ゼロトラスト・セキュリティとは

2020/11/20
R&D部 研究開発室

はじめに

2019年辺りから、「ゼロトラスト」というキーワードをITセキュリティの分野でよく耳にするようになりました。その背景として、企業の内部不正による情報漏洩が増加していること、働き方改革の推進により情報資産にリモートアクセスするデバイスの多様化や業務基盤のクラウドシフトが急速に進んでいることが挙げられます。テレワークやクラウドサービスの利用拡大には、新型コロナウィルスも大きな影響を与えています。そのようなビジネス環境や社会情勢の変化にともない、企業のITシステム/ネットワークのあり方も変わってきています。従来の境界防御型セキュリティの考え方、境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになりました。

ゼロトラスト・セキュリティとは

ゼロトラストとは、「全てのトラフィックを信頼しないことを前提とし、認証、検査、ログ取得を行う」という考え方です。社内ネットワーク内は安全であるという前提のもとに境界を守るやり方では、セキュリティを担保できなくなってきた状況を踏まえ、米国の調査会社Forrester Research社が2010年に提唱しました。ゼロトラストは、あくまで概念であり、画期的な新しい技術というものではありません。

ゼロトラストの考え方に基づき、全てのアクセスを信頼せず、全てを検査するセキュリティ対策を行うことが「ゼロトラスト・セキュリティ」です。ゼロトラスト・セキュリティでは、ユーザがアプリケーションやサービスにアクセスするごとに、そのユーザ(ID)およびデバイスに対する認証を行い、アクセス権限があるか否かを検証する仕組みを実現します。

従来は、IPS/IDSやファイアウォールなどでネットワークの境界を監視するというセキュリティが主流でした。しかし近年、社員によるPCの持ち出しやBYODが増え、社内外の境界は曖昧になってきています。社内ネットワークへの不正アクセスや、社内外への持ち出し/持ち込み端末を狙った攻撃は今後も増加するでしょう。これからは、社内外の境界における防御ではなく、社内外という分け方に依存しないアクセスコントロールや社員が利用する端末のセキュリティを強化する必要があります。

 

 

 

ゼロトラスト・ネットワークモデルを検討するうえで重要なこと

ゼロトラスト・セキュリティを実現するネットワークを検討するポイントには以下が挙げられます。

(1) 全てのアクセスを信頼せず、通信アクセスを全て可視化/検証すること
(2) 全ての記録(ログ)を残すこと
(3) 必要最低限の認可をユーザに与えること


これらの概念をベースに、様々なゼロトラスト・ネットワークが提唱されています。物理的なネットワークの境界で脅威を防ぐのではなく、ID毎あるいはアクセス毎に検知と対策をきめ細かく行い、脅威の影響範囲を限定します。そして、何らかの脅威があってもシステム全体を止めずに一部に留め、事業そのものを継続できるようにします。しかし、外部からの脅威の侵入を完全に防ぐことはできません。そこで、問題の発生をリアルタイムに検知し、事故につながる予兆をいち早く発見し、事前に対処する仕組みも組み込みます。仮に被害が発生しても、その影響を最小限に食い止めるようにします。

ファイアウォールを介さず、暗号化された通信経路(VPN)を使うことなく、ユーザやデバイスが直接ITサービスを利用できるようにすることで、高い利便性を享受し同時に安心と安全を担保するのが、ゼロトラスト・セキュリティの目指していることです。その対策をユーザに意識させない、負担をかけないことも大切な要件となります。これらの対策は、PCばかりではなく、IoTデバイスについても同様に必要です。 

最後に

今回は、ゼロトラスト・セキュリティについて紹介いたしました。ゼロトラストの考え方は「全ての通信を信頼しない」ことです。IT活用が進むにつれて、今後ゼロトラストへの適応が必要となってくるでしょう。

三井情報では、ゼロトラスト・セキュリティの動向調査/検証を行うと共に、ゼロトラストに対応したセキュリティサービスを提供するための基盤技術の研究開発に取り組んでおり、お客様の問題や課題の解決を考えていきたいと思います。

執筆者

お問い合わせ

ページTOP
当ウェブサイトでは、サイトの利便性やサービスを改善するため、Cookieを使用しております。このまま当ウェブサイトをご利用になる場合、Cookieを使用することにご同意いただいたものとさせていただきます。Cookieに関する情報や設定については「個人情報保護方針」をご覧ください。 同意して閉じる