには、従来のようなオンプレミス型のシステムではなく、社外でも利用できるクラウドサービスが不可欠な存在となっているのです。

例えば、業務で使用するファイルデータを格納する際には、社内ネットワークからのみ接続できるフォルダではテレワークに対応できません。また、企業のホームページに記載されている内容を更新する際にも、社内に設置されたオンプレミス型のサーバーで運用していると、わざわざオフィスに出社して作業を行わなければなりません。しかし、クラウドシステムを導入していれば、インターネット環境がある場所からログインし、オフィス内と同等の作業環境でスムーズに業務を行えます。

クラウドサービスに求められるセキュリティ対策

実は、ビジネスの分野では数年前からクラウドサービスが大きなトレンドとなっており、テレワーク需要の高まりを受けさらに注目されるようになった背景があります。

ただし、ここで問題となるのがクラウドサービスにおけるセキュリティ対策の安全性です。クラウドサービスが登場する以前と以後では、セキュリティ対策の考え方がどのように変化してきたのでしょうか。

オンプレミス型システムに求められる「ペリメタセキュリティ」

従来のオンプレミス型のシステムでは、社内にサーバーを設置したうえで、社内ネットワークからのアクセスに限定するなどの運用が可能でした。そのため、ネットワーク層を中心としたセキュリティ対策を講じやすく、実際にファイアウォールなどでセキュリティ対策を行う企業も多かったのです。業務を行うのはあくまでも社内ネットワークの範囲内であり、インターネットとの境界線がはっきりしていました。このように、ネットワークの境界線(ペリメタ)に対して厳格に管理するセキュリティ対策を「ペリメタセキュリティ」と呼びます。

クラウドサービスに求められる「ゼロトラストセキュリティ」

ところが、クラウドサービスではインターネットからアクセスし利用するという大前提があるため、ネットワーク層よりも高いレイヤのセキュリティ対策が求められるようになったのです。ペリメタセキュリティとは異なり、セキュリティ対策の境界線があいまいなため、従来のセキュリティ対策方法のままではさまざまな問題が生じる可能性があります。

不特定多数のユーザーがアクセスできるクラウド環境では、ペリメタセキュリティの根底にある考え方、すなわち「社内・社外のネットワークの境界線」が定義しづらいため、信頼できるユーザーなのか個別に判断する必要があります。

また、データの格納場所も社内にあるとは限りません。「企業ネットワーク内であれば安全」という前提において運用されてきたペリメタセキュリティに対して、そのような前提を取り払い、あらゆるトラフィックおよびアクセスに対して検査を行う必要があります。このようなセキュリティ対策の考え方を「ゼロトラストセキュリティ」と呼び、クラウドサービスにおいては極めて重要なポイントといえます。

ゼロトラストセキュリティの仕組み

ゼロトラストセキュリティを実現するためには、いくつかの方法があります。今回はそのなかでも代表的なものを3つ紹介しましょう。

デバイス認証

デバイス認証とはその名の通り、PCやスマートフォン、タブレットなど、端末ごとに固有に割り当てられているMACアドレスによる認証または証明書によって、アクセス許可のあるデバイスを見分ける方法です。

証明書が発行されていないデバイスや、登録されているMACアドレスに該当しないデバイスからのアクセスがあった場合には、サーバー側でアクセスを拒否します。

WAFやXDR

クラウドサービスではファイアウォールよりも上位レイヤのセキュリティ対策を行う必要がありますが、その際に有効なのがWAFやXDRといったツールです。

WAFは「Web Application Firewall」の略称で、その名の通りネットワーク層よりも上位のアプリケーションレイヤにおける脆弱性を狙った攻撃および不正アクセスから守る役割を果たします。シグネチャと呼ばれるさまざまな攻撃パターンのリストが登録されており、シグネチャにマッチした場合に攻撃を遮断する仕組みです。

XDRは複数のレイヤおよびアプリケーションに対して、横断的にデータ収集や検知、解析を行う高度なセキュリティツールです。例えばネットワークトラフィックやゲートウェイのログ、エンドポイント検出など、あらゆるデータを収集します。それをもとにAIが解析し、セキュリティの脅威となる要素を割り出すというのが基本的な仕組みです。

UEBA

UEBAは「User and Entity Behavior Analytics」の略称で、ユーザーの不審な挙動を検知するセキュリティツールです。例えば、アクセス頻度や時間、ログイン試行回数などから、普段と異なる挙動や不審な挙動を見せたときに、二段階認証を行うといった対策が可能です。UEBAは通常時のログをもとに機械学習で判定する仕組みで、AIの技術向上とともに注目されるようになりました。

ゼロトラストセキュリティ導入のポイント

ゼロトラストセキュリティは大手ITベンダーも含めてさまざまな企業が導入を開始しています。しかし、従来のセキュリティ対策と比べて極めて範囲が広く、一朝一夕で手軽に実現できるものではありません。ゼロトラストセキュリティの導入にあたっては、入念な準備を行う必要があります。また、上記で紹介したゼロトラストセキュリティ実現の方法はあくまでも一例であり、ほかにもさまざまな対策方法やツールが存在します。

ゼロトラストセキュリティの第一歩として有効な方法は、データの格納場所と内容、アクセスするデバイス、ユーザー情報などをリスト化したうえで、誰がどのデータにアクセスできるのか、アクセス権限を決めておくことがおすすめです。

一律でアクセスを制限してしまうと、業務効率が低下するばかりかテレワークが運用できなくなる可能性もあるため注意が必要です。

注目されるゼロトラストセキュリティの今後

クラウドサービスが登場した当初、多くの企業ではセキュリティ対策に懸念を抱き、導入を見送るケースもありました。従来の社内ネットワークを前提とした運用のままでは、クラウドサービスに有効なセキュリティ対策が講じられず、セキュリティリスクが高かったことが大きな要因として挙げられます。

しかし、ゼロトラストセキュリティという考え方が浸透したことによって、多くの企業が抱えていた懸念材料は払拭され、クラウドサービスの導入に踏み切るケースも増えてきました。働き方改革が実現され、新型コロナウイルスの脅威がなくなった後の世界においては、従来のオフィスワークを中心とした働き方から激変する可能性も高いでしょう。ゼロトラストセキュリティは今後、標準的なセキュリティ対策になるとも考えられるのです。

 

参考:

関連記事