ゼロトラストとは何か

ネットワークセキュリティの世界では「ゼロトラスト」というキーワードがトレンドになっています。キーワードは耳にしているものの、一体どのようなものなのかわからないという方もいるのではないでしょうか。
本コラムでは、ゼロトラストの考え方や背景にあるDXとの関係について説明します。

従来のネットワークの仕組みとゼロトラストの違い

ゼロトラストを理解するために、まずは「DX」について知っておきましょう。
DXとはデジタルトランスフォーメーション（Digital Transformation）の略で、「デジタル変革」という意味になります。

似た言葉に「IT化」がありますが、両者は少し異なります。IT化とは、それまでの仕組みを効率的に運営する手段としてITを用いることです。例えば、これまで手書きしていた帳簿をパソコンでの管理に置き換えるようなことです。

一方、DXとは仕組みの根幹にITを採用する、つまり、デジタル中心で世の中の仕組みを作り直すという点にあります。
DXが推進されると、単にパソコンやスマートフォンが活用されるばかりではなく、世の中のありとあらゆる制度や仕組みがデジタル技術で運営されるように変わっていきます。
その一例がリモートワーク です。高速インターネットの普及により、多くのビジネスパーソンが自宅、カフェ、バーチャルオフィスなど、ノートパソコンなどの端末さえあれば場所を選ばずに仕事ができるようになりました。

その結果、セキュリティに関する考え方も変わってきました。そのひとつが「ゼロトラスト」です。これは、重要な情報資産にアクセスするものはすべて信用せず、安全性を検証し、脅威を防ぐ必要があるという考え方です。

ネットワーク環境におけるゼロトラスト

例えば、ネットワークの管理でみると、従来はファイアウォールなどを用いて外部の脅威からネットワークを防御する、いわば「内と外とを分ける」という考え方の管理でした。
組織内のネットワークを使っている限りはこの枠組みに守られているため、何か問題があってもすぐに対処できました。そういったことを前提に、この枠組みの中で利用される端末やサーバは信頼できるものとして、ネットワークへの接続を許していました。

それに対し、DXが推進されてリモートワークなどが一般的になると、内と外とを区別する境界線がなくなります。例えば 自宅でビデオ会議を行う場合には自宅のネットワークを使い、外出先でメールの確認を行う場合にはモバイルルータやバーチャルオフィスで用意された無線ネットワークを使う、といった具合です。

こうなると、いつ、どこでどのような形でサイバー攻撃などのリスクにさらされるか、管理者が把握し、何かあった際に対応するのは難しくなります。そのため「ネットワークのリスクは完全に排除できず、いつでもインシデントが発生する可能性がある」と、常に疑う必要があります。

リモートワークの普及とゼロトラスト

では「ゼロトラスト」のセキュリティ対策とは具体的にどういうことなのか、リモートワークを例に説明していきましょう。

従業員が自宅などオフィスの外で、VPN経由でPCを専用のネットワークに接続するという方法は従来から行われていました。
VPNは比較的低コスト・短期間で通信の暗号化を実現できますが、オンライン会議などでアクセスが集中すると通信速度が低下しやすいという欠点があります。コロナ禍をきっかけにリモートワークを行う社員の人数が急激に増えると、VPNでは通信トラフィックをさばききれずネットワークが遅延してしまうため、この方法は現実的ではありません。
そのため、ある程度サイバー攻撃にさらされる可能性を前提として、VPN導入以外にも次のような一連の方法を用いるようになりました。

(1) ネットワークに接続する端末の信頼性を評価する

社内のネットワークに接続できるPCやスマートフォンなどの端末を制限します。そのための方法としては、クライアント証明書を発行し、それをインストールした端末以外のアクセスを許可しないという方法をとります。

(2) 多要素認証の活用

リモートワークで利用する端末の認証に、パスワードだけではなく顔認証や指紋認証を組み合わせる多要素認証を用いて、第三者による不正アクセスやなりすましなどの行為ができにくい環境を構築します。
仮に社内ネットワークに接続できる端末が窃盗などにあっても、容易にアクセスされない状況を作ります。

(3) ネットワークを論理的に分割する

仮想のファイアウォールなどを利用して、社内のネットワークを論理的に細かく分割します。
この方法のメリットは2つあります。1つは、セグメントごとにアクセスできるユーザー数を最低限にすることにより、情報漏洩などのリスクを最低限にできることです。
そしてもう１つは、どこかのセグメントがサイバー攻撃を受けたとしても、ほかのセグメントへの影響を最低限に抑えられるという点にあります。

(4) 最低限の権限を与える

従業員は社内のさまざまなデータやアプリにアクセスする必要がありますが、必ずしもすべてにアクセスする必要はありません。そのため、従業員の業務内容に応じてアクセスできるデータやアプリなどの権限は最低限にします。

（1）～（4）の方法は一つ一つは単純ですが、重層的に用いると、ネットワークのどこかにインシデントが発生しても即座にその部分を切り離せばよいため、被害を最低限に抑えることができる上に、早い対処が可能になります。

リモートワークの普及で社内システムを利用する場所が多様化した上に、クラウドサービスなども盛んに利用されるようになりました。そのため、従来のようにネットワークを内側・外側に分け、内側の防御だけを固めるという考え方では対応が難しくなっています。そういった背景により、「ゼロトラスト」の考え方が有効なのです。

ゼロトラストの効果

ゼロトラスト導入にはどのような効果があるのかを考察してみましょう。

巧妙化するサイバー攻撃

ゼロトラストによるネットワーク管理を行ってもっとも効果的なのは、巧妙化するサイバー攻撃への対処でしょう。近年は、ランサムウェアのような複雑な攻撃によりさまざまな企業や組織に甚大な被害を与えています。
今後もサイバー攻撃は巧妙化・複雑化するでしょう。つまり、継続的なセキュリティ対策が必要となりますが、ゼロトラストの考え方で常に「問題が発生すること」を前提の仕組み作りをしていれば、被害を最小限に抑えることができます。
例えば、被害を受けたセクションや端末をネットワークから切り離す ことも、従来のネットワークより比較的対処がしやすくなります。

ゼロトラストを容易に導入するには

前述のように、ゼロトラストの考え方としては被害を受けた部分をネットワークから切り離せばよいのですが、その仕組みを実現するには、攻撃の検出、分析、対応といった工程が必要です。仕組み化するとなるとある程度の手間がかかるでしょう。
解決法として、ある程度パッケージ化されたソリューションを用いれば、比較的導入しやすくなります。

例えば、現在多くの企業・団体で採用されているマイクロソフトのOffice365は、すでにクラウド環境でゼロトラストを行うためのパッケージに対応しています。
Offcie365の中に含まれているクラウドベースのアクセス管理サービスである「Azure Active Directory（Azure AD）」を組み合わせることにより、多要素認証や条件付きアクセスといったサービスを簡単に利用できるようになっています。
Azure ADは従来のActive Directoryのクラウド版のような性格を持った製品であり、社外のネットワークのコンピュータへも「認証」と「認可」機能を提供でき、現在のようなリモートワークが中心の環境にも対応できるようになっています。

これらを利用することにより、ネットワーク管理者の負担が比較的少なく、なおかつ低コストでゼロトラストを実現できます。
さらに、規模の拡張・縮小が簡単であるため、企業の規模の大小に関係なく利用できます。

ゼロトラストの今後

ゼロトラストとは、DXが推進されてから本格的に推進されるようになった「考え方」です。そのため今後も社会の変化やネットワーク技術の発展にともなって、その方法論は日々変わっていくことが予想されます。常に新たな脅威が発生するという前提で対策を立てることが重要です。
そのためネットワーク管理者などは、単に用意されたパッケージを利用するだけではなく、常に変化する新しい状況にキャッチアップする努力を怠らないようにする必要があります。
ゼロトラストという新しいセキュリティの考え方を導入することによりDX化が加速し、それが新しい価値へのさらなる創造につながっていくのではないでしょうか。