ゼロトラストとは?
「ゼロトラスト」とは、“何も信頼しない”という考えを前提にセキュリティ対策を講じることです。
従来のセキュリティ対策は、“社内ネットワークは安全で外部ネットワークは危険”という考えにもとづき、内部と外部に境界線を引いてその境界線にのみセキュリティ対策を講じる「境界型セキュリティ」でした。
社内ネットワークの利用を許可された人であれば基本無条件に信頼され、情報にアクセスできたのです。
しかし近年は、さまざまな背景から、従来の境界型セキュリティでは対応しきれなくなってきました。
そこで注目されるようになったのがゼロトラストです。
ゼロトラストが注目されるようになった具体的な背景について、以下で見ていきましょう。
従来型セキュリティモデルとの違い
従来の境界型セキュリティでは、ネットワークの内側と外側を「境界」で分けて外側のネットワークからの脅威から守ることを目的としていましたが、ゼロトラストでは「ネットワークの内側も外側も信用しない」という考えに基づき対策を行います。
ユーザ認証についても、従来のセキュリティモデルは「一度認証を行ったものは安全である」という考えですが、ゼロトラストネットワークでは「過去に行った通信も全て信用しない」という点が前提である点も大きな違いといえます。
ゼロトラストが注目されるようになった背景
クラウドサービスの普及
近年、社内のネットワークのみならずクラウドサービスを使ってデータを管理するケースも多くなりました。
クラウドサービスを利用する場合、データの保管場所は外部です。
そのため社内・社外の境界線がなくなり、境界型セキュリティでは情報資産を守ることが難しくなったのです。
テレワークの普及
働き方改革の推進や、新型コロナウイルスの感染拡大などをきっかけに、近年急激にテレワーク需要が高まりました。
テレワークでは、社内のデバイスを持ち出したり、各従業員が個人所有のデバイスを持ったり、外部から社内システムにアクセスしたりすることが日常的に行われます。
社内ネットワークと外部との境界線が曖昧となり、従来の境界型セキュリティがそぐわなくなったのです。
内部からの情報漏えい増加
昨今、情報漏えいは、外部によるサイバー攻撃のみならず内部の者の不正やミスなどで起こるケースも増えています。
こうした背景からも、社内のネットワークに対する管理・監視の重要性が増しているのです。
ゼロトラストセキュリティソリューション
ゼロトラストのセキュリティ環境では、クラウドやインターネット、エンドポイントといった層における対応が求められます。そのため、ゼロトラストのセキュリティ環境を実現するにはさまざまなソリューションを組み合わせる必要があります。
この時活用されるソリューションとしては「エンドポイントセキュリティ」や「ネットワークセキュリティ」、「クラウドセキュリティ」「セキュリティ監視・運用」といったものがありますので、ここではそれぞれのソリューションについて見ていきましょう。
エンドポイントセキュリティ
「エンドポイント」とは、「終点」や「末端」を意味する言葉であり、ネットワークの末端に接続されているPCやモバイル端末を指しています。すなわち、「エンドポイントセキュリティ」とは、ネットワークの末端(エンドポイント)にあるPCやモバイル端末について攻撃から守ることを目的としたソリューションを意味しています。
エンドポイントセキュリティにはいくつかの種類がありますが、ここでは「EPP」「NGAV」「EDR」の3種類についてご紹介します。
EPP(Endpoint Protection Platform)
既知のマルウェアを検知することによって攻撃を阻止することを目的としたソリューションです。未知のマルウェアには対応ができない点には注意が必要です。
NGAV(Next Generation Anti-Virus)
EPPの一種ともいえるものですが、AIや振る舞い検知、機械学習などの技術が活用されている点が大きな特徴といえます。マルウェア特有の動作などをもとに不審なプログラムを検知するため、未知のウイルスにも対応が可能です。
EDR(Endpoint Detection and Response)
EDRはエンドポイントに侵入したマルウェアやランサムウェアなどの攻撃を検出し、管理者に対して通知を行います。時通知を受けた管理者は脅威の精査と分析を行った上での対応が可能になります。このように、セキュリティの脅威に対して迅速に対応を行うことを目的としている点が特徴となっています。
ネットワークセキュリティ
「ネットワークセキュリティ」とは、ネットワーク内の各種アクセス権限を設定するとともに、高いセキュリティ性を確保することを目的としているソリューションです。このネットワークセキュリティにもさまざまな種類があり、例えば下記のようなものがあります。
SWG(Secure Web Gateway)
SWGとは主にクラウドサービスとして提供されているプロキシです。プロキシはネットワークの境界上で中継を行う役割を持っており、通信を中継することで外部からのアクセスが不正なものではないか、といった確認が可能になります(プロキシは「代理」「代理人」という意味を持っています)。
また、もしクライアントが悪意のあるコンテンツやサイトにアクセスしようとしても、Webトラフィックの検証によってアクセスをブロックするため、クライアントが被害を受けないといったメリットがあります。
SDP(Software Defined Perimeter)
ソフトウェアを用いてネットワークの境界を仮想的に実現することを目的としたソリューションです。SDPはVPNと比較されることが多いものの、この2つにはさまざまな違いがあります。例えばVPNではネットワークの接続前に1度だけ認証が行われるのに対し、SDPは接続前後と通信中の3段階の検証・認証が実施されます。
さらに認証方法については、VPNは単一要素認証を採用しているためIDとパスワードを用いて認証を行いますが、SDPでは多要素認証によりアクセスが許可されるため、よりセキュアな認証が可能となります。
クラウドセキュリティ
クラウドを利用する際のセキュリティを確保する点を目的としたソリューションが「クラウドセキュリティ」です。クラウドセキュリティとしては、例えば下記のようなソリューションが提供されています。
CASB(Cloud Access Security Broker)
CASBは従業員のクラウドサービスの利用を監視し、セキュリティ対策を行うソリューションです。例えばクラウドサービスに対するアクセスを可視化したり、不正アクセスの監視、データの暗号化などを行います。
クラウドサービスの利用は業務の効率化につながるなどさまざまなメリットがあります。その中でCASBを活用することによって、利用を許可していないクラウドサービスの利用を防止したり、情報漏洩の発生など考えられるセキュリティリスクへの対策を行えます。
CSPM(Cloud Security Posture Management)
CSPMは、クラウドサービスを利用する上でのリスク軽減を目的としています。具体的には、クラウドサービスの利用においてセキュリティリスクにつながる可能性がある設定や状態を自動検出して、情報漏洩などを未然に防いでいきます。
セキュリティ監視・運用
「セキュリティ監視・運用」ソリューションは、セキュリティ全体に対して分析や監視などを行うためのソリューションを指します。さまざまなログについての可視化や分析を行うことによって、もし問題などが起きた場合にも早期に検知や対策が行えるよう支援を行うものです。セキュリティ監視・運用ソリューションとしては下記のようなものがあります。
SOC(Security Operation Center)
SOCはネットワークやデバイスの監視・分析を行って、サイバー攻撃から企業を守ることを目的としたセキュリティの専門組織です。サイバー攻撃やセキュリティの問題はいつ発生するかわからないことから、24時間365日体制で対応を行っていきます。
このSOCは自社内に設置するケースもあるものの、高い専門性を持った人材の確保が必要となります。そのため、より高い専門性を求めて外部に委託を行うケースもあります。
MDR(Managed Detection and Response)
企業内に設置しているセキュリティ機器の管理や運用、インシデントが発生した際の対応をその企業に代わって行うものです。ログの分析を行い、重要なアラートが検知された場合にはメールや電話などで通知を行います。さらに、対処法などのアドバイスや感染端末の隔離、詳細調査などを行ってくれるサービスもあります。
