ICTシステムの設計・運用・構築 TOP
- >
私たちのサービス
- >
セキュリティ対策サービス
- >
NECフィールディングのセキュリティ紹介
- >
関連記事
- >
- ゼロトラストとは?意味やセキュリティ対策のポイントをわかりやすく解説
ゼロトラストとは?
意味やセキュリティ対策のポイントをわかりやすく解説
ゼロトラストセキュリティとは、信用がないことを前提にしたセキュリティ対策のことです。今までのネットワークセキュリティが抱える課題から、ゼロトラストセキュリティが重要視される理由やメリット・デメリットについて考えてみましょう。さらにゼロトラストの7つの原則と、実現に向けた4つのソリューションを解説しながら、導入時・運用時の注意点を詳しく紹介します。
ゼロトラストセキュリティとは
「トラスト」とは英語で「信用・信頼」の意味で、「ゼロトラスト」は「信用がゼロ」であること。「ゼロトラストセキュリティ」は、「すべて信用しないことを前提にさまざまな脅威を防ぐセキュリティ対策」を指します。
ゼロトラストは、2010年にForester Research社が提唱した考えです。社内にあるものは安全で、外部は危険であるという考えが根付いていましたが、インターネットが普及し社外で仕事する人も増えるなか、社内と社外の境界線はあいまいになってきています。そこで、ゼロトラストでは社内と社外を区別せず、守るべき機密情報や情報資産へアクセスしようとするものを「すべて信頼せず」、守っていこうとするセキュリティ対策の考え方が生まれたのです。そして、企業のセキュリティ対策がますます重要視されるいま、ゼロトラストセキュリティの注目度が高まってきています。
今までのネットワークセキュリティ
これまでのネットワークセキュリティで基本にあったのは、「Trust But Verify(信じよう、しかし確認しよう)」という考えです。これは社内と社外には境界があり、「社内は安全であり、社外は危険」ととらえる考えです。これでは、社内は安全という前提であることから、万が一社内に脅威があった場合にそれを防いだり対応したりすることができません。
それに対して、ゼロトラストセキュリティでは「Verify and Never Trust(決して信用せず、確認しよう)」を前提としています。社内と社外に境界線はなく、大切な情報資産は社内にも社外にも存在し、あらゆるものを信頼せずに、大切な情報資産にアクセスしようとする脅威から守ろうと考えます。
ゼロトラストセキュリティが重要視される背景
ゼロトラストセキュリティが脚光を浴びるようになってきた背景には、さまざまな社会や働き方の変化があります。
理由1.リモートワークの普及
新型コロナウイルスの感染予防を機に普及したリモートワーク。これまでは社員が出社して行っていた仕事を、社員それぞれの自宅から行うようになりました。当然ながら企業のさまざまな情報に社外からアクセスすることになり、それだけネットワークにおけるリスクが高まります。
JPCERT コーディネーションセンターのレポートによると、過去5年間に報告されたインターネットに関するインシデントの件数は次の通りです。
2017年 18,141件
2018年 16,398件
2019年 20,147件
2020年 46,942件
2021年 50,801件
リモートワークが広まっていった2020年や2021年に急激に増加していることがうかがえます。つまり、それだけリモートワークが起因となり、さまざまな脅威にさらされているのです。
参考:JPCERT コーディネーションセンター インシデント報告対応レポート
※外部サイトへ移動します
理由2.社外とのネット協業の増加
インターネットサービスを利用して、他社や外部組織とコラボレーションしやすくなっていることも、ゼロトラストセキュリティに注目が集まってきた背景にあります。
クラウドサービスが当たり前になるなどして、企業は他社や別の組織に仕事を依頼する機会が増えているでしょう。また、企業と企業がオンラインストレージを利用して、各種のファイルを共有することも多くなっています。そのような協業によって、セキュリティのリスクが増加しています。
理由3.IT鎖国の終焉
これまでのビジネススタイルは、社内の人間だけでプロジェクトに取り組み課題を解決するという考えが基本にありました。しかし人材不足やインターネットサービスの発展もあり、インターネットを利用して社外の人材とコラボレーションするなど、よりオープンな考え方になってきています。それまでの「IT鎖国」型から「IT開国」型のスタイルにシフトしてきているのでしょう。そこで、ネットワークについても社内・社外を問わず、セキュリティ対策を行うことが必要となってきているのです。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティを導入することのメリットは何でしょうか?
メリット1.いつでも社外から仕事できる
ゼロトラストセキュリティが導入されれば、場所を問わずに厳重にセキュリティが管理されることになり、社内であっても社外であっても安全に社内ネットワークに接続できます。すると、リモートワークなど場所を問わない働き方も安全性が高まることになります。
メリット2.セキュリティをシンプルに設定できる
これまでのセキュリティ対策では、VPNやファイヤウォールなどを用いたもので、設定が複雑になりがちでした。しかしゼロトラストセキュリティでは、どのようなアクセスであっても同様に厳しい認証を行うことになるため、そもそもの設定をシンプルにできます。
ゼロトラストセキュリティのデメリット
一方でゼロトラストセキュリティのデメリットについて見てみましょう。
デメリット1.コストと時間がかかる
ゼロトラストセキュリティはこれまでのセキュリティ対策に比べて安全性が高くなりますが、ネットワーク上のすべてのリソースをモニタリングするため、どうしても対象範囲が広くなります。そのため導入に際してコストや時間がかかり、運用面でもコストが必要となります。
デメリット2.ログインに時間がかかる
セキュリティを強化するためには、ログイン時の認証を2段階認証にしたり多要素認証を導入したりすることが必要になります。そのため社員がログインする際、これまで以上に時間を要してしまうことがデメリットとして挙げられます。
ゼロトラストにおける7つの原則
アメリカでは政府がゼロトラストの重要性について注目し議論を進めています。そこでNIST(National Institute of Standards and Technology:米国立標準技術研究所)は、ゼロトラストの定義について次の7つの原則を報告書でまとめています。
- すべてのデータソースとコンピューティングサービスはリソースとみなす
ネットワークに接続するすべてのデバイスはリソースとして認識されます。アクセスする側/される側、デバイスの規模、デバイスの性能を問わずにリソースとして認識する点が特徴です。
- すべての通信はネットワークの場所に問わず保護される
従来のセキュリティモデルでは社内ネットワークの安全性に着目しており、社内ネットワークの通信は暗黙の信頼がある前提になっていました。ゼロトラストの基本原則では、社内/社外関係なく、ネットワークの通信はすべて保護すべきとされています。
- 組織のリソースへのアクセスは、セッションごとに許可される
一度許可したセッションは一定時間記憶されることが多いですが、ゼロトラストの基本原則では、セッションが発生する都度に許可をするべき、とされています。また、アクセス時に与える権限も必要最低限の権限にする必要があります。
- リソースへのアクセスは動的なポリシーによって決定される
ゼロトラストでは、さまざまな属性をパラメータ化し、アクセスを求められる都度、ポリシーに従って許可を与えるような仕組みが求められます。リソースのリスクレベルによってアクセスルールを定める必要があります。
- 組織が保有するデバイスは、すべて正しくセキュリティが保たれるように監視する
ゼロトラストの考え方では「すべてのデバイスは基本的に信用できない」とされています。そのため、常にデバイスの監視をおこない、セキュリティ上の問題が発見された場合にはセキュリティレベルを高める対策が必要とされています。
- リソースの認証と認可は動的であり、アクセスが許可される前に厳密に実施される
従来は、ユーザ側の認証・認可は、一度認証されたらしばらくは認証結果を参照し、ユーザ側の再認証手順は不要になっていました。ですが、ゼロトラストの基本原則では、一度認証・認可された場合でも、通信の信頼性は評価され続けます。そのため、場合によっては再認証の要求を求める場合があります。
- 資産・ネットワーク・通信の状態について、可能な限り多くの情報を収集し、セキュリティ改善のために利用する
ゼロトラストの基本原則では「資産のセキュリティ状況」「アクセス要求のログ」「トラフィックの状態」を常に監視することが要求されています。これらは監視するだけでなく、監視結果を分析し、ポリシーの作成やセキュリティの改善に活かしていく必要があります。
ゼロトラストを実現させるための4つのソリューション
ゼロトラストセキュリティを実現するためには、次の4つのポイントでのセキュリティが重要になります。
ユーザ認証
ユーザ認証はユーザがアクセスするときの入口となるもの。ここで信頼できるユーザかどうか、きちんと確認することがセキュリティの第一歩です。このユーザ認証でセキュリティを強化することにより、なりすましのリスクを軽減できます。よくあるのは二段階認証、生体認証、デジタル証明書を利用した自動ログインなどです。
エンドポイントセキュリティ
エンドポイントとは、インターネットに接続されたパソコン、タブレット、スマートフォン、サーバなどのこと。これまでのセキュリティでは、このような端末は社内で使う分には保護されていましたが、ゼロトラストセキュリティでは社内と社外の境界がなく、端末でのセキュリティ強化が必須になります。例えば、社員に貸し出す端末を個別に管理する、端末の挙動を常時記録する、端末ごとのセキュリティ設定やアクセス制限をかけることなどが挙げられます。
ネットワークセキュリティ
インターネットの通信部分におけるセキュリティも重要です。入退室管理やWi-Fi認証、VPN認証、SDP認証などを行い、不正なアクセスを排除します。
クラウドセキュリティ
現代のビジネスではクラウドの利用が一般的になってきています。クラウドとは利用者がインターネットを介して、各種のデータやリソースを共有できるサービス。しかし情報漏洩やデータ消失、不正アクセスなどのリスクがあります。そこで保護すべき情報を整理して、ユーザIDと紐づけてアクセス制限をかけるなどしたセキュリティ強化が必要でしょう。また機密情報の持ち出しや改ざんがないか、監視するといったことも求められるでしょう。
ゼロトラストセキュリティにおける導入時の注意点
ゼロトラストセキュリティは安全性が高い対策ですが、対象となる領域が広範囲にわたるという面があります。そこで一度に導入を進めるのではなく、どの部分から優先的に対応していくのかスケジュールを立て、中長期の計画で考えていく必要があるでしょう。
またゼロトラストセキュリティを導入すると、それを実際に利用するのは社員です。そのため、社員に事前にゼロトラストについて説明し、なぜ導入する必要があるのか、導入すると以前に比べて業務面でどのようなメリットがあるのか詳しく説明し、納得して利用してもらうように努めるといいでしょう。
ゼロトラストセキュリティにおける運用時の注意点
ゼロトラストセキュリティは、セキュリティ面における業務の効率化を図れる一方で、企業の毎日の業務にはネガティブな影響を与える可能性もあります。例えば、それまでは一度ログインすれば利用できたのに、ゼロトラストセキュリティではログインするたびに何度も認証を求められるといったことが生じます。すると社内からは「煩わしい」といった声が生まれてくることも考えられます。
しかし業務の効率だけを考えて元に戻しては、不正アクセスなどのリスクが高まり意味がありません。そのため、社内にゼロトラストセキュリティの重要性について深く理解を求めることが大切になるでしょう。
セキュリティ対策の相談ならNECフィールディングへ
ゼロトラストの実現には、「デバイス・ピープル・ワークロード・ネットワーク・データ・可視化・分析」という7つの要件を満たす必要があります。
NECフィールディングでは、クラウドの利用ユーザをID管理し、さまざまなクラウドの利便性を上げるほか、セキュリティゲートウェイのクラウド化など、企業がゼロトラストを導入するサポートを行っています。既存環境を活用して必要な場所にだけ導入する「ハイブリッド型導入」と、全体を管理する「フルクラウド型導入」を用意しており、企業の業務環境や抱えている課題に合わせて最適な方法を提案しています。
▼NECフィールディングが考えるゼロトラスト
https://solution.fielding.co.jp/lp/zerotrust/
まとめ
「安全な場所やものはない」と考え、あらゆる脅威に備えるゼロトラストセキュリティ。以前は社内にセキュリティ対策を講じていれば安全だったかもしれません。しかし社員の働き方やネットワーク環境も変化し続けており、サイバーセキュリティの問題は年々増えています。
そこで注目を集めるのが、ゼロトラストセキュリティです。
導入にはコストや時間がかかり、導入前に社員の理解を深める必要があるといった注意事項がありますが、今後は時間や場所を問わず働く人が増えており、このようなセキュリティ対策が必要になることは間違いないでしょう。 さまざまなリスクから企業を守るために、ゼロトラストセキュリティは有効な手段になるはずです。
- 発行元:NECフィールディング編集部
-
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
お問い合わせフォーム:https://solution.fielding.co.jp/contact_form/
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。
あらかじめご了承ください。
関連するセキュリティコラムはこちら
情報セキュリティに関するおすすめ人気記事ランキング
-
- 第1位インシデントとは?意味やアクシデントとの違いをわかりやすく解説
- 近年、重大な事件となる一歩手前の出来事はインシデントと呼ばれています。このインシデントが発生すると、企業にはどのような影響が生じるのでしょうか。本記事では、インシデント管理の重要性やインシデント管理ツールを導入することによるメリットを紹介していきます。
-
- 第2位スパム(迷惑)メールとは?危険性や対策方法まで徹底解説
- 受信者の意向を無視して、一方的に大量に送られてくるスパムメール。単なる迷惑ではなく、情報漏えいやシステムへの不正アクセスのリスクをもたらします。ここでは、スパムメールの基礎知識や被害事例、特に危険なスパムメールについて解説。さらにスパムメールの見分け方と対策方法を取り上げています。
-
- 第3位スパムとは?種類や対処方法について解説!
- スパムに困っている、悩んでいる人は多くいることでしょう。その一方で、スパムとは何か知らない人もいるはずです。そこでこの記事では、スパムとはなにか、言葉の由来やスパムメールの歴史について解説します。また、さまざまあるスパムの種類の解説と、対処法についても紹介します。
NECフィールディングはお客さまのビジネスを支援するITシステムの設計・構築からその後のITシステムの運用・管理・保守までを幅広くサポートします!IT機器・システムはもちろん、それ以外の機器やNEC製品以外の機器(マルチベンダー)の対応も行なっています。
NECフィールディングは、3つの強み(技術力・展開力・ナレッジマネジメント力)を活用し、お客さまの課題や事業プランに合わせて、最適なビジネス環境をお客様と一緒に構築していきます。
47都道府県にサービス拠点を構えているため、24時間365日、いつでもどこでもスピーディにサービス提供が可能です。ITシステム(ビジネス)のことなら60年以上にわたり、常にお客さまのそばで、お客さまのさまざまな課題を解決してきたNECフィールディングまでご相談ください。
ITシステムの設計・運用・構築 TOP > 私たちのサービス > セキュリティ対策サービス > NECフィールディングのセキュリティ紹介 > 関連記事 > ゼロトラストセキュリティについて解説!
