境界をなくした新しいセキュリティ概念「ゼロトラスト」

「ゼロトラスト」とはITセキュリティモデルのひとつで、文字通り信頼(トラスト)を全くしない(ゼロ)という考え方に基づくコンセプトです。「ペリメーターレス」(境界なし)セキュリティとも呼ばれます。

従来、主流となっていた「境界型(ペリメーター)」のセキュリティモデルは、ファイアウォールやIDS/IPSなどのセキュリティ機器を設置して、外部と社内ネットワークとの間に境界をつくります。その境界の中では、許可された本人であることを認証された利用者が、安全性が検証されたデバイスで、与えられた権限の範囲内でネットワークを自由に利用できる、という考え方で成り立っていました。

境界型と違ってゼロトラストモデルでは、たとえ社内ネットワークに事前に検証したデバイスが接続していてもデフォルトで信用せず、「デバイスの安全性」と「ユーザーの行動」をネットワークの場所を問わず、セッション単位で常に検証します。「何も信用せず、常に検証する」という考え方です。

境界型セキュリティとゼロトラストセキュリティの違い

境界型セキュリティとゼロトラストセキュリティの違い

ゼロトラストが注目される背景には、クラウドサービスの普及があります。クラウドサービスでは、そもそもデータやシステム、アプリケーションは社内ネットワークの外に存在します。このため「社内ネットワークだけを安全に利用する」という考え方が成立しなくなりました。

また、テレワークの急激な普及にともなうセキュリティリスクの増加も、ゼロトラストが注視される理由となっています。

働き方改革の推進により普及しつつあったテレワークは、COVID-19の影響により、出社抑制の動きが強まったことで、さらに利用が拡大しました。以前は自宅や外出先などの外部から社内ネットワークへの接続には、VPNを使う方法が一般的でしたが、VPNによる接続では情報取り扱い時のセキュリティや通信速度の問題は残るため、多くの人がテレワークを実施するには不向きです。

IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、2021年には組織に対する情報セキュリティ脅威の第3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場しました。社内と社外の境界を分ければ安心というセキュリティ対策は、テレワーク時代の業務に沿ったものではなくなっています。

さらにデスクトップPCだけでなく、ノートPCやスマートフォンなどのモバイルデバイスを使って業務を行うことも増えました。IoT機器が接続するといったケースもあり、以前は接続が想定されていなかったデバイスが使われるようになっており、これらデバイスの紛失・盗難などのリスクも高まっています。

近年では外部からのサイバー攻撃によるものだけでなく、内部不正や、マルウェアに感染したデバイスを接続してしまう、あるいは意図せずパスワードを教えてしまうといった不注意による情報漏えいも増えています。

そこで、安全圏としてゾーニングされていた境界内のネットワークや検証済みのデバイスであっても、「信頼しない」「常に検証する」というゼロトラストの思想により構築されたアーキテクチャの重要性が増しているのです。

ゼロトラストモデルでは、ネットワークの内外にかかわらず、通信経路を暗号化したり、認証を多要素化したり、通信やデバイスのログを常に監視したりすることで、外部からのアクセスだけでなく、内部からの不正アクセスや未知のマルウェアによる攻撃にも備えることが可能になります。

各国におけるゼロトラストへの取り組み

ゼロトラストという用語は、1994年、スターリング大学(英国)のスティーブン・ポール・マーシュ氏がコンピュータセキュリティに関する博士論文で発表した造語です。その後2010年になって、企業内のより厳しいセキュリティプログラムとアクセス制御を示す言葉として、「ゼロトラストモデル」が米国の調査会社Forrest Researchにより提唱されました。

2020年8月には、米国の国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」を公開。企業のセキュリティ立案者に向けてゼロトラストの定義を説明し、ゼロトラストセキュリティを具体的に展開するための指針を示しました。

NISTはゼロトラストの概念を「ネットワークが侵害されている場合でも、情報システムやサービスで、正確かつリクエストごとに判断する際の不確実性を減らすために設計された、コンセプトとアイデアの集合体」と定義しています。

NISTはドキュメントの中で、ゼロトラストの考え方を以下の7つの原則としてまとめています。

【NISTによるゼロトラストの考え方】
1. すべてのデータソースとコンピューティングサービスをリソースと見なす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 組織のリソースへのアクセスは、個々のセッション単位で許可する
4. リソースへのアクセスは、動的ポリシーにより決定する
(ポリシーにはクライアントID、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含む)
5. 組織のすべてのIT資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を動的に、アクセスが許可される前に厳格に実施する
7. IT資産、ネットワークインフラ、通信の状態について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

また、英国の国家サイバーセキュリティセンター(NCSC)も、ゼロトラストアーキテクチャを実装するためには、以下の6つの項目を考慮すべきと指摘しています。

1. ユーザーIDの単一の強力なソース
2. ユーザー認証
3. マシン認証
4. ポリシーの遵守やデバイスの健全性などの追加コンテキスト
5. アプリケーションにアクセスするための認可ポリシー
6. アプリケーション内のアクセス制御ポリシー

日本では2021年、経済産業省、IPA(情報処理推進機構)、金融庁が相次いでゼロトラストに関連する情報を発信しました。デジタル庁が発足した官公庁をはじめ、民間企業でも、ゼロトラストに真剣に取り組まなければならないという機運は高まっています。

・経済産業省「デジタルプラットフォーム構築事業報告書」
https://www.meti.go.jp/meti_lib/report/2020FY/000143.pdf
・IPA「ゼロトラスト導入指南書〜情報系・制御系システムへのゼロトラスト導入〜」
https://www.ipa.go.jp/files/000092243.pdf
・金融庁委託調査「ゼロトラストの現状調査と事例分析に関する調査報告書」
https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf

ゼロトラスト移行は働き方改革やDXの実現にもつながる

ゼロトラストを組織に導入する際には、運用のための体制づくりと、1人1人のセキュリティへの理解が重要です。ゼロトラストでは常時監視・検証することが原則となるため、運用のコストはかかります。また、認証回数が増える、アクセス制限がかかるなど、業務上の利便性が損なわれる場合もあり得ます。

ゼロトラスト運用では、業務上の効率性や利便性が損なわれないよう、プランの定期的な見直しや業務の内容に見合ったポリシーの見直し、導入したソリューションの機能が正しく、意図通りに動いているかの監視なども、継続的に実施する必要があります。

ゼロトラストセキュリティ実装の要件としては、以下の7つが挙げられます。

1. ネットワーク・セキュリティ
2. デバイス・セキュリティ
3. アイデンティティ・セキュリティ
4. ワークロード・セキュリティ
5. データ・セキュリティ
6. 可視化と分析
7. 自動化

具体的にこれらの要件を満たすための代表的なソリューションとしては、エンドポイントにおける端末監視・対応(EDR)、デバイス管理、デバイス制御(MDM)などの資産管理ツール、ネットワークにおけるリモートアクセスやインターネットアクセスなどの制御ソリューション、クラウドのID管理、アクセス制御やデータセキュリティなどのソリューション、セキュリティの監視・運用ソリューションなどが挙げられます。

ゼロトラストセキュリティを組織に取り入れることによるメリットには、まずセキュリティの向上があります。「何も信じない」「常に検証する」という姿勢を採るわけですから、情報漏えいや外部からの攻撃リスクが低減するのは当然のことと言えるでしょう。

また、クラウドサービスが安心して利用できるという利点もあります。境界線を設けないことにより、クラウドサービスだけでなく、社内環境もあわせて保護できるようにセキュリティを構築することが可能です。クラウドサービスが積極的に活用できるようになることで、業務の効率化や、社外も含めたコラボレーションの活性化も期待できます。

「あらゆるユーザー、デバイスを信用せずいつも検証する」ことにより、むしろ場所にとらわれず働くことができるようになり、柔軟な働き方を実現したり、生産性や従業員満足度を向上させたりといった効果も見込めます。

ゼロトラストへの移行は結果として、働き方改革の実現や企業文化の変革によるデジタルトランスフォーメーション(DX)の実現にもつながるのです。