クラウドサービスの利用が一般化しリモートワークが普及した現代において、従来のセキュリティ対策では不正アクセスなどのセキュリティリスクに完全に対応することは困難です。このような背景から、企業の情報資産を守るために不可欠な考え方として「ゼロトラスト」が注目されています。
この記事では、ゼロトラストの基本的な考え方をわかりやすく解説します。従来のセキュリティ対策との違いを明確にし、メリットやゼロトラストを実現するために必要なステップについても紹介します。
|
目次
2) 従業員の働き方改革:場所を選ばない柔軟な働き方の実現 3) システム管理者の業務改善:ITインフラ運用管理の効率化 ゼロトラストを実現するには?
|
ゼロトラストとは、「何も信頼しない、すべてを検証する」という考え方に基づき、ネットワークの内か外かを問わずすべてのアクセスを厳格に確認する新しいセキュリティモデルです。
私たちが働く環境は、クラウドサービスの普及やリモートワークの常態化などにより大きく変化しています。かつてはオフィスに出社し、社内ネットワーク経由で業務システムを利用することが一般的でした。これに対応する従来のセキュリティモデルが「境界型防御」です。「社内ネットワークは安全、社外は危険」という前提のもと、外部からの侵入を防ぐために、ネットワークの境界部分を重点的に防御する考え方に基づいています。
しかし昨今では、クラウドサービスの利用により守るべきデータは会社の外(外部ネットワーク)にも存在するようになり、さらに在宅勤務などでオフィス以外の場所からそれらにアクセスする場面が増えています。そのため、守るべき「境界」が曖昧になっており、社内ネットワークの入り口を守るだけでは、サイバー攻撃などのリスクに対応できなくなっています。
ゼロトラストは、ネットワークの内部・外部を問わず「決して信頼せず、常に検証せよ」という原則に基づき、すべてのアクセスを疑って「誰が、どの端末で、どの情報にアクセスしようとしているか」を都度厳格に確認するセキュリティの考え方です。これにより、不審なアクセスを防御し、万が一内部に侵入を許しても横展開を防いで被害を最小限に抑えます。クラウドサービスの活用や多様な働き方が広がる現代において、ゼロトラストは、変化に対応しつつ強固なセキュリティを構築するための有効な手段となっています。
会社でゼロトラストに基づいたセキュリティ対策を行うには、ID管理を中心に、多要素認証による認証の強化や端末の管理など広範囲に渡る対応が求められるため、複数のソリューションを組み合わせる必要があります。
ゼロトラストを身近な例で理解する:オフィスビルのセキュリティに例えると?ゼロトラストを理解する上で、オフィスビルへの入館とエリアごとの入退室管理をイメージするとわかりやすいでしょう。 従来の境界型防御 ビルの正面玄関(ネットワークの入り口)だけで入館証をチェックする状態です。一度受付を通過して館内に入ってしまえば、中の会議室(業務システム)や資料室(クラウドサービス)には、自由に立ち入ることができます。 ゼロトラスト すべての部屋の入り口に検問所(認証システム)が設置されている状態です。正面玄関を通過した後でも、会議室や資料室に入るたびに、その都度「本人か」「権限はあるか」を確認されます。一度ビルに入ったからといって信用せず、個々の部屋(データ)へアクセスする際にも必ず認証を行います。 |
従来の境界型防御を基にしたセキュリティモデルは、「社内=安全」という前提で設計されているため、社内ネットワークでは「誰が」「どの端末で」「どのサービスに」アクセスするかなどの厳密な検証は行われません。そのため、攻撃者は一度「入り口」を突破して社内ネットワークへ侵入すると、その後の検証を受けることなく、機密性の高い情報資産へ自由にアクセスできてしまいます。また、ウイルスに感染した私物PCや、OSがアップデートされていない端末が社内ネットワークに接続された場合、そこを起点として社内システムにウイルスが拡散されるリスクもあります。
これに対し、ゼロトラストは社外と社内の「境界」を守るのではなく、個別のクラウドサービスや社内システムごとに、誰がどの端末でどのサービスを使えるかをサービスにアクセスするたびに都度厳しく検証します。ユーザーIDに加え、アクセス元、時間などの属性を組み合わせて、都度アクセス可否を判断します。さらに、端末の状態を確認し、古いOSなどポリシーに準拠していない端末からのアクセスを防ぎ、セキュリティレベルを向上させます。
ゼロトラストではアクセスが社内か社外かを問わず、全てのアクセス要求に対して、ユーザー、デバイス、ネットワークなどのアクセス元を厳密に検証します。
これにより、従業員は働く場所(オフィス、自宅、出張先など)や使用する端末(会社支給PC、会社から許可された私物端末など)に関わらずクラウドサービスや社内システムに安全にアクセスできます。ゼロトラストで安全なクラウドサービスへのアクセスを実現することで、リモートワークなどの柔軟な働き方が可能になります。
ゼロトラストは、長期的に見ればIT部門の運用負荷を軽減し、インフラ管理の効率化に貢献します。ゼロトラストでは、アクセスポリシーを一元的に管理し、認証・認可のプロセスやインシデント発生時の対応を自動化することが可能です。さらに、すべてのアクセスログが詳細に記録され、可視化されるため、セキュリティ監査への対応が容易になり、万が一インシデントが発生した際の原因調査も迅速かつ効率的に行えます。
\ 厳密な端末認証でセキュリティ強化を実現したお客様の事例 /
一般財団法人日本情報経済社会推進協会(JIPDEC)様の事例を見る
ゼロトラストの導入を検討する際、「何か一つの製品を導入すればゼロトラストが実現できるのでは」と考える方もいらっしゃるのではないでしょうか。しかし、ゼロトラストは、特定の技術や製品のみを導入することで実現できるものではありません。「すべてのアクセスを信頼せず、検証する」には、複数の要素を組み合わせた検証・監視プロセスの確立が不可欠であり、その結果としてゼロトラストの概念に基づいた強固なセキュリティ体制を実現します。
独立行政法人 情報処理推進機構(IPA)が公開している「ゼロトラスト移行のすすめ」※では、ゼロトラストを構成する重要な要素を「ID統制」「デバイス統制・保護」「ネットワークセキュリティ」「データ漏洩防⽌」「ログの収集・分析」に分類し、それぞれに関連するソリューションを紹介しています。
そのため、ゼロトラスト・セキュリティの実現には、多岐にわたる領域のソリューションを組み合わせ、自社の状況に合わせて段階的に導入を進める必要があります。
ゼロトラスト・セキュリティを実現するための要素は広範囲にわたりますが、最も現実的かつ効果的な第一歩は「ID管理」の強化です。
ゼロトラストの本質は、「アクセスしてきた通信が、本当に許可されたユーザーや端末(デバイス)によるものか」を検証することです。つまり、「誰が(ID)」アクセスしているかを正確に特定・管理することが出発点となります。IDが正確に管理されていなければ、その後のアクセス制御やログ監視といったセキュリティ対策は機能しません。ID管理はゼロトラストの「一丁目一番地」と言えます。
特に従業員が増えている成長企業では、クラウドサービスの利用数増加に伴いID/パスワード管理が複雑化し、情報システム担当者の運用負荷が増大しています。IDaaS(Identity as a Service)などのID管理基盤を導入することで、入退社に伴うアカウント管理業務を自動化でき、セキュリティ強化と同時に情報システム担当者の業務効率化(工数削減)を実現できます。これは経営層に対して導入効果(ROI)を説明しやすいポイントです。
まずは、複数のサービスや業務システムに散在するID情報を一元的に管理する基盤(IDaaSなど)を導入します。 人事システムやActive Directory(AD)、Microsoft Entra IDのID情報をもとに、入社・異動・退職に伴うアカウントの作成・変更・削除を自動化(プロビジョニング)します。これにより、「退職者のIDが残ったまま」という重大なセキュリティリスクを排除できます。
次に、サービスにログインする際の認証プロセスを強化します。IDaaSが備えているシングルサインオン(SSO)と多要素認証(MFA)の機能を利用することで、ユーザーの利便性を保ちながらセキュリティ強化を実現できます。万が一パスワードが漏洩しても不正アクセスを防ぐ仕組みを構築します。
・シングルサインオン(SSO)
一つのIDで複数のクラウドサービスへのログインを可能にし、パスワードの使い回しを防ぐ。
・多要素認証(MFA)
パスワードに加え、スマートフォンアプリや生体認証などを組み合わせ、本人性を高めてなりすましを防ぐ。
関連記事
【初心者向け】シングルサインオン(SSO)とは?業務効率とセキュリティを両立
多要素認証はなぜ必要?パスワード認証のリスクと対策
ここがゼロトラスト運用の鍵となります。 ID管理・認証強化による「入り口の防御」に加え、侵入後の対策としてEDR(Endpoint Detection and Response)製品を導入し、IDaaS(ID管理システム)と連携します。
例えば、EDRがPC上のマルウェア感染や不審な挙動を検知した際、連携しているIDaaSが即座にそのユーザーのアカウントをロックし、クラウドサービスへのアクセスを防ぐといった自動対処が可能になります。 これにより、夜間や休日など管理者が不在の時でも、被害の拡大を最小限に抑えることができます。
一般的なIDaaSでは「認証」までしか制御できませんが、SeciossLinkなどの高度なID管理製品はEDRと連携できます。
◆SeciossLink(セシオスリンク)とは
SeciossLinkは、システムやサービスのIDをまとめて管理したり、多要素認証やアクセス制御、シングルサインオンができるクラウドサービス(IDaaS)です。ゼロトラスト製品と連携したセキュリティ強化も可能です。
ゼロトラスト導入において最も重要なのは、「一度にすべてを完璧にしようとしない」ことです。ゼロトラストは広範な領域にわたるため、いきなり複数ソリューションの導入を目指すと膨大なコストや時間がかかり、途中で挫折してしまうリスクがあります。まずはクラウドサービスのID管理や認証強化、SSO連携など、スコープを限定した「スモールスタート」を推奨します。
ゼロトラストの導入前に、まず「何のためにゼロトラストを導入するのか」という目的と、「何を最も優先して保護すべきか」という対象を明確にすることが必要です。そのために、利用しているクラウドサービスや業務に使用している端末など、会社の情報資産(顧客情報、技術データ、財務情報など)と紐づいているものを洗い出します。それぞれの重要度やリスクを評価し優先順位を付けることで、「スモールステップ」のための具体的な指針となります。
ゼロトラストとは、「決して信頼せず、常に検証する」という原則に基づき、セキュリティレベルの向上、柔軟な働き方の実現、ITインフラ運用管理の効率化といった企業の課題を解決するセキュリティモデルです。導入は、ID管理から段階的に進めるのが効果的です。具体的には、まずIDaaSを用いてID基盤の整備と認証強化を行い、次にEDRで不正アクセス後のアカウント停止などの自動対応を実現します。一度に完璧を目指すのではなく、スモールスタートで段階的にセキュリティを強化しましょう。
SeciossLinkは、ゼロトラスト導入の第一歩として最適なIDaaSです。ID管理と認証強化で強固な土台を築き、セキュリティ製品との連携により段階的にセキュリティレベルを高めることが可能です。SeciossLinkがセキュリティと利便性を両立した最適なゼロトラスト環境の実現をサポートいたします。まずはお気軽にご相談ください。
※独立行政法人 情報処理推進機構(IPA)「ゼロトラスト移行のすすめ」