働き方が変えるセキュリティ対策~すべてを信頼しないゼロトラストとは~

新型コロナウイルス感染症(COVID-19)の影響もあり、テレワーク、リモートワークなど、働き方の多様化が一気に加速しました。
また、働き方の選択肢が増えたことに伴い、これまで以上にセキュリティ対策が求められています。
もし、サイバー攻撃や顧客情報の漏えいが起きてしまったら、企業の信用問題、ひいては存続に関わる事態に発展する可能性があります。
そこで注目されているのが「ゼロトラスト」という考え方です。

ゼロトラストとは?~すべてを信頼しない~

ゼロトラストとは、2010年にアメリカの調査会社であるForrester Research社のジョン・キンダーバーグ(John Kindervag)氏により提唱された「社内外すべてを信頼しない」という考え方です。

境界型セキュリティとゼロトラストの違い

従来は「社内ネットワークは安全で外部ネットワークは危険」のように、内部ネットワークと外部ネットワークに境界線を引き、社内ネットワーク内のセキュリティを守る考え「境界型セキュリティ」が主流でした。
一方、ゼロトラストは「社内外すべてを信頼しない」という考えのもと、デバイスが社内のネットワーク上にあるからといって信頼、アクセスするのではなく、すべてのアクセスごとに認証を行い、セキュリティを守る考えです。

zerotrust

ゼロトラスト7つの理念

ゼロトラストには7つの基本的な理念があります。

1. すべてのデータソースとコンピューティングサービスをリソースとみなす

ネットワークに接続されているすべての機器をリソースとして考えます。
また、データソース、クラウドサービス、業務アプリケーションもリソースの対象となります。

2. ネットワークの場所に関係なく、すべての通信を保護する

プライベートネットワークか従来から信頼の置かれている社内ネットワークかにかかわらず、すべてのネットワークを保護すべきとしています。

3. 企業リソースへのアクセスをセッション単位で付与する

従来の考え方であるCookiesを用いての一定時間の利用を許さず、個別のアクセスごとに許可を行うとしています。

4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する

クライアント環境、アプリケーションサービスの状態、リクエストされたネットワークの場所や時間をもとにアクセスルールを決めることを言います。
これらの状況などは時間によって常に変化するために、リクエストの度に最新の状況をもとにアクセスを許可する必要があります。

5. すべての資産の整合性とセキュリティ動作を監視し、測定する

組織内に存在するすべてのデバイスやシステムの状態が正常に保たれているかを常に監視を行い、セキュリティを保持するよう求められています。

6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する

従来は、一度認証と許可されたユーザーは厳密に認証をすることはありませんでした。
しかし、この基本原則では、長時間のアクセスや新たに使用するデバイスの際、再認証を行います。

7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

常にリソースのセキュリティ状況、社内のネットワーク、アクセス状況に関する情報の取得と分析を行い、その結果に応じたアクセスルールの作成し、セキュリティを改善する考え方です。

なお、これら7つの理念は、あくまで理想的な目標であり、すべての理念が完全に実装されるとは限らない点に注意してください。

ゼロトラストセキュリティのメリットとデメリット

ゼロトラスセキュリティには、メリット、デメリットがそれぞれあります。

ゼロトラストセキュリティのメリット

①働く場所を選ばすに、安全に業務を遂行できる

ゼロトラストセキュリティは、すべてのアクセスごとに認証を行いセキュリティを守るため、自宅、シェアオフィス、カフェなど場所を選ばずに安心して業務を遂行できます。
自由なワークスタイルの実現につながります。

②強固なセキュリティを実現できる

ゼロトラストセキュリティにより、従来の境界型セキュリティよりも強固なセキュリティが実現できることから、クラウドサービスや自身の端末を利用して業務が行えます。

ゼロトラストセキュリティのデメリット

①導入難易度が高い

境界型セキュリティからゼロトラストセキュリティに一斉更新するためには、コスト面、人件費、導入後のランニングコストがかかります。
そのため、実際にゼロトラストセキュリティを導入する際には、要件をまとめ、課題に必要なセキュリティを導入するのが良いでしょう。

②利便性の損失

すべてのアクセスごとに認証を行うため、業務上での利便性が損なわれしまう可能性があります。
徹底的にセキュリティ対策を講じるのではなく、本当に必要な箇所にセキュリティ対策を講じ、利便性を保つことが重要です。

さいごに

今回は、ゼロトラストにつきまして、わかりやすくまとめました。
クラウドサービスの利用やネットワーク攻撃の増加、さらに働き方の多様化により、ゼロトラストの考えに基づくセキュリティ対策が注目され広まってきています。
ただ、ゼロトラストセキュリティを導入するのは決して簡単なことではありません。
自社の人的リソースと本当に必要な機能かどうかを吟味したうえでの導入が大切です。

<参考>
独立行政法人情報処理推進機構「ゼロトラストという戦術の使い方」

  • このエントリーをはてなブックマークに追加
  • follow us in feedly

山岸 史人株式会社ドクタートラスト

投稿者プロフィール

大学卒業後、営業として働いていましたが、プログラミングに興味を持ちエンジニアに転職いたしました。
いつか、自身が携わったシステムやアプリを通じて、幸せを提供できるような人材になりたいと思っています。
【ドクタートラストへの取材、記事協力依頼などはこちらからお願いします】

関連記事

解説動画つき記事

  1. 【動画あり】「抗原」「抗体」ってなに? コロナ抗体検査は必要?

一目置かれる健康知識

  1. 「良い二度寝」と「悪い二度寝」がある?すっきり目覚めるポイントは20分
ページ上部へ戻る