改めて、「ゼロトラスト」って理解できていますか？

作成日：2024/01/31

改めて、「ゼロトラスト」って理解できていますか？

いまさら聞けない？「ゼロトラスト」とは

今や、セキュリティー関連の話題では常識のように語られる「ゼロトラスト」というキーワード。
しかし、このセキュリティーとは真反対の「ゼロトラスト」＝「信頼ゼロ」という言葉、本当はどういうことなの？と思っている方も少なくないでしょう。

セキュリティーで使われる「ゼロトラスト」、正しくは「常に信頼せず、確認しろ」という意味です。
と、言われても、まだよくわかりませんね。
何を信頼しないのか、何を確認するのか。
それを理解するには、「ゼロトラスト」に対する従来の「境界型セキュリティー」のおさらいが必要です。

「境界型セキュリティー」＝「壁の内側なら常に安全」という考え方

従来型の企業ネットワークセキュリティーは「境界型セキュリティー」と呼ばれています。
つまり、LANをファイアウォールなどの強力なセキュリティー機器によって作られた「壁」で守ることで、その内側からは常に安全にネットワークにアクセスできることが保証されている、という前提です。

リアルな会社でイメージすると、会社の入り口に守衛さんがいて、社員証を見せると社内に入れてもらえますが、社員証を提示できないと入れてもらえないのと同じです。
代わりに、社内に入ってしまえば、社員として「信頼」され、さまざまなリソース (オフィス、会議室などなど) にアクセスできる状況になります。(もちろんカードキーなどで入室が制限される場合もありますが)

以前のように、社員全員が出社して、社内の安全なネットワーク経由でLANやインターネットにアクセスできる状態であれば、「境界型セキュリティー」で問題ありませんでした。

Active Directory (以下、AD) を導入している会社なら、PCからADに一度ログインすれば、アクセスが許可されているサーバーやプリンターなどのリソースに自由にアクセスできるというイメージです。

しかし、クラウドサービスやテレワークの普及・拡大に伴って、必ずしもアクセスする先が社内ネットワークでなくなり、そもそも社内で仕事をするとは限らなくなると、壁の内側を守る「境界型セキュリティー」ではセキュリティーが担保できなくなってきました。

そこで登場したのが「ゼロトラスト」という考え方です。

「一度の確認で信頼するのは一度だけ。都度、都度確認する」

ゼロトラストは、社内・社外のネットワークを区別しない前提で考えられています。
つまりユーザーが社内であろうが、社外であろうが同様のセキュリティーを担保することを求められます。

そのために、次の3つの基本原則に基づいたセキュリティー対策を行っています。

1. 「ゼロトラスト」の原則
   すべてのアクセスを常に信頼せず、必ず検証する
2. 「最小権限」の原則
   必要なアクセス権限のみを与える
3. 「継続的な認証」の原則
   常に認証状態を維持する

つまり、PCにアクセスするときも、PCからネットワークにアクセスするときも、ファイルサーバーにアクセスするときも、プリンターから出力するときも、クラウドサービスにアクセスするときも、新たなアクセスのたびにそのユーザーが、そのリソースにアクセスする権限を持っているのかが検証され、権限を持っていることが検証できればアクセスを許可。
そしてアクセスが終了したら、アクセス権限をはく奪する、ということを繰り返します。
まさに信頼し続けないので、「ゼロトラスト」なのです。

最近の会社でいうと、社内に入るときも、オフィスに入るときも、会議室に入るときも社員証のICカードをかざすイメージが近いでしょうか。
さらにセキュリティーが強化された企業だと、PCのアクセスにもカード認証が必要なところもありますね。

このように、常に認証を行うことで、社内外問わず、クラウドやテレワークにも柔軟に対応しつつ、アクセスに関するセキュリティーを担保するのが「ゼロトラスト」の考え方です。

「ゼロトラスト」に必要なもの

ここまでお話してきたように、ゼロトラストはアクセスする人 (ユーザー) の権限を常に管理する必要があります。
また、サイバー攻撃などで、ユーザーやリソースも動的に変化する可能性があるので、常に監視して異常を検知する必要があります。

そこで、ゼロトラストを実現するには次のような仕組みが必要とされています。

• IDaaS (Identity as a Service)
  ユーザーの認証や認可をクラウド上で提供するサービス。
• SASE (Secure Access Service Edge)
  クラウドベースのネットワークセキュリティーサービス
• UEBA (User and Entity Behavior Analytics)
  ユーザーやデバイスの行動を分析して、異常を検知する技術

IDaaS の代表的な例は以前 Azure AD と呼ばれていた、Microsoft Entra ID です。
AzureAD は AD という名前がついていたので、Active Directory のクラウド版と捉えられがちですが、実は似て非なるもので、IDを軸に、さまざまなネットワークやサービス、デバイスのアクセス管理を行うサービスです。

これらのサービス、技術はさまざまなベンダーからリリースされており、これらを組み合わせることで、ゼロトラスト環境を構築することができます。

企業に「ゼロトラスト」を導入するには

「ゼロトラスト」は従来の「境界型セキュリティー」とは全く異なる概念ですので、従来のネットワークセキュリティーの知見だけではカバーできません。
その上、進化・発展の途中でもあり、変化が激しい分野でもあります。

したがって、企業の情報システム部門だけで導入や運用を行うには、専任の担当者・チームが必要となってくるでしょう。
こうなると企業によっては手に余るものかもしれません。

そのようなとき、うまく活用したいのが、セキュリティーを含めたITインフラの構築・運用サービスです。
例えば、当社が提供する「 Cotoka for Systems 」はITインフラの調達から導入・構築・保守・運用までを支援するサービスを提供しており、この中にはセキュリティーに関するものも含まれています。

このようなサービスをうまく活用し、今のクラウド・テレワークにも対応した、新しくて高いセキュリティーを担保できるネットワーク、ITインフラを迅速に導入してみてはいかがでしょうか。

お問い合わせ