ゼロトラストネットワークとは?検討すべき項目や技術、構築方法、活用のポイントを紹介
ゼロトラストを実現するうえで、ネットワークの構築・運用は欠かせません。どのような点に注意すれば良いか、迷う方も多いのではないでしょうか。
この記事ではゼロトラストネットワークに焦点を当て、検討すべき項目や使われる技術、構築方法、活用するポイントを解説します。
ゼロトラストネットワークとはなにか?
「ゼロトラストネットワーク」とはゼロトラストセキュリティを実現し、情報や端末、ユーザーを守るネットワークです。「社内も社外もリスク有り」と認識して、悪意ある者が侵入する前提でネットワークが構築されています。社内・社外を問わず、権限の有無などをチェックしたうえでアクセスを許可します。
境界型防御との相違点
ゼロトラストネットワークは社内・社外を問わず通信を監視し、信頼性や安全な通信を確保します。不審な通信が見つかれば管理者に通報する、通信を制限するといった対処ができ、社内からもたらされる脅威に対しても防御できる仕組みです。これは「社内と社外の境界にファイアウォールなどを設置することで、社内の安全性を担保する」境界型防御と大きく異なります。
「何を守るべきか」という点も、大きな相違点に挙げられます。境界型防御は「境界を防御すれば内部は守られる」という考えに基づくため、外部との境界を守ることが優先事項です。一方で、ゼロトラストネットワークは、境界が侵入された場合を前提として、情報や端末、ユーザーなどの企業の資産を守ることにフォーカスしています。
ゼロトラストネットワークで実装を検討すべき項目
ここからは、ゼロトラストネットワークで実装を検討すべき6つの項目を解説します。
多要素認証の活用
多要素認証は、社内データへのアクセス者の本人確認に有効な手段です。以下の3種類の認証要素のうち、2種類以上の組み合わせが必要です。
| 認証の要素 | 認証方法の例 |
|---|---|
| 知識情報 | パスワード、暗証番号、秘密の質問 |
| 所持情報 | 認証コード(認証アプリ・認証SMS・認証メール)、スマホ・タブレット(プッシュ通知)、ハードウェアトークン、ICカード |
| 生体情報 | 指紋、顔、静脈、声紋 |
複数の要素を組み合わせることで、不正アクセスリスクを低減できます。
不審な通信や動作を迅速に検知し、遮断するセキュリティの導入
ゼロトラストネットワークでは、システム全体をチェックし、不審な通信や動作を迅速に検知・遮断する仕組みの導入が不可欠です。
高度なセキュリティスキルと豊富な人員を持つ情報システム部門がある企業であれば、ID管理の「IDaaS」やログ集約の「SIEM」などを組み合わせることも可能です。一方、システムに詳しくない、またはシステム部門の人数が少ない企業は、ゼロトラストセキュリティサービスの導入がおすすめです。楽天モバイルが提供する「ゼロトラストセキュリティ」は、その一つです。
暗号化通信の徹底
社内・社外を問わず、ネットワークを介する通信はTLSやIPsec、WPA3などのプロトコルを用いて徹底的に暗号化する必要があります。セキュリティ企業のサービス活用も有効です。
マイクロセグメンテーションの活用
悪意ある侵入を受けた際の被害を最小限に抑えるため、マイクロセグメンテーションのような仕組みの検討と実装が重要です。以下の方法でネットワークを論理的に分けることが可能です。
- セグメント
- 端末
- プロセス
- アプリケーション
マイクロセグメンテーションの活用により、脅威や侵入による被害を特定のセグメントや端末に限局化でき、対処しやすくなります。
ユーザーやデバイスに付与する権限の検討
ユーザーやデバイスへの権限付与の検討も重要です。ユーザーや端末には、業務の遂行に必要な最小限のアクセス権を付与しましょう。担当業務が変わった場合は、権限のメンテナンスも必須です。不要なアクセス権を与えないことで、不正アクセスやデータ改変、情報漏えいを防ぎます。
ログを集約して分析する仕組みの導入
ゼロトラストネットワークでは監視対象の通信が増加するため、効率的な監視と異常検知には、ログを集約・分析する「SIEM」の導入が効果的です。SIEMにより、多種多様な機器のログを一元的に表示・分析し、インシデント発生などの異常状況を迅速に把握できます。これは調査や初期対応にも有用です。
ゼロトラストネットワークの構築方法
ゼロトラストネットワークは以下の内容を踏まえて構築するとよいでしょう。
| フェーズ | 内容 |
|---|---|
| 設計 |
|
| 構築・実装 |
|
| 運用 |
|
既存のネットワークが存在する場合の注意点
既存のネットワークが存在し運用中の場合、一気に刷新することはおすすめできません。ネットワークに不具合が発生した場合は、業務が止まるなどの悪影響をおよぼすためです。以下のように既存のネットワークと共存する期間を設けながら、段階的に導入しましょう。
| 進める方針 | 取り組む項目の例 |
|---|---|
| 分野を限定して、段階的に進める | 本人確認の仕組みや、エンドポイントのセキュリティ強化から始める |
| 特定の部門から先行導入する | リモートワークが多い部門、機密データの取扱いが多い部門から始める |
ゼロトラストネットワークの構築や活用に使われる技術
ゼロトラストネットワークには、さまざまな技術が使われます。代表的な技術を、以下の表でご確認ください。
| 技術の名称 | 概要 |
|---|---|
| CASB | クラウドサービスの利用を監視し制御する。クラウドアプリケーションへのアクセス制御、データ持ち出しの防止、ユーザー行動の監視、脅威の検知などを行う |
| EDR | PCやスマートフォンなどエンドポイントデバイスの挙動を監視して、異常な動作や脅威などをリアルタイムで検知し対応する |
| IAM | 企業のユーザーおよび権限を管理して、適切なユーザーやデバイスのみ情報へのアクセスを許可する仕組み |
| IDaaS | 複数のサービスで使われるID・パスワードをクラウド上で管理する。SSO(シングルサインオン)、アクセスコントロールなどを実現可能 |
| IPsec | IPパケット単位で暗号化・認証を行う、ネットワーク層のセキュリティプロトコル |
| MFA | 「多要素認証」のこと。複数の異なる要素を用いて認証する仕組み |
| SIEM | ログを集約して分析する仕組み。セキュリティを包括的に把握し、異常をすばやく知ることが可能。調査や初期対応にも役立つ |
| SOAR | セキュリティ業務の効率化や自動化、インシデント対応の支援を行う仕組み |
| SWG | Webトラフィックをリアルタイムで監視し、不正な通信やマルウェアの侵入を防ぐ |
| TLS | 公開鍵認証や共通鍵暗号化通信などの機能を備え、データ通信を安全に行うプロトコル |
| WPA2/WPA3 | 無線LANのセキュリティ規格。WPA2では通信データを順番と長さの情報も含めて暗号化。WPA3では管理フレームや制御フレームを暗号化している |
| ZTNA | ゼロトラストに基づき、すべてのアクセス要求に対して安全性の検証を行う考え方 |
ゼロトラストネットワークのメリット
ゼロトラストネットワークを導入することで、以下に挙げるさまざまなメリットを得られます。
- ファイアウォールやVPNなどよりも上位のセキュリティを導入できる
- リモートワークが多い、クラウドサービスの活用が多い企業でも、安心して使えるネットワークを提供できる
- 長期的なセキュリティ運用コストを最適化できる
- 既存ネットワークとの整合性を簡単に保つ技術を活用できる
近年ではシステム部門が充実していない企業、社外のサービスにデータを保管する企業、在宅勤務を導入する企業も少なくありません。ゼロトラストネットワークなら、このような企業でもセキュリティを担保でき、社内ネットワークを安全な状態に保てます。
ゼロトラストネットワークを活用する3つのポイント
ゼロトラストネットワークを生かすためには、3つのポイントを押さえることが重要です。解説する内容を確認し、安全で使いやすいネットワークを作りましょう。
既存システムとの互換性や影響を考慮する
ゼロトラストネットワークは、運用中のシステムや契約中のクラウドサービスと接続するケースも多いでしょう。既存システムと併用する間は、どちらにもスムーズかつ安全にアクセスできる仕組みを提供しなければなりません。
事前に導入予定のゼロトラストネットワークと運用中のシステム、契約中のクラウドサービスの仕様を確認することをおすすめします。ゼロトラストネットワークの運用に関する課題の有無をチェックしたうえで、課題があれば事前に解決しておきましょう。
運用負荷を軽減する仕組みを導入する
新システムの導入で運用負荷が増加すると、担当者の疲弊や人件費増大を招きます。これを防ぐには、運用自動化・効率化を支援し、運用負荷を軽減する仕組みの導入が必須です。
ゼロトラストネットワークでは、自動化による負荷軽減が可能です。楽天モバイルなどの専門業者サービスを活用し、運用負荷を軽減する取り組みも有効です。
通信速度や業務効率が下がらないよう工夫する
ゼロトラストネットワークの導入は、ネットワーク変更を伴い、以下の不都合を招くリスクがあります。
- 通信速度の低下による業務処理スピードの低下
- 業務ルール変更による現場負担増と業務効率の低下
業務への悪影響を防ぐには、現状把握が重要です。主要業務の処理時間や手順を確認し、サービスレベルを維持しながら導入を進める工夫が必要です。
楽天モバイルの「ゼロトラストセキュリティ」でゼロトラストネットワークの構築を
ゼロトラストネットワークは楽天モバイルの「ゼロトラストセキュリティ」に代表される、専門のサービスを活用することがおすすめです。活用により、以下のメリットが得られます。
- ワンストップで快適・安全なネットワークを提供できる
- 社内・社外を問わずアクセス認証を徹底し、不正アクセスを未然に防ぐ
- 継続的な監視とログ管理を行い、異常な挙動や不正アクセスを早期に検知し対応できる
- リモートワークや社外のクラウドサービスにも対応できる
- 専任者による導入支援や運用を行う。ネットワークに詳しい人材が不足する企業でも、充実したセキュリティ対策を実現できる
- セキュリティに関するコストを削減できる
優れたスキルを持つ技術者による運用で、ゼロトラストセキュリティを安価かつ迅速に導入できます。自社での技術者育成と比較しても、より高いレベルのセキュリティを確保可能です。
ゼロトラストで安心・安全なセキュリティ環境へ
楽天モバイルでは、ワンストップで快適で安全なネットアクセスを実現し、セキュリティ関連業務の一元管理によって企業のセキュリティレベルを向上させるとともに、大幅なコスト削減にも繋がる「ゼロトラストセキュリティ」の導入をサポートします。
ゼロトラストネットワークの特徴を把握し、円滑な導入を
ゼロトラストネットワークは、従来の境界型防御とは大きく異なります。円滑に導入するためには、ゼロトラストネットワークの特徴を把握したうえで、対象範囲や付与する権限などを検討することが重要です。
ゼロトラストネットワークの構築は大きな負担を伴うため、専門業者のサービス活用が推奨されます。楽天モバイルのゼロトラストセキュリティもご検討ください。
