my 楽天モバイル Office ゼロトラストアーキテクチャとは?実現に必要な要素やポイントを解説
ゼロトラストアーキテクチャとは、「すべてのアクセスを信頼しない」というゼロトラストの考え方を実現するためのセキュリティ設計です。クラウドサービスの活用やリモートワークの普及により、従来の境界型セキュリティでは対応しきれない課題が増えていることからゼロトラストの重要性が高まっています。
とはいえ、「ゼロトラストアーキテクチャとは具体的にどのような構成なのか、また、従来のセキュリティ設計とどう違うのかわからない」という声も多く聞かれます。そこで本記事では、ゼロトラストアーキテクチャの基本方針から、企業のセキュリティ担当者が押さえておきたい移行時のポイントまでを、わかりやすく解説します。
ゼロトラストアーキテクチャとは
ゼロトラストとは、「決して信頼せず、常に検証する(Never trust, always verify)」という原則に基づいたセキュリティモデルです。2010年に米調査会社Forrester Researchのアナリストによって提唱されました。
このゼロトラストの思想を実装する設計が、ゼロトラストアーキテクチャ(Zero Trust Architecture, ZTA)です。全てのアクセスに対して「常に検証」「最小権限」「継続的監視」を徹底するのが特徴です。
近年、経理・人事・営業などの業務データをクラウドサービスで管理するケースが増え、組織全体の情報を一元的に保護することが難しくなっています。それに加えてリモートワークによる組織外からのアクセスや高度化するサーバー攻撃などの要因により、従来のセキュリティモデルは万全ではなくなってきています。特に、内部関係者による情報漏えいや、正規の認証情報を用いた攻撃が増加している現状では、「社内は安全」という前提そのものがセキュリティ上の弱点となりかねません。
そのため、これらの脅威に対応するための新しいセキュリティモデルとして、ゼロトラストアーキテクチャの導入が急務となっています。
境界型セキュリティモデルとの違い
ゼロトラストに対して、従来型のセキュリティモデルのことを「境界型(境界防御)」セキュリティモデルと呼びます。「信頼するが、検証する(Trust but verify)」という原則に基づいたセキュリティモデルで、ゼロトラストとは「なにを信頼するか」という前提が異なります。
境界型セキュリティモデルでは、内部のネットワークを安全なものという前提で捉え、ファイアウォールやIDS(侵入検知システム)などの機器を設置して社内と社外のネットワークを分離します。外部から内部へのアクセスは厳密に制御・監視しますが、内部からのアクセスは効率性を考慮して制限はわずかです。そのため、悪意があるアカウントがパスワード認証を突破してネットワーク内に侵入してしまうと、社内のシステムやファイルサーバーに自由にアクセスできてしまいます。
一方、ゼロトラストでは、内部と外部のネットワークはどちらも安全ではないものという前提で捉えます。どちらも同じように、システムやファイルサーバーにアクセスする際には個別に認証や認可が必要です。アクセスログが常に収集され、不審な振る舞いがないかどうか監視されます。
ゼロトラストアーキテクチャで求められる6つの運用方針
デジタル庁では、境界型モデルからゼロトラストモデルへの移行を推進するために、組織でゼロトラストの概念と考え方をまとめたガイドラインを公表しています。今回はこのガイドラインを基にして、実際にゼロトラストアーキテクチャを設計する際の6つの運用方針を紹介します。
【方針1】アカウントやデバイスなどのリソースを識別して特定できる状態にする
ゼロトラストアーキテクチャではあらゆるアクセスを認証・認可する必要があるため、関連するすべてのリソースを特定して管理できる状態にすることが必要です。アカウントだけでなく、組織で使用されるデバイスやサービス、データなどはすべてリソースとして扱われ、IDで管理されます。
通常は、資産管理ツールなどを用いてリソースを一元管理し、識別できる状態にします。
【方針2】システム利用者の身元を確認・認証する
ゼロトラストアーキテクチャでは、利用者や端末といった物理的な主体もデジタルリソースとして管理することになります。そのため、本人認証などの手段により正当なものかどうかを確認します。
【方針3】ネットワークを保護する
境界型セキュリティでは内部のネットワークは安全であるという前提でしたが、ゼロトラストアーキテクチャでは内部のネットワークも信用しない前提で扱います。そのため、ネットワークを経由する通信は暗号化などの方法により安全性を確保する必要があります。例えば、クラウドサービスを利用する際に用いるHTTP通信では、TLSなどにより暗号化を行います。
【方針4】各種リソースの状態や構成が安全か確認する
ゼロトラストアーキテクチャでは、管理するリソースが常に安全かどうかを確認する必要があります。但し利便性を極力損なわないよう、アカウントの属性情報やシステムへアクセスした際の位置情報、デバイスの構成情報などさまざまな情報を活用することで常時リソースの状態を確認します。
【方針5】アクセス制御ポリシーに基づきアクセスを管理する
ゼロトラストアーキテクチャでは、扱うデータや重要度に応じて各リソースのアクセス権を規定したアクセス制御ポリシーを設定します。これに従って、アクセス可否判断ができるようにします。
【方針6】システムを監視する
システムを安全に運用するため、常時リソースを監視します。さらにアクセスログの取得、不審なアクセスの調査なども行いシステムの信頼性を高めます。
ゼロトラストアーキテクチャにおける4つの基本構成要素
ゼロトラストアーキテクチャは、「ユーザー認証・認可」、「エンドポイント(デバイス)の可視化と制御」、「クラウドおよびアプリケーションへの制御」、「ログの収集・分析と脅威検知」という4つの要素で構成されています。膨大な量のリソースを扱うため、さまざまなツールを導入して自動で管理・制御することが不可欠です。
【構成要素1】ユーザー認証・認可
すべてのリソースを信頼しない前提に基づき、ユーザーやデバイスがリソースにアクセスするたびに、厳格な認証と認可を実施します。シングルサインオン(SSO)や多要素認証(MFA)、IDaaSが重要な役割を果たします。
| シングルサインオン(SSO) | 1組のID・パスワードで複数のシステム利用が可能になる仕組み。ユーザーは何度もID・パスワードを入力する必要がなくなるため利便性向上、セキュリティリスクの軽減などのメリットがあります。 |
| 多要素認証(MFA) | 認証の3要素(知識情報、所持情報、生体情報)のうち2つ以上を組み合わせた認証のこと。パスワード認証のみと比べて格段にセキュリティ強度が向上します。 |
| IDaaS(アイダース) | 「Identity as a Service」の略称で、ID認証や管理、シングルサインオンなどの機能をクラウド経由で提供するサービス。セキュリティ強化やシステム管理者の負荷軽減などのメリットがあります。 |
【構成要素2】エンドポイントの可視化と制御
ユーザーを認証・認可した後、ネットワークに接続されているPCやスマートフォン、タブレットなどのデバイスを対象に、マルウェアからの攻撃を検知・防御するようにします。EDR、EMM、MDMなどのソリューションを導入して異常な挙動を検知・対応します。
| EDR | 「Endpoint Detection and Response」の略称で、エンドポイントからログを常に収集・監視し、不審な動作がないかをチェックするツール。攻撃を検知した場合は、管理者への通知やプロセスの遮断などの対応を自動で行います。 |
| MDM | 「Mobile Device Management」の略称でスマホやノートPCなどのモバイル機器を一元管理するツール。機器の機能制限や紛失時の対応が可能。 |
| EMM | 「Enterprise Mobility Management」の略称で、業務で使用するデバイス、アプリケーション、データ、IDなど、モバイル環境全体を管理するツール。MDMも内包します。 |
【構成要素3】クラウドおよびアプリケーションへの制御
ゼロトラストではすべての通信は保護対象であり、CASB、SWG、DLPなどのツールを使用してアクセス要求ごとに通信を検査・制御します。
| CASB | 「Cloud Access Security Broker」の略称で、クラウドサービスの利用を可視化するツール。 |
| SWG | 「Secure Web Gateway」の略称で、クラウド型のプロキシのこと。URLフィルタリングやマルウェア対策により、Webサービスへのアクセスを保護します。 |
| DLP | 「Data Loss Prevention」の略称で、データの漏えいを検知して通知や操作中止を行えるツール。 |
【構成要素4】ログの収集・分析と脅威検知
ネットワークやユーザーの挙動を常に監視し、異常を検知した際には即座に対応できる体制を整えます。SIEMやSOAR などのツールを活用して横断的にログを監視します。
| SIEM | 「Security Information and Event Management」の略称で、複数の機器からログを収集し、それらを相関分析することで、不審な通信やマルウェア感染などを検知するツール。 |
| SOAR | 「Security Orchestration, Automation and Response」の略称で、セキュリティログを収集・分析し、インシデント対応の自動化によって効率化を行うツール。 |
ゼロトラストアーキテクチャへの移行のポイント
ゼロトラストアーキテクチャは、従来の境界型セキュリティモデルを完全に否定するものではなく、境界型では対応しきれない領域を補完するためのものです。企業のセキュリティ体制を強化するためには、どちらか一方を導入するのではなく、両者を適切に組み合わせたハイブリッドな戦略が求められます。
また、ゼロトラストアーキテクチャは複数の技術要素が連携しているため以降は容易ではありません。そのため、中長期的な視点で既存のITインフラや業務プロセスとの整合性を保ちながら段階的に導入を進めることが重要です。第一ステップとしてユーザーの認証・認可の強化、次のステップとしてエンドポイントの可視化と制御、というように前述の4つの構成要素を順番に導入していくことが推奨されています。
ゼロトラストアーキテクチャの構築は楽天モバイル「ゼロトラストセキュリティ」で実現
現在のビジネス潮流を考えると、ゼロトラストアーキテクチャの導入は企業のセキュリティ戦略において不可欠な要素となっています。しかし、境界型セキュリティよりも高度な知識や多様な機器・ソフトの統合が求められるため、人的リソースや予算に制約のある企業にとっては導入のハードルが高いのが現実です。
こうした課題に対する有効な解決策の一つが、外部のゼロトラストセキュリティ構築サービスの活用です。自社ですべての設計・構築を担う必要がなく、専門知識を持つプロフェッショナルの支援を受けながら、セキュリティレベルを着実に向上させることが可能です。
楽天モバイルが提供する「ゼロトラストセキュリティ」は、中堅・中小企業を対象に、アクセス認証、ログ管理、端末制御など、ゼロトラストアーキテクチャに必要な機能を包括的に提供するサービスです。企業ごとの課題や運用体制に応じて最適なソリューションを組み合わせたパッケージを提案しており、導入の効率化と運用負荷の軽減を同時に実現します。
さらに、24時間365日のシステム監視や、導入初期から運用フェーズまでをカバーする専任担当者によるサポート体制も整っており、限られたリソースでも安心してゼロトラスト環境を構築できます。
ゼロトラストで安心・安全なセキュリティ環境へ
ワンストップで快適で安全なネットアクセスを実現し、セキュリティ関連業務の一元管理によって企業のセキュリティレベルを向上。大幅なコスト削減にも繋がる「ゼロトラストセキュリティ」の導入を楽天モバイルがサポートします。
ゼロトラストアーキテクチャでクラウド時代に適応したセキュリティ体制を構築しよう
クラウドサービスの普及やリモートワークの定着により、従来の境界型セキュリティモデルでは対応しきれないリスクが顕在化しています。また、企業がデジタルトランスフォーメーション(DX)を推進するなかで、クラウド環境を安全かつ柔軟に活用するためには、より高度で動的なセキュリティ対策が不可欠です
こうした背景のなか、「すべてのアクセスを信頼しない」というゼロトラストのセキュリティモデルは、企業の情報資産を保護するための有効なアプローチとして注目を集めています。現状のセキュリティ体制に少しでも不安を感じているのであれば、速やかに適切な対応を取ることが急務です。
導入にあたってハードルを感じる場合は、段階的な実装を検討することが現実的です。また、楽天モバイルのゼロトラストセキュリティなど、信頼性の高い外部サービスを活用することで、効率的かつ確実に安心・安全なセキュリティ環境を実現することが可能です。
