テレワークに必要なセキュリティ！ゼロトラストメリット・デメリットについて

2024/12/12 セキュリティ対策

公開日 2021年1月20日｜最終更新日 2024年12月12日

「ゼロトラスト」は全てのトラフィックを信用しないことを前提として、検査やログ取得、認証を行うセキュリティの考え方です。在宅勤務やサテライトオフィスでの勤務が増え、オフィスに出社することが少なくなったという方も多いのではないでしょうか。ITを駆使することで、いつでもどこでも作業ができるようになり、テレワークによる働き方改革を大きく推進してくれるようになりました。

しかし、オフィスに出社しない働き方には、さまざまな課題があります。例えば、セキュリティに脆弱性をもたらせてしまうなどのトラブルです。

そこで今回は、テレワークにも必要となるセキュリティ対策「ゼロトラスト」について解説します。

セキュリティの新たな考え「ゼロトラスト」とは

全てを信用しないセキュリティ対策「ゼロトラスト」セキュリティ

社内のネットワークは安全であると思われてきましたが、近年では社内のネットワークであっても危険にさらされることが出てくるようになりました。

社内や外部に関わらず、安全といえるわけではないため、セキュリティ対策を行う必要が出てきています。このように全てのトラフィックを信用しないことを前提として、検査やログ取得、認証を行うことを「ゼロトラスト」と呼びます。

これまで利用されていた「境界型セキュリティ」

従来のセキュリティは、「境界型セキュリティ」を利用していました。境界型セキュリティとは、社内ネットワークと外部に線引きを行い、外部に対するサイバー攻撃から守るセキュリティ方法です。

これまでは、社内にある端末は安全であり、脅威は外部にあると考えられていました。そのため、社内と社外に境界線を置いて、社外に対する攻撃を守っていたのです。

しかし、さまざまなITサービスを駆使するようになり、社内と外部との線引きがあいまいになってしまったり、内部だけが安全とも言い切れない状態になってきています。悪意のあるサイバー攻撃は、巧妙化していて内部にまで侵入するようになりました。境界線セキュリティでは、内部による犯行や、不正アクセスには対応しきれないため、制御できないことがわかっています。

このように利用してきた境界型セキュリティでは、限度がある状態になってきているのです。

あらゆる企業の情報セキュリティ対策を支援！
【情報セキュリティの専門部隊】ハイパーのセキュリティア推進部の詳細

ゼロトラストが必要になった理由とは

ゼロトラストセキュリティが必要とされるようになった背景として、近年、IT環境が大きく変化していることが挙げられます。テレワークが普及しただけでなく、モバイルデバイスやIoTデバイス、クラウドサービスを導入する企業も増え、社内のデータやシステムが社外のネットワーク上に存在することも昨今珍しくありません。

【ゼロトラストが必要な理由1】クラウドサービスの利用者が急増

近年、クラウドサービスを利用する企業が増えてきています。クラウドサービスは、インターネットがつながればどこでも利用できることもあり、その便利さから多くの方が利用するようになりました。テレワークが普及している今、今後もクラウドサービスの利用者が増えていくことでしょう。

しかし、クラウドサービスは、どこでもいつでもアクセスできることからセキュリティ面での不安があります。クラウドサービスは、データを外部に保存するため、社内ネットワークだけを信用するセキュリティでは限界があるのです。

【ゼロトラストが必要な理由2】内部不正が多くなってきた

情報漏えいの原因は、外部からのサイバー攻撃だけではありません。内部の人が、故意に情報漏えいに携わるトラブルも増えてきています。

そのため、必ずしも社内ネットワークだけが安全とも言い切れなくなってきているのです。

【ゼロトラストが必要な理由3】テレワークの普及

働き方改革の推進や、感染症予防のためにオフィスでの働き方に依存しないテレワークが普及しました。モバイルデバイスなどの活用により、自宅やサテライトオフィスなど、所属するオフィスではなくても働くことができます。オフィス以外の場所で働くとなると、社内ネットワーク内で管理することが難しくなります。デバイスを企業側が管理することができなくなってしまうとセキュリティリスクが高くなってしまいます。

そのため、セキュリティ研修を行ったり、これまでとは違ったセキュリティ対策を行う必要があり、内部は安全という常識がなくなりつつあります。

あらゆる企業の情報セキュリティ対策を支援！
【情報セキュリティの専門部隊】ハイパーのセキュリティア推進部の詳細

ゼロトラストセキュリティの仕組み

ゼロトラストは、アクセスしてきた全てのデバイスを信用しないことからはじまります。ゼロトラストのセキュリティでは、外部からのアクセスに対して毎回セキュリティレベルをチェックします。チェックの内容は下記の通りです。

・アクセスしてきたデバイスが社内で認証されているものか
・デバイスに導入されているセキュリティソフトは最新の状態か
・アクセスしてきたデバイスがマルウェアに感染していないか
・アクセスする人が本人かどうか
・脆弱性のあるクラウドサービスを利用していないか

このような項目に当てはまらないか、チェックしアクセスを認証します。一度認証が完了したら、その後は認証が免除される従来のシステムとは異なり、アクセスするたびに認証を実行するのです。

ゼロトラストセキュリティを構成する7つの原則

ゼロトラストセキュリティのモデルが最初に提唱されたのは2010年、提唱したのはアメリカの調査会社フォレスター・リサーチ社のジョン・キンダーバーグ氏です。その後、2017年に同社のチェイス・カニンガム博士によって、ゼロトラストセキュリティを構成する以下の7つの原則が発表され、これが現代におけるゼロトラストセキュリティの基準となっています。

原則①すべてのデータソースとコンピューティングサービスをリソースとみなす

IoT、SaaSアプリケーション、プリンターなども含め、企業のネットワークに接続されるデバイスや企業が所有するリソースにアクセスできるサービスなども全てリソースとみなします。

原則②ネットワークの場所に関係なく、全ての通信を保護する

ネットワーク内部からのアクセスリクエストであっても、外部からのアクセスと同じレベルのセキュリティ要件を満たす必要があります。

原則③企業リソースへのアクセスをセッション単位で付与する

企業リソースへのアクセスはタスクを完了するために必要な最小限の権限のみが付与されるべき、という考え方です。信用できるアクセス元であっても、自動的に認証される仕組みは避けなければいけません。

原則④リソースへのアクセスは動的なポリシーによって決定する

リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
企業はリソースへのアクセスリクエストを受けた際はアプリケーションサービスの状況などに応じた企業ごとのアクセスルールに従って、リクエストを許可すべきか検証する必要性を述べています。

原則⑤すべての資産の整合性とセキュリティ動作を監視し、測定する

接続するデバイスやシステムの状態、ソフトウェアのバージョンやパッチの適用状況など認証に必要な情報を収集して監視しておくことを求めています。

原則⑥すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する

リソースへのアクセス許可には、ネットワークやアプリケーション、クラウドサービス等に接続する都度、厳密に認証することを求めています。

原則⑦資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

企業は、資産に関するデータを継続的に収集することで、ポリシーを作成・改善していくべきであると勧められています。

これらの原則から、ゼロトラストセキュリティは「何も信頼しない」だけではなく、「情報を常に収集」して、「ポリシーを更新」し、「最低限の権限を付与」することで高度なセキュリティ性を確保していることがわかります。

ゼロトラストのメリット

これまで利用されてきた境界型セキュリティでは限度があり、新しく提唱されたゼロトラストによるセキュリティ対策。ゼロトラストには、どのようなメリットがあるのでしょうか。ここではメリットをご紹介します。

境界線があいまいな環境で有効

クラウドサービスを利用すると、社内と外部の境界線がつきにくくなり、従来のセキュリティでは管理しきれなくなってしまいます。外部のサービスなどITを利用して作業する場合は、ゼロトラストの考えに基づいたセキュリティ対策が有効です。

情報漏えいのリスクを抑える

近年、サイバー攻撃や詐欺の手口は巧妙化しています。これまでのセキュリティでは、社内の情報資産を守ることが難しいため、必要な人が必要なときにアクセスするゼロトラストは有効的です。

クラウドサービスやテレワークの促進につながる

クラウドサービスや、それを活用して行うテレワークに対して、セキュリティリスクの不安を抱えている方も多いでしょう。ゼロトラストによるセキュリティシステムを構築していくことで、効果的なセキュリティ対策を行うことができます。

ゼロトラストは、ある一定の脅威だけではなくネットワーク全体を脅威として捉えられています。クラウドサービスだけではなく、社内でもセキュリティ確保を行います。そのため、クラウドを利用する際に、効果的にセキュリティ対策を行うことができます。

ゼロトラストの導入は、企業にクラウドサービスやテレワークの導入を促進させると考えられるでしょう。

もしものことがあってもすぐに原因を突き止められる

ゼロトラストは、とてもセキュリティ対策ではありますが、絶対に安全性が保証されているというわけではありません。

ゼロトラストでは、アクセスのたびに信用性が評価されます。そのアクセス履歴は、セキュリティ担当者がリアルタイムで随時見ることが可能です。このアクセス履歴は、セキュリティの防御だけではありません。仮に従来とは異なるアクセス方法を利用されたり予期せぬサイバー攻撃に遭ったとしてもインシデントをすぐに把握でき、迅速に対応することができます。

ゼロトラストのデメリット

これまでよりも、外部からの攻撃や内部による不正の監視が有効になるゼロトラストですが、デメリットもあります。それは、業務の効率性の低下です。ゼロトラストセキュリティを導入することで、社内にいてもアクセス制限がかかります。そのため、アクセスするたびに認証を行う必要があります。内部のデータを外部に出すときに、制限を解除してから作業を行う必要があります。毎回アクセスするたびに認証を行うということは、作業効率の低下につながる恐れがあるとされています。

あらゆる企業の情報セキュリティ対策を支援！
【情報セキュリティの専門部隊】ハイパーのセキュリティア推進部の詳細

ゼロトラストのセキュアなネットワークを実現するには？

ゼロトラストネットワークは、ネットワークの境界線による防御は、意味をなさないため、信頼しないという考えに基づいて構築していきます。ここでは、ゼロトラストネットワークを実現させるためのポイントをご紹介します。

参考：ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人情報処理推進機構
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2021/zero-trust.html

これまでの境界型防御

IRM（Informaton Rights Management）
ファイルを暗号化するだけではなくファイルごとに操作ログを取得することで、社外からの不正アクセスに対して綿密なセキュリティ対策を実施することで、不正な持ち出しや漏洩を防止する効果が期待できます。

FW（Firewall）
不正な通信を遮断するフィルタリング機能、IPアドレス変換機能、遠隔管理、ログ監視機能を活用することで、ファイアウォールは外部からの不正アクセスやサイバー攻撃からネットワークを守る役割を果たします。

WAF（Web Application Firewall）
Webサーバーの代わりにWebサイトや入力ページなどを表示し、入力されたURLや情報を精査してからWebサーバーへ情報を渡します。入力フォームなどに特殊なコードが含まれている場合は、その情報をWebサーバーに渡さず破棄し、Webサーバーを保護します。また、同じ接続元からパスワードなどの入力が連続で行われた場合はWebサーバーに代わってCAPTCHA（ロボットではないことの確認）を行いパスワード解析ツールなどの動作を妨害することもできます。

IPS/IDS（Intrusion Prevention System/Intrusion Detection System）
OSやミドルウェア層に対する攻撃に特化したシステムです。通信の監視と管理者への警告を行うIDS、IDSの機能に加えて、通信の遮断までを行うIPSにより、ネットワークやシステムを効果的に保護します。

「境界型防御」の課題として、リモートワークやクラウドサービスの普及により、従来の防御方法では対応しきれない点があげられます。内部からの脅威にも脆弱であり、ゼロトラストセキュリティの導入により全てのアクセスを常に検証することで、より強固なセキュリティを実現します。

ID管理の強化【IDaaS】

IDaaS（ID as a Service）
ID・パスワード管理やシングルサインオン（SSO）、多要素認証などの機能をクラウド経由で提供するソリューション「IDaaS（identity as a service）」。IDaaSサービスを導入することで、パスワード管理業務の効率化や情報システム部門の負担軽減などの効果が期待できます。

デバイス管理の強化【EMM，EDR】

EMM（Enterprise Mobility Management）
社内で扱うスマートフォンやタブレット、ノートPCなどのモバイルデバイス（モバイル端末）を総合的に管理するシステム

EDR（Endpoint Detection and Response）
EDRと比較されるセキュリティ対策にとして、EPP（Endpoint Protection Platform）があります。どちらも「エンドポイント」のセキュリティ対策ですが、その役割はまったく異なっています。セキュリティ侵害が発生した際に被害の拡大を防ぐことを目的としたEDRに対し、EPPはマルウェアの侵入をブロックするための仕組みです。

UEBA（User and Entity Behavior Analytics）
ユーザーやエンティティ（デバイスやアプリケーションなど）の行動を分析し、異常な行動を検出する技術です。大量のデータを収集・分析し、異常を検出してアラートを発信します。これにより、内部脅威や高度なサイバー攻撃を早期に発見し、対処できます。

ネットワークセキュリティ対策【SWG／SDP】

SWG（Secure Web Gateway）
暗号化されたWebトラフィックの可視化、アプリケーション制御、サンドボックスなどの防御機能を提供する仕組みです。

SDP（Software Defined Perimeter）
ネットワークの境界をソフトウェアで仮想的に構成し、アクセス制御を強化します。ゼロトラストセキュリティの原則に基づき、すべてのアクセスを継続的に検証・認証します。これにより、柔軟で強固なセキュリティ対策を提供します。

SASE（Secure Access Service Edge）
SASEは、クラウド上に構築されたセキュアゲートウェイサービスとして提供されます。すべてのアクセスをクラウドに集約し、ネットワーク全体で一貫したセキュリティポリシーを適用するとともに、柔軟にネットワークトラフィックの負荷を軽減します。

CASB（Cloud Access Security Broker）
ガートナーが2012年に提唱したクラウドセキュリティフレームワークです。複数のデータセンターやクラウド間に単一のコントロールポイントを設け、すべてのアクセスをこのコントロールポイントに集約して一元的にコントロールします。

セキュリティ運用（監視・分析，インシデントレスポンス）の自動化【SIEM/SOAR】

SIEM（Security Information and Event Management）
セキュリティイベントやログ情報を監視し、リアルタイムに分析するツールです。基本的に障害発生のアラートは、SIEMなどのツールから自動的にメール、SMS、スマートフォン等へのプッシュ通知などでセキュリティ担当者に通知されます。

SOAR（Security Orchestration, Automation and Response）
セキュリティ運用を効率化するための技術で、以下の3つの機能があります。オーケストレーション機能でセキュリティ製品を連携し、自動化機能で脅威を検知し、レスポンス機能で迅速に対応します。これにより、セキュリティインシデントに対する迅速かつ効果的な対応が可能です。

CSPM（Cloud Security Posture Management）
クラウド環境のセキュリティ状態を継続的に評価、監視、改善する技術です。クラウドサービスの利用状況とリスクを可視化し、設定ミスや脆弱性を早期に発見・修正します。これにより、クラウド環境のセキュリティを強化し、効率的な運用をサポートします。

あらゆる企業の情報セキュリティ対策を支援！
【情報セキュリティの専門部隊】ハイパーのセキュリティア推進部の詳細