いま注目されるセキュリティ対策に、「ゼロトラストセキュリティ」があります。ゼロトラストセキュリティとは、「ゼロトラスト」という考えに基づいた対策のことです。従来行われてきたセキュリティ対策である「境界型防御」と何が違うのでしょうか。ここではゼロトラストとゼロトラストセキュリティに関する基本を解説します。

ゼロトラストの基礎知識

従来の社内ネットワークは、主に外部ネットワークと社内ネットワークの間を守る社内／社外という境界にフォーカスした「境界型防御」というコンセプトで行われてきました。しかしこのセキュリティ対策では、防ぐことのできない驚異も多く存在するようになりました。

そんな中提唱された、セキュリティ対策の考え方が「ゼロトラスト」です。「zero trust ＝信用しない」という考えです。例えば、システムにログインしたときに、IDとパスワードが合っていたとしても、IDとパスワードが不正に入手されたものかもしれません。また従業員が、ルールを無視して内部のデータを外部に持ち出すかもしれません。

そこで、ゼロトラストの考え方は「すべてを信頼しない」のです。これに基づくセキュリティ対策「ゼロトラストセキュリティ」は上記のような「信頼できない行動」に対して、有効な対策です。

ゼロトラストが注目される背景

いま、さまざまなセキュリティ対策の中で、ゼロトラストが注目されています。なぜ注目されているのか、4つの主な背景を解説します。

企業におけるクラウドサービス利用の増加

現在、多くの企業でクラウドサービス（SaaS : Software as a Service）の導入が進んでいます。クラウドサービスは、Webブラウザからアクセスして利用するのが一般的です。

Webブラウザからクラウドサービスにアクセスするということは、社内ネットワークから社外ネットワークに、または社外ネットワークから社外ネットワークにアクセスするということになります。したがって、これまで重視されてきた、社内ネットワークの中にあるコンピューターやサーバーを守るという方法では守れないのです。

テレワークの普及（VPNなどトラフィック増）

新型コロナウイルス感染症による影響や、働き方改革などにより、自宅などから作業を行うテレワークが急速に普及しました。このような環境下において、企業内の社内ネットワークに自宅などの外部ネットワークから参加できるVPNは、セキュリティ対策として有効ですが、社内ネットワークの入り口であるVPN機器に対し、多くの従業員が同時にアクセスすることになるため、パフォーマンスが大きく低下する恐れがあります。改善には、VPN機器を高速なものにしたり、企業のネットワーク回線を高速化したりする必要がありますが、増え続ける負荷への対応はキリがありません。

また、VPNだけでテレワークの安全性が担保できるわけではありません。サイバー攻撃は日々巧妙化しており、すでにVPNに対する攻撃も行われているからです。さらにVPNに頼ったセキュリティ対策は、社内ネットワークに侵入させないことが前提の方法です。もしVPNに対する攻撃が行われ、社内ネットワークへの侵入を許した場合、被害は非常に大きなものになるでしょう。

内部不正による情報漏えいの増加

セキュリティ対策を強化し、従業員に対するルールやガイドラインを設けたとしても、それを破る人がいます。こうした内部不正は、情報漏えいの増加につながります。例えば、自宅で作業を行うために、USBメモリを使って業務データの持ち出しや、禁止されている私物PCでの作業、利用を禁止されているアプリケーションや機器の利用などです。企業内ネットワークやPCの防御を前提にしている、従来のセキュリティ対策では、こうした不正を防ぐことは難しいでしょう。

サイバー攻撃の多様化

サイバー攻撃は多様化し続けています。例えば、マルウェアやフィッシング詐欺、ランサムウェアといった、従業員個人を標的にした攻撃も日々巧妙化しています。また急速に普及が進むVPNに対しても、不正ログインを試みたり、機器の脆弱性を狙ったりなどさまざまな攻撃が行われているのです。これらを従来のセキュリティ対策で守るためには、個々のサイバー攻撃に対して、個別に対応する必要があるため、現実的ではありません。

ゼロトラストの7つの基本原則

ゼロトラストは2010年に、米国のジョン・キンダーバーグ氏によって提唱されたセキュリティコンセプトです。その後、米国国立標準技術研究所（NIST）がこのコンセプトをもとに、米国政府が考えるゼロトラストの定義を、2020年8月に公表しました。

その中で書かれている「ゼロトラストの7つの基本原則」は、以下の内容です。

引用：米国国立標準技術研究所（NIST）発表「Special Publication 800-207 Zero Trust Architecture」のPwCコンサルティング合同会社による日本語訳より（NIST公開資料）

 

この7つの基本原則は以下のように、大きく3つの項目に分類できます。

いわゆるゼロトラストセキュリティとは、この3つの項目を実施することなのです。

引用：同上

ゼロトラスト導入のメリット・デメリット

ゼロトラストセキュリティを導入するとどのようなメリットがあるのでしょうか。ここでは3つのメリットと、無視できない2つのデメリットを紹介します。

メリット

デメリット

ゼロトラスト導入時のポイント

ネットワークは、常に、そして新たな脅威にさらされています。そのため、現代においてゼロトラストセキュリティを導入する場合、行うべき防御体制を自社オリジナルで構築することは難しいでしょう。そのため、サービスとして導入する必要があります。ここでは、ゼロトラストセキュリティで基本となる、導入すべき機能やサービスについて紹介します。なお、自社の環境や状況に応じて、さらに機能が必要であることも忘れてはなりません。

認証が必要なため、ID管理を強化する

ゼロトラストセキュリティは社内外問わず、アクセスを認証する必要があります。とはいえ業務を行おうとした際、システムごと、アクセスごとにログインを行うことは非効率です。もちろんパスワードの使い回しはご法度ですから、管理も煩雑なものとなります。そのため、アクセスごとに認証を行えることを前提とした、作業効率を下げない認証基盤を導入するのがセオリーです。

認証基盤は、複数のシステム／サービスの認証情報を一元化できます。これは管理者の管理作業を容易にするばかりか、管理体制の強化にもつながります。また、ワンタイムパスワードといった多要素認証も実現できるため、セキュリティレベルも向上するのです。

アクセスや行動履歴を精査する

従業員がアクセスした、作業をしたといった行動履歴、いわゆるアクティビティを常に記録する必要があります。またこれらを精査し、データを持ち出すなどといった不審な行動やアクセスがあった場合に、アクセスを遮断するといった対策も求められます。

そのため、常にアクティビティを記録でき、それを精査できるシステムの導入が必要です。

IDaaS導入でゼロトラストの基盤作成

IDaaS（Identity as a Service）は、ID管理や認証サービスを統合したクラウドサービスです。管理や認証、アクセス制御、利用サービスごとのログ管理など、ゼロトラストセキュリティに必要な多くの機能が揃っています。まずIDaaSを導入してから、基盤を構築することは、ゼロトラストセキュリティ導入の近道といえるでしょう。

エンドポイントセキュリティ対策

ゼロトラストセキュリティにおいて、エンドポイントセキュリティは重要です。ここでのエンドポイントとは、ネットワークに接続された機器、PCやサーバー、スマートフォンなどを指します。

必要なセキュリティ対策は、HDDやSSDといったストレージの暗号化、アンチウイルスソフトの導入、不正なWebサイトへのアクセスブロックや、データ流出防止など、多岐にわたります。しかし、これらの機能を、個別に揃えることは難しいでしょう。自社に合った対策をと精査したうえで、必要な機能を備えたサービスの導入や、個々に機能を導入することが求められます。

ゼロトラストセキュリティはクラウド時代のセキュリティ対策

ゼロトラストは「すべてのアクセスを信用しない」という、セキュリティ対策方法の考え方です。この考えに基づいたゼロトラストセキュリティは、従来のセキュリティ対策で守りきれなかった、テレワーク時代そしてクラウド時代の驚異にも対応可能です。

一方、導入は簡単ではありません。サービスを導入するといっても、自社に不必要な機能を導入してしまっては、コストだけが無駄になってしまうでしょう。自社に合った製品を選び、導入することが大切です。

また、日々巧妙化するサイバー攻撃に対応するためには、導入するソフトウェアやサービスにも高いセキュリティ性能が求められます。オンライン電子契約サービスをお探しの方は、高いセキュリティ性能を誇る「電子印鑑GMOサイン」を試してみてはいかがでしょうか。「電子印鑑GMOサイン」では、ルート証明書や認定タイムスタンプ、ファイル暗号化、通信暗号化などのセキュリティ技術により、安全性の極めて高いオンライン電子契約が実現できるからです。