ゼロトラストセキュリティとは？求められる背景や導入のポイントなどを解説

ゼロトラストの定義と概念

ゼロトラストは2010年アメリカのForrester Research社によって提唱されました。「Verify and Never Trust（決して信頼しない、必ず確認する）」を前提としたセキュリティ対策の概念です。社内外問わず、すべてのアプローチやデバイス、ユーザーに対して、常に認証と承認を必要とします。

2020年8月にNIST (米国国立標準技術研究所)がゼロトラスト実現のためのガイドライン「NIST SP 800-207 Zero Trust Architecture」を公開しました。NIST SP800-207では、ゼロトラストの基本的な7つの考え方を次のように示しています。

1. すべてのデータソースとコンピューティングサービスはリソースとみなす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントID、アプリケーション/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシーにより決定する
5. 企業はすべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7. 企業は資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する

従来の境界型セキュリティとの違い

従来の境界型セキュリティでは、社内という安全地帯を設定し、外部からのアクセスについて重点的にセキュリティ対策を行っていました。ゼロトラストセキュリティでは「社外と同様に、社内も安全ではない」という考えのもと、最大限の脅威を想定したセキュリティ対策を行い、被害を最小限に留める効果が期待できます。

従来の境界型では、さまざまなセキュリティ対策をすると、その分だけ対策機器を用意する必要がありました。しかし、ゼロトラストではそれぞれのセキュリティをクラウド上で一元管理するので、用意する機器は少なくてすみます。

エンドポイント

エンドポイントとはネットワークに接続するデバイスのことを指します。エンドポイントには、EPPとEDRの2種類のソリューションが必要です。

EPP（Endpoint Protection Platform）

EPPは、エンドポイントをマルウェアから保護するソリューションです。既知のマルウェアの感染を未然に防ぐ働きがあります。従来のアンチウイルスソフトをイメージするとわかりやすいでしょう。

EDR（Endpoint Detection and Response）

EDRは、エンドポイントを常時監視しています。マルウェア感染によるエンドポイントの不審な挙動を検知し、管理者へ通知するソリューションです。通知を受け取った管理者は取得したログを精査し、適切な対応を迅速に行うことで、マルウェア感染後の被害を最小限に留めます。EPPで防ぎきれない未知のマルウェアへの対策として有効です。

ネットワーク

SWGやSDPは安全に社内ネットワークへアクセスするために有効なソリューションです。

SWG（Secure Web Gateway）

安全性が保証できないウェブサイトやインターネット経由のマルウェアといった脅威が、ユーザーのデバイスや組織のリソースに到達するのを防止するソリューションです。プロキシサーバーの基本機能とURLフィルタリングやマルウェア対策、データ漏えい防止、サンドボックスなどの機能をあわせ持っています。ランサムウェア攻撃にも有効です。

SDP（Software Defined Perimeter）

SDPはVPNに代わる接続方法です。ソフトウェアによって、ユーザーとアクセスするリソース間に仮想的な境界線を作ります。これにより必要な情報資産以外にはアクセスできないようにするソリューションです。

ユーザーごとに仮想的な境界線を作れるため、VPNに比べて細やかな設定ができます。また、通信ごとに新たな仮想的境界線を作り、認証とアクセス制御もその都度行うため、セキュリティの向上が期待できます。

クラウド

近年、クラウドサービスを業務で利用することが多くなっています。クラウドサービスの安全な利用には、クラウドセキュリティの強化が不可欠です。

CASB（Cloud Access Security Broker）

企業のセキュリティポリシーをもとにクラウドへのアクセスを適切に制御するソリューションです。ユーザー行動に基づくセキュリティ対策を担うCASBの主な機能は、シャドーITの検出、機密情報の保全、コンプライアンス遵守など多岐にわたります。

CSPM（Cloud Security Posture Management）

CSPMはクラウド環境で設定や状態を監視するソリューションです。設定ミスや脆弱性がないか評価し、それに伴うセキュリティインシデントのリスクを軽減します。CSPMの主な機能は、セキュリティポリシー違反の検出とアラート通知、セキュリティ設定の不備の検出と修正案の提示、リアルタイムリスク評価などです。

アイデンティティ

アイデンティティはユーザーIDを指します。サービスやツール、デバイスが増えると、必要なIDとパスワードも増加します。IAM（Identity and Access Management）は、ユーザーやデバイスのIDを一元管理し、社内リソースへのアクセスを個別の設定に沿って制御するソリューションです。IAMを導入し、IDとパスワードを一元管理することで、生産性とセキュリティの向上が望めます。

ワークロード

クラウドサービスの業務利用が増加するとともに、IaaS、PaaS、コンテナ、VM、サーバーレス環境など、クラウドワークロードの多様化が進み、従来のセキュリティ対策でカバーできなくなっています。そのため、これらのワークロードをセキュリティ対策の統一化を図る必要が出てきました。

CWPP（Cloud Workload Protection Platform）

CWPPは、データ漏えいや不正アクセスのリスクを軽減するソリューションです。CWPPを導入すると、クラウドワークロードのセキュリティ対策を一元管理できます。

CWPPの主な機能は、脅威やコンプライアンス違反の検出、ワークロードの可視化と脆弱性の管理、マルウェアのスキャン、サーバへの侵入防止、アプリケーションのインストール可否、システムの完全性保証です。

可視化と分析

すべてのアクセスやアクションを可視化し、分析することで、万が一の際に迅速で効果的なセキュリティ対策を講じられます。

SIEM（Security Information and Event Management）

SIEMはIT機器から発生する膨大なログデータを一元的に収集・管理し、リアルタイムで分析することで脅威を検出し、セキュリティリスクを可視化するソリューションです。

IDA/IPS（不正侵入検知・防御システム）といったセキュリティシステムやアプリケーション、サーバなどから収集した膨大なログを一元的に管理し、設定されたルールに則り分析します。脅威となりうる兆候を検出した場合、速やかに管理者にアラートを送り、対策を促します。

CASB（Cloud Access Security Broker）

CASBは従業員がクラウドサービスを使用する際の挙動を可視化するソリューションです。クラウドサービスを利用する際のデータ移動やアクセスを可視化することで、不正や危険な動きを検出できます。

自動化

すべてを信頼しないゼロトラストにおいて、煩雑化するセキュリティインシデントの監視などの工程を自動化し、人間が行う作業を軽減することで、ヒューマンエラーを防止、効率的な運用を実現します。前出のSIEMも脅威の有無の判定や脅威が見つかった際のアラート通知を自動化する機能を有しています。

SOAR（Security Orchestration, Automation, and Response）

SOARは、セキュリティインシデント対策をオーケストレーションによって自動化できるソリューションです。社内のさまざまなセキュリティシステムや外部サービスから収集した脅威に関する情報を1つのプラットホームで一元管理します。セキュリティインシデントが発生した場合の脅威判定や脅威の影響範囲の調査、脅威に対する一次対処を自動化、適切な優先順位の判断も可能です。

セキュリティの強化

ゼロトラストは、アクセスの都度、認証と検証を行うため、セキュリティレベルが向上します。また、数あるソリューションを組み合わせることで、きめ細やかなセキュリティ対策を実現できます。

セキュリティ管理の効率化

従来の境界型セキュリティでは、セキュリティ対策のための機器の管理が煩雑になる傾向にありました。ゼロトラストでは、クラウド上でセキュリティを一元管理するため、セキュリティ管理の効率化を図れます。

内部情報漏えいリスクの低減

ゼロトラストは社内外問わず情報セキュリティ対策が可能です。外部からの不正アクセスによる情報漏えいだけでなく、社内からの持ち出しやセキュリティ機器の設定ミスによる情報漏えいのリスクも軽減できます。

リモートワークの効率化

従来のVPNを用いて社内リソースにアクセスする手法では、リモートワークを行う人数が多いとトラフィック負荷が大きくなり、通信速度の低下が起きやすくなっていました。ゼロトラストでは社内外のどちらも同じセキュリティ対策が用いられているため、社外から社内リソースへのアクセスがスムーズになり、リモートワークの効率化が望めます。

クラウドサービスの安全な利用

ゼロトラストにはクラウド環境を監視するソリューションもあるため、クラウドサービスも安全に利用可能です。

事例①某物流企業における不正アクセス

2022年、ランサムウェアの攻撃を受けたある物流関連企業のサーバがダウンしました。VPN機器の脆弱性を突きネットワーク内部に侵入し、ドメインコントローラから認証情報を取得した攻撃者は、複数のサーバから機密情報を盗み出し、同時にランサムウェアを実行しました。

（対策）

• 脆弱性への対策とアカウント棚卸を行い、多要素認証を徹底
• ネットワークセグメントの構成を見直し、内部FWを設置
• EDR、SOCの導入
• 内部から外部への不審な通信をブロックするURLフィルタリングを導入

事例②某金融機関における不正アクセス

2020年、ある大手オンライン証券会社のメインシステムサイトに対して、何らかのリストを元にリスト型アカウントクラッキングにより不正ログインを実行した攻撃者が、顧客口座に対して、不正な出金や有価証券売却を行いました。

（対策）

• ログインおよび出金指示などの特定の操作の認証手段として、多要素認証を実装
• ログイン、出金指示、住所変更などのメール配信の対象となる手続きの拡充をはじめ、顧客への通知機能を強化

事例③某自動車メーカーにおけるクラウド環境の誤設定

2023年4月、ある大手自動車メーカーが、グループ企業に管理を委託していたデータの一部が、誤って公開状態となっていたことが判明しました。公開状態は2013年11月6日～2023年4月17日までと長期にわたり、原因はクラウド環境の誤設定でした。外部より閲覧された可能性がある情報には、顧客約215万人の車載端末ID、車台番号、車両の位置情報、時刻が含まれていました。

（対策）

• 従業員へのデータ取扱いのルール説明・徹底
• クラウド設定を監査するシステムを導入
• 継続的にクラウド設定状況を監視する仕組みを構築

事例④某自治体における選挙データの流出

2015年、ある自治体において、職員が作成したとみられる文書やマニュアルなどが、インターネット上で閲覧可能な状態にあることが発覚しました。市職員は有権者情報などのデータを市の選挙システムから持ち出し、個人契約の民間レンタルサーバーに保存していました。

2011年11月に実施された知事選挙に関連する約68万人の有権者データを含むファイルが外部サイトからアクセスされ、個人情報が流出した可能性があるとされています。

（対策）

• 既に実施している情報セキュリティに関するeラーニングについてレポート提出などを実施し、職員の意識向上効果を確認
• データのシステム外への持出し承認の二重化、持出しデータの暗号化、持出し操作ログ取得を拡充する仕組みを導入
• 情報セキュリティに関する統一的な窓口であるCSIRTを設置
• 自作システムについてデータの適正管理を徹底し、マニュアルを作成
• ID、パスワード、アクセス権限の管理を適切に実施

誤解①ゼロトラストセキュリティという製品がある

ゼロトラストセキュリティというパッケージ製品はありません。ゼロトラストセキュリティを構成する7つの要素から必要となるものを組み合わせて、セキュリティ対策を行います。

誤解②ゼロトラストは導入が非常に難しい

ゼロトラストセキュリティの導入を自社だけで行うとなると、確かに難しいと言わざるを得ません。しかし、ベンダーがゼロトラストのソリューションや導入サポート、運用サポートをセットにしたものを提供しています。

楽天モバイルが提供する「ゼロトラストセキュリティ」を活用すれば、ゼロトラストセキュリティの導入や運用は難しくありません。

楽天モバイルのゼロトラストセキュリティはこちらから詳細をご確認いただけます。

誤解③ゼロトラストはすべての問題を解決する万能策である

ゼロトラストセキュリティは万能策ではありません。むしろ、従来の境界型セキュリティと組み合わせ、お互いの過不足を補ってこそ真価を発揮します。