ゼロトラストとは何か
ゼロトラストとは、従来の社内ネットワークと、社外ネットワークの「境界」の概念を捨て去る概念です。
企業が守るべき情報資産にアクセスするものは、社内社外関わらずに全て信用しないため、管理者から承認されなければ許可もされません。
従来の境界型セキュリティで信用が高いと判断しアクセス許可していた従業員・社内端末( PC や iPad など)に対しても、ゼロトラストでは信用しないと考えます。必要最低限のみのアクセス権限しか与えられません。
ゼロトラストはセキュリティの新しい考えであり、情報漏洩リスクや不正アクセスリスクを最小限に抑えることが可能です。
Google が提唱しているゼロトラスト「 Beyond Corp 」とは
Google 社は、従来の境界型セキュリティ課題を解決する、Beyond Corp というゼロトラストモデルを開発しています。
Beyond Corp は、すべての人・デバイス・アプリケーションを対象として、通信単位でアクセスを制御します。一度通過した場合でも、次のアクセス時に1から再チェックされるため、安全なセキュリティ環境でシステムを利用できるでしょう。
Beyond Corp に関しては以下の記事で詳しく説明していますので、ぜひ読んでみてください。
関連記事:Googleが導入するゼロトラスト「 Beyond Corp 」とは何か?主な機能・メリットを詳しく紹介
ゼロトラストが注目されている主な背景
ゼロトラストが注目されている主な背景について、以下4点を挙げて説明します。
- セキュリティ攻撃手口の高度化
- 働き方の多様化
- アクセス端末の多様化
- クラウドサービスの拡大
セキュリティ攻撃手口の高度化
1つ目の背景は、セキュリティ攻撃手口の高度化です。
近年、多くの大企業が不正アクセス、ランサムウェアなどの被害にあっている、とニュースで報じられています。
たった一回セキュリティ攻撃に遭ってしまうと、感染したシステムが使えなくなることはもちろん、ネットワークでつながっているシステムが全停止、社内ネットワーク環境の全停止と、広範囲に影響を及ぼします。
社内システムを利用して獲得していた売上が減ってしまい、企業の業績が一時的に悪化してしまう可能性もあり、顧客情報などの個人情報が漏洩の危険性も高く、顧客へのインパクトも計り知れません。
また、従業員間のメールもできなくなり、連絡手段の検討や、感染したシステムの復旧作業など、社内にも大きな心身負担が長期的にかかります。
情報資産をしっかりと管理・守っている企業であっても、セキュリティ攻撃の手口は年々高度化しています。そのため、脆弱性をつかれる可能性が高い従来の VPN からセキュリティの高い通信へと変更したいと、ゼロトラストが注目されているのです。
働き方の多様化
2つ目の背景は、働き方の多様化です。
従来の働き方では、オフィスに出社することが当たり前でしたが、近年では、自宅やレンタルオフィス・自宅から近いシェアオフィス・顧客先・カフェなど、さまざまな場所で働ける企業も多いでしょう。
外部ネットワークから VPN を経由して社内ネットワーク接続する従業員も増えており、セキュリティの見直しも必要です。
従業員の働く場所に限定せず、どこにいてもセキュリティ対策の高い環境で安心して働きたいなどと、多くの企業から境界に問われないゼロトラストの考え方に注目が高まっています。
アクセス端末の多様化
3つ目の背景は、アクセス端末の多様化です。
従来の働き方では、企業から支給された PC で業務するのが当たり前、かつオフィスに固定されているデスクトップ PC を使うのが主流でした。
近年では持ち運びが可能なノート PC はもちろん、iPad などのタブレット端末や・スマホ端末など、さまざまなアクセス端末を利用して業務する従業員が増えています。
そこで多くの企業では、デバイスに依存しないセキュリティ対策の必要性を感じ、一台一台の端末に対して、アクセス制御を行えるゼロトラストに注目しています。
クラウドサービスの拡大
4つ目の背景は、クラウドサービスの拡大です。
これまで社内システムといえば、物理サーバーを設置して構築するオンプレミスが主流でした。
近年では、Google Cloud や AWS など、クラウドサービスの普及により、社内システムであっても、社外ネットワークに接続することが当たり前になっています。
社外ネットワーク接続が当たり前となった今、最新のセキュリティ対策で情報資産を守る必要があると考え、多くの企業でゼロトラストの必要性を感じているのです。
ゼロトラストの主な機能
ゼロトラストの主な機能について、以下5点を挙げて説明します。
- ネットワークセキュリティ
- デバイス管理
- ID 管理
- ログ分析
- 運用の自動化
ネットワークセキュリティ
1つ目の機能は、ネットワークセキュリティです。
ゼロトラストでは、ネットワーク通信における、各種権限を設定することが可能です。
たとえば、ネットワークをより小さなセグメントに分割して、異なるセグメント間の通信を制限することも可能です。
また、データが盗まれたケースを想定して、悪意のある第三者に情報漏洩しないよう、通信データを暗号化します。
ゼロトラストは、ネットワークで発生するデータや通信において、高いセキュリティを保ちます。リアルタイムでネットワークの状況を監視するため、問題が生じたときには発生箇所を特定して迅速な対応が可能です。
デバイス管理
2つ目の機能は、デバイス管理です。
ゼロトラストでは、業務で使用するすべてのデバイスに対して、セキュリティポリシーを適用します。
PC とスマートデバイス ( スマートフォンやタブレット) などが社内のネットワークにアクセスしたときに、そのデバイスが信頼できるかを確認します。
各デバイスに対して、パスワードポリシーの設定やデバイスのロック設定、データ暗号化も実現できます。また、ファイアウォールの設定、パッチ管理・適用、ウイルス対策ソフトウェアの導入やソフトウェアアップデート、などを行うことも可能です。
不正アクセスなどによるデータ漏洩を防ぐことはもちろん、物理的な紛失にも備えて、ゼロトラストでデバイス管理を実現するのです。
ID 管理
3つ目の機能は、ID 管理です。
ID 管理では、従業員やデバイスが持つメールアドレスや利用者番号、所属部署、役職、入社日、生年月日、住所などの情報を一元管理して、権限付与・認証につなげます。
システムログイン時に、多要素認証などを使って、その人の ID が正しいかを細かくチェックした後に承認します。
一度承認した ID に対して、シングルサインオン機能で、シームレスに他サービスにログインするなど、高いセキュリティを保ちながら利便性を向上します。
従業員・デバイスには、都度適切な権限が付与されるように、定期的に設定されたアクセス権限の確認・調整を行います。
ログ分析
4つ目の機能は、ログ分析です。
ゼロトラストでは、ネットワークに接続された端末や通信機器からログを収集して、一元的に管理・分析できます。
その中には、ユーザー行動やシステムイベントなどが含まれています。
また、ネットワーク上のトラフィックを監視することで、不正な通信がないかを確認します。
システムログやネットワークトラフィックで異常が検出された場合、即管理者に通知し、ネットワーク遮断など被害を最小限に抑えられます。
運用の自動化
5つ目の機能は、運用の自動化です。
ゼロトラストでは、これまでシステム管理者が定期的に実施していたセキュリティポリシーの適用・更新を自動化できます。新たな端末が追加された際に、自動でポリシーを適用することも可能です。
また、監視も自動化でき、脅威となるインシデントが発見された際には、アラートを出して自動でメール通知するなど、あらかじめ設定したプロセスに沿って迅速に対処できます。
ゼロトラストのメリット・デメリット
ゼロトラストのメリット・デメリットについて、それぞれ説明します。
メリット
ゼロトラストのメリットとして、「従業員が場所に捉われずに働けること」「多様な働き方を実現できること」が挙げられます。
たとえば、テレワークで働くとき、従業員は VPN で接続して、社内ネットワーク環境に入る手順もまだ多いでしょう。しかしながら、VPN 接続は過去に機器の脆弱性を突いた攻撃もあり、今や安全ではない、ともいわれています。
ゼロトラストモデルでは、従業員やデバイスそれぞれに対して、アクセス権限を最小限に設定しておくことができ、場所を限定せずに、高いセキュリティの実現、不正アクセスや情報漏洩のリスクも低減できます。
そのため、従業員は社内・社外、どの場所にいても同じセキュリティチェックが行われ、誰もが安心した環境で働けます。
ゼロトラストでは、継続的に監視が行われており、もし異常が検出された場合においても、管理者への即通知が行われ、速やかな対応が可能、というメリットもあるのです。
デメリット
ゼロトラストのデメリットは、導入や維持にコストがかかるケースもあることです。
たとえば、管理対象の端末が多い、高度なセキュリティを実現したい、などと考えている場合、サービスによっては多くのコストが発生します。
また、ゼロトラストソリューションの中には、セキュリティを高めるために、高度なパスワードを設定する必要があったり、シングルサインオンに対応しておらずに、システムが変わるたびに複雑な認証手続きが必要、という手間がかかるものもあります。
ゼロトラストには、コストがかからない、安価にスタートできるものや、シングルサインオンに対応しているサービスもあるため、よく調べてから導入するようにしましょう。
Google 社の Beyond Corp が実装された Google Cloud はゼロトラストの中でも安価に利用でき、従業員の負担も少なくすみます。
ゼロトラストの進め方
ゼロトラストの進め方について、以下5点を挙げて解説します。
- 明確な目的設定
- 体制整備
- 保護対象の選定
- 現状分析
- アクセスポリシーの決定
明確な目的設定
1つ目は、明確な目的設定です。
ゼロトラストは導入前に、目的を明確に設定することが大切です。
まずは企業が現状直面しているセキュリティリスクを把握して、どの組織からどのように対応すべきかを決めましょう。その上で、ゼロトラストをどのようなコンセプトとするか、経営層はもちろん従業員を含めて全社で共有していきます。
ゼロトラストでは、対象先を決めた段階的な導入、監視方法の取り決め、運用の見直しなど、本格導入の前にやるべきことが多くあります。そのため、目的が曖昧なままでは、いつのまにかゼロトラスト導入そのものが目的となってしまうことも否めません。
まずはゼロトラスト導入の目的を明確にして、スムーズに導入できるための準備を進めましょう。
体制整備
2つ目は、体制整備です。
目的が定まったら、ゼロトラストを検討・推進するための体制を整備していきます。
ゼロトラストは、社内情報システム部など、セキュリティに関する部門が主導で進めることがあります。そうすると、組織の課題ではなく、セキュリティ強化が目的となってしまいがちです。
ゼロトラスト検討するときは、組織で何を成し遂げたいのか、現状から企業をどう変えていきたいのかなど、経営戦略部門と連携しましょう。関係部署に働きかけられる体制を整備することが大切です。
保護対象の選定
3つ目は、保護対象の選定です。
目的を明確にし、体制を整備した次は、データ・アプリケーションなど、守るべき情報資産を選定していきます。
最初から全てのデータを対象にしたい、と考えるかもしれませんが、ゼロトラストは従来の境界型セキュリティから考え方が大きく変わるため、従業員の運用にも大きな影響が出る可能性が高いです。
一度に全てを保護対象するのではなく、段階的に保護して結果を確認した上で、どのような展開方法が現実的か判断することも大切です。
現状分析
4つ目は、現状分析です。
ゼロトラストを導入する前に、どの業務で、現在どのような提供形態のシステムを使っているのか、詳しく確認しましょう。従業員は何に課題を感じているのか、システムの問題点は何かを明確にしていきます。
とくに、各組織の従業員が業務上何に困っているのかという情報は、ゼロトラストを実現するための権限設定などに有効となるでしょう。
アクセスポリシーの決定
5つ目は、アクセスポリシーの設定です。
役割や属性をベースとして、従業員やデバイスに対して、アクセスポリシーを検討・設定していきます。ポイントとしては、不要な通信経路を防ぐために、アクセスできる範囲を細かく定めることが重要です。
同じ組織に属しているからといって、利用しない従業員にアクセス権を付与するのはやめましょう。
適切なアクセスポリシーが設定されているかを確認するために、運用後も定期的なチェック・調整を行うことが望ましいです。
ゼロトラスト導入を成功させるポイント
ゼロトラスト導入を成功させるポイントについて、以下3点を挙げて説明します。
- 何を守るべきかを明確にする
- 責任者をアサインする
- 社内で共通認識を持つ
何を守るべきかを明確にする
1つ目のポイントは、何を守るべきかを明確にすることです。
企業によっては、システム・データを豊富に扱っているところもあるでしょう。
全てに対してゼロトラストを実現しようとすると、量が多すぎてどれから取り組めばいいのかわからなくなってしまいます。とりあえず、とシステムを選定しても、運用で結果が出ているのか判断しづらくなることもあるでしょう。
最終的には、企業のデータ全てが対象となるかもしれませんが、導入段階では、機密性の高いデータ・システムなど、何を守るべきか明確にしましょう。
運用の結果を見ながらアクセスポリシーなどを調整し、徐々に範囲を広げていくことをお勧めします。
責任者をアサインする
2つ目のポイントは、責任者をアサインすることです。
ゼロトラストを導入するときには、組織全体でセキュリティ方針・戦略の策定を進めていきます。責任者を明確にすることで、関連組織との連携や対応もスムーズに行えるでしょう。
また、責任者は都度ゼロトラストの進捗を確認して問題発生時に迅速に対処することや、運用の結果測定・調整判断なども必要です。
ゼロトラストを成功させるには、責任者を明確にして進めましょう。セキュリティ担当者ではなく、決定権があり、意思決定を迅速に行えるような経営層が望ましいでしょう。
社内で共通認識を持つ
3つ目のポイントは、社内で共通認識を持つことです。
セキュリティ技術だけでは、データを守ることはできません。従業員一人ひとりのセキュリティ意識を高めることが最も大切です。
たとえパスワードを複雑にしても、従業員が覚えられずに、パスワードやログイン手順を書いた付箋などを PC に直接貼ってしまっては全く意味がありません。その PC が盗まれたら、情報漏洩の危険性が高まります。
システムや技術を高めることはもちろん大切ですが、従業員が誰もが情報資産を守れるように意識改革をしましょう。セキュリティ教育を定期的に実施し、リスクを共有するなど、共通認識を持つことが大切です。
まとめ
本記事では、ゼロトラストについて、機能・メリット・デメリット・成功ポイントを紹介しました。
ゼロトラストは従来の社内・社外に分けた境界型セキュリティの考え方を脱却する、新しいセキュリティの考え方です。
多様な働き方に対応するため、また、近年高度化する外部脅威に対応していくためには、安全性の高いゼロトラストソリューションが必須と言えます。
ゼロトラストソリューションを導入すれば、従業員が働く場所や端末などが変わっても、高いセキュリティ環境を維持できるため、企業の情報資産をしっかりと守ることができるでしょう。
Beyond Corp は 安全性の高い Google 社のゼロトラストモデルのネットワークセキュリティです。コストを抑えて気軽に始められますので、これからゼロトラストを考えている企業は、ぜひ導入を検討してみてください。
Beyond Corp をご検討の際はこちらから相談会をご予約ください。
Google Workspace のスペシャリストによる相談会
