ゼロトラストとは？

ゼロトラストとは、2010年に米国の調査会社「Forrester Research社」によって提唱された比較的新しいセキュリティ概念です。

近年ビジネスにおけるIT環境の進化につれて顕在化しつつある、従来型セキュリティ対策の弱点を補う手法として注目されています。

（１）ゼロトラストの考え方

ゼロトラストとは、「すべてを信用しないことを前提に、あらゆる通信の安全性を都度検証する」という考え方のセキュリティモデルです。

従来は、ネットワークの内部と外部（社内と社外）に境界を設け、「社内は安全」「社外は危険」という区別をするのが一般的でした。

しかし、ゼロトラストでは、たとえ境界の内部（社内）であっても「信用がゼロ」の状態から都度安全性を検証し脅威を防ぎます。

（２）従来のセキュリティモデルとの違い

従来中心となっていたセキュリティモデルは「境界型セキュリティモデル」と呼ばれています。

境界型のセキュリティモデルの特徴は、文字通り「ネットワークに境界を設け、外部の脅威から内部にあるデータを守る」というものです。

つまり「社外は危険だが社内からのアクセスはすべて安全」と判断する手法になります。

ただし、「境界の内と外」で切り分けて安全性を判断する境界型モデルの考え方は、重大な欠点が存在します。

外部からの脅威を抑えられても境界の内部に侵入した脅威には弱く、侵入してしまった脅威からデータを守れないことです。

しかし、ゼロトラストは内部からのアクセスでも信用せず都度安全性の検証を行います。外部からの脅威を防ぐだけでなく、内部に侵入した脅威に対しても対策が可能です。

境界型モデルの欠点をカバーでき、より高いセキュリティレベルを保てることが境界型モデルとの大きな違いになります。

注目されている理由

次に、ゼロトラストがなぜ近年注目されるようになったのか、その理由について説明します。

ゼロトラストが注目されるようになった理由は以下の３つです。

・クラウドサービスの利用増加
・テレワークの増加
・情報漏洩の多発

それぞれの理由について、以下に詳しく見ていきましょう。

（１）クラウドサービスの利用増加

まず、クラウドサービスの普及が進み、利用が増加していることがゼロトラストが注目される理由の一つです。

近年、自社のシステムにクラウドサービスを利用している企業が増加しています。

総務省の調査によると、クラウドサービスを利用している企業の割合は2020年で68.7%まで増加したということです。

参考：総務省 令和3年版情報通信白書 | クラウドストレージの利用動向

クラウドサービスは、企業のDX化やテレワーク促進を進める上で欠かせない存在と言えるでしょう。

しかし、クラウドサービスの利用により、企業が守るべきデータが社外にも分散するようになりました。

結果として、従来一般的だった「企業が守るべき情報資産は社内ネットワークにある」という概念が崩れつつあります。

境界で安全性を区別していた境界型モデルの考え方は意味をなさず、従来の手法では十分なセキュリティ対策ができなくなってきているのです。

上記のような背景が、ゼロトラストが注目を集めている一因となっています。

（２）テレワークの普及

新型コロナウイルスの影響で、テレワークの増加もゼロトラストが注目される理由の一つです。

テレワークは、境界型モデルで「外部」と定義されている環境で業務を行います。

さらに、テレワークの普及に伴い、社外で直接インターネットに接続するスマートフォンやタブレットなどのデバイスを使用する機会も増えています。

働き方の多様化により、境界型モデルの手法では安全性が不安視され始めたことも、ゼロトラストが注目される理由の一つです。

（３）人的な情報漏洩の多発

近年、内部からの情報漏洩が多発していることもゼロトラストが注目される理由に挙げられます。

会社が許可していないシステムやデバイスを従業員が勝手に使用する「シャドーIT」や、退職者の内部不正による情報漏洩が問題視されています。

しかし、境界を設けて外部の脅威から内部を守る手法の境界型モデルでは、内部からの脅威には対応できません。

上記のような内部からの情報漏洩が増えていることも、ゼロトラストへの関心や注目を高めることにつながっています。

ゼロトラストのメリット

次に、ゼロトラストを実現した場合には、企業の情報セキュリティにどのようなメリットがあるのかについて説明します。

ゼロトラスト実現のメリットは以下の3つです。

・セキュリティレベル向上
・クラウド化の促進
・コストの削減

上記のメリットについて、以下に詳しく見ていきましょう。

（１）セキュリティレベルの向上

まず、ゼロトラストセキュリティの実現により、セキュリティレベルが大きく向上することがゼロトラスト実現のメリットです。

ゼロトラストの手法では、アクセス単位で認証や検証を行い監視が強化されるため、脅威にさらされる可能性は低くなるでしょう。

内部からのアクセスに対してもアクセス権限を付与するといった対策ができ、不正アクセスを未然に防ぎやすくなります。

さらに、たとえ脅威の侵入にあったとしても、早期に発見し処置をすることで被害を最小限に抑えられます。

内部に侵入した脅威への対策ができない境界型モデルと比べ、高いセキュリティレベルを確保できるでしょう。

（２）クラウド化・テレワークの促進

ゼロトラストの実現により、企業のクラウド化やテレワークの促進が図れることもゼロトラスト実現のメリットです。

テレワークやクラウドサービスの導入により、社外からのアクセスや社内から外部へアクセスするケースも多いでしょう。

ゼロトラストは社内外に関係なく認証を行い、許可された端末から利用可能となる手法です。

頻繁に社内外を介したアクセスが発生するテレワークやクラウド化におけるセキュリティ対策として有効です。

時代に合った多様な働き方の実現、DX化を進めるためにも、ゼロトラストへの移行は必須と言えるでしょう。

（３）コストの削減

境界型セキュリティモデル構築にかかっているコストの削減が可能なことも、ゼロトラスト実現のメリットの一つです。

社内LANを構築するVPNは、テレワーク普及でキャパシティオーバーによる速度低下やアクセスができない状況が発生し問題になっています。

問題を放置すれば業務に支障が出かねませんが、VPNルーターなどのハードウエアを増築する場合は初期費用などのコストがかかります。

ゼロトラストセキュリティの実現により、VPN増築にかかる費用を抑えコスト削減につながるでしょう。

ゼロトラストのデメリット

ゼロトラスト実現にはメリットも多くありますが、デメリットも存在します。

ゼロトラストのデメリットは以下の2つです。

・ランニングコストの発生
・業務効率の低下

上記2つのデメリットについて、以下に詳しく見ていきましょう。

（１）ランニングコストの発生

ゼロトラストの実現には、EDRやMDMといった複数の管理システムやツールの導入が必要になり、導入による運用コストが発生します。

また、境界型モデルからのゼロトラストへ移行にあたり、従来のセキュリティと重複する期間が発生するケースが多いでしょう。

重複期間には両方の費用がかかるため、一時的にコストが割高になることも想定する必要があります。

（２）業務効率の低下

ゼロトラストでは、アクセスを監視、都度検証や認証を行い許可や制限を判断するため、運用の工数が増加する点がデメリットです。

また境界型モデルからの移行には、運用体制の見直しから行う必要が出てきます。

一旦環境の構築をしても運用後に見直しが必要になるなど、一時的に業務効率が低下することが予測されます。

段階的に移行を進める長期的な取り組みが必要ですが、その間には生産性や業務効率が低下することを想定する必要があるでしょう。

ゼロトラスト実現のポイント5つ

次に、ゼロトラストセキュリティを実現するためのポイントを紹介します。

ゼロトラストの実現には決められた方法はありませんが、以下のような点を抑えておく導入計画を立てると良いでしょう。

・クラウドの可視化と分析
・デバイスセキュリティ（エンドポイントセキュリティ）
・端末管理
・ID管理
・認証・認可

それぞれのポイントについて、次の項目で詳しく見ていきましょう。

（１）クラウドの可視化と分析

クラウドサービスの利用には、不正アクセスや内部不正による情報漏洩が懸念されます。

利用状況の可視化、データの監視、持ち出しや改ざん検知などで、リスクの回避や防止を図ると良いでしょう。

ソリューションとしては、CASB（Cloud Access Security Broker）のような複数サービスを一括して管理できるシステム導入が役立ちます。

（２）デバイスセキュリティ（エンドポイントセキュリティ）

デバイスセキュリティ（エンドポイントセキュリティ）の導入もゼロトラスト実現のソリューションの一つです。

「エンドポイント」とは、ネットワークの末端、つまりパソコンやスマートフォンなどネットワークに接続するデバイスのことを表します。

エンドポイントセキュリティのソリューションには、「EDR」と「EPP」の2種類があります。

EDR（Endpoint Detection and Response）は端末を監視し、不審な挙動を検知、管理者へ通知し早期の復旧を支援するシステムです。

EPP（Endpoint Protection Platoform）は、エンドポイントに侵入するマルウェアなどの脅威を検知・駆除を行うシステムでになります。

エンドポイントには、EPP・EDRによる二重のセキュリティが有効です。外部の脅威から防御するだけでなく、内部侵入した脅威にも素早く対応できます。

EPPとEDRの機能を備えたものなど、エンドポイントセキュリティ製品はさまざまな製品が提供されています。

機能やコストを比較しながら、自社に合ったツールの導入を検討すると良いでしょう

（３）端末管理

端末管理の強化もゼロセキュリティ実現のポイントの一つです。端末管理にはMDMの導入が役立ちます。

MDMとは「Mobile Device Management」の略で、モバイル端末の一元管理が可能な手法やシステムのことです。

テレワークの普及でモバイル端末の利用シーンは拡大しています。

モバイル端末はビジネスの効率化や生産性アップに必要な存在と言えますが、紛失・盗難などの情報漏洩リスクも高いです。

MDMには以下のような機能があり、さまざまなセキュリティリスク防止に役立ちます。

・使用状況のモニタリング
・遠隔操作によるデータの削除
・GPSを使った位置情報の取得
・アプリケーションの利用制限

MDM製品は数多くありますが、クラウドで簡単に導入できるものを選べばスムーズに導入を進められるでしょう。

（４）ID管理

ID管理の強化もゼロトラスト実現に重要な役割を果たします。ID管理にはIDaaSの導入が有効です。

IDaaSは「IDentity as a Service」の略で、さまざまなIDをクラウド上で一元管理できるサービスを言います。

近年、業務で使用するアプリケーションは増加傾向にあり、アカウント管理が負担になっていることが問題になっています。

しかし、社内で利用しているアカウントを適切に把握・管理できていないと、内部不正やなりすましによる不正ログインなどの原因になりかねません。

IDaaSには以下のような機能があり、管理の効率化や不正アクセスなどによる情報漏洩防止を実現できるでしょう。

・ID管理・連携
・多要素認証やシングルサインオンなどの認証機能
・アクセスコントロール
・ログレポート

IDaaS製品も数多く提供されていますが、例えば弊社が提供する「メタップスクラウド」は、IDaaSに加えSaaS管理の機能も備えています。

複数のSaaSを導入することにより、セキュリティレベル向上や管理の効率化を実現できるでしょう。

（５）認証・認可

ゼロトラストは、すべてのアクセスを監視し、都度認証を行うという考え方です。

多要素認証やアクセス権の設定など、適切な認証、認可を行わなければ、あらゆる端末やユーザーがデータへアクセス可能になります。

すると、不要なアカウントの削除漏れなどによる内部不正やウイルス感染などによる情報漏洩につながりかねません。

認証・認可のソリューションとしても、IDaaSの導入が有効です。

まとめ

近年働き方や業務に使用するデバイスが多様化している影響で、ゼロトラストの考え方によるセキュリティモデルが注目されています。

従来一般的だった境界型モデルではもはや脅威に対応できなくなりつつあり、ゼロトラストモデルへの移行は必須と言えます。

ゼロセキュリティを実現するソリューションは複数ありコストや工数も発生しますが、計画を立て段階的に移行を進めていくと良いでしょう。