関連資料

ゼロトラストとは何か

ゼロトラスト（Zero Trust）は、ネットワークへのアクセスや通信の「すべてを信頼しない」という考え方のことです。

従来は、社内からのアクセスは全面的に信用し、社外からのアクセスを警戒するという、社内と社外に引いた境界線を基準にしてセキュリティの在り方を考えていました。

しかし、働き方改革やコロナ禍によって、テレワークが普及した現代では、多くの企業でデータ管理や業務システムをクラウドサービスへ移行して、どこからでも業務が遂行できる環境を整えています。そのため、自宅をはじめ、どこからでも仕事に必要な社内データやネットワークアクセスできるようになりました。

利便性が高まった一方、テレワークの普及などによる社外からのネットワークアクセスや、クラウドサービスの業務利用が一般的になったことで、ネットワークへのアクセスすべてを危険なものとしてみなし、監視する考え方が必要になりました。

つまり、ネットワークにアクセスするものはすべて疑い、監視をして検閲することで、セキュリティリスクを低減させることにつながるということです。これが、ゼロトラストの考え方です。

ゼロトラストという考え方を取り入れるメリット

ゼロトラストの考え方には、デバイス側の対策やネットワークの強化、クラウド側の対策などがあります。これらを取り入れてネットワークセキュリティを考えることによる主な3つのメリットをみていきましょう。

場所を選ばず安全に業務ができる

ゼロトラストの考え方を導入することで、社内外からのネットワークアクセスを監視できるため、セキュリティリスクを低減できます。どこからでも業務に必要なネットワークにアクセスできる環境を作ることができるため、自宅やサテライトオフィスなどから安全に業務を遂行できるようになります。

業務に使用できるデバイスの選択肢が広がる

ネットワークへアクセスするデバイスすべてを検閲するゼロトラストの考え方では、業務に使用できるデバイスの選択肢が従来よりも広がります。

近年は、業務に利用するデバイスはPCだけではなく、スマートフォンやタブレットなどさまざまです。社内を信用し社外を警戒する境界型のセキュリティを採用している場合、社内のネットワークを使うデバイスは安全を確認したものでなければなりません。したがって、社内利用が許可されたデバイスでなければ業務では使えません。

しかし、すべてのネットワークアクセスを信頼しないゼロトラストの考え方ならば、デバイスからのアクセスを検閲し、安全とみなしたものだけを許可します。これにより、会社が管理するデバイスであることは大前提ですが、従来よりも利用できるデバイスの選択肢が広がります。

情報漏えい対策

ゼロトラストの考え方に基づくシステムを導入して構築したネットワークは、社外だけでなく社内もセキュリティ対策されています。アクセスできるデバイス制限やユーザーのアクセス権限などを監視し、やり取りされるデータも検閲することで、故意や過失によらず人為的な情報漏えいの対策になります。

ゼロトラストの注意点

多様化する働き方を助けセキュリティを高めるゼロトラストの考え方ですが、導入する際の注意点があります。

アクセスの利便性が損なわれる可能性がある

ゼロトラストでは、ネットワークへのアクセスやデータの流れは、社内外問わずに監視します。業務に使うネットワークにアクセスするデバイスは、すべて認証作業が必要です。

そのため、業務のために社内ネットワークへアクセスしたり、クラウドサービスへアクセスしたりするためには「認証」という手間がかかり、従来よりも利便性が損なわれる可能性があります。

コストがかかる

ゼロトラストの考え方を取り入れたシステムを導入するためには、従来の仕組みを見直して、ネットワークの再構築や、デバイスの利用方法の見直しなどが必要です。

たとえば、クラウドサービスを使っている企業ならば、クラウドセキュリティを導入したり、アクセスの自動監視システムを導入したりするなどのコストがかかります。また、仕組みの見直しは初期コストだけではなく、ランニングコストが発生することも意識しておかなければなりません。

ゼロトラストの具体例

ゼロトラストの考え方を導入するには、具体的にどのような仕組みが必要なのでしょうか。

それは業務によってさまざまですが、主に、デバイスセキュリティやネットワークセキュリティ、クラウドセキュリティの3つのセキュリティ対策が挙げられます。

デバイスセキュリティの対策

デバイスに対するセキュリティ対策は、業務に利用するPCやスマートフォン、タブレットなどのネットワークに接続するデバイスに対するセキュリティ対策です。

たとえば、デバイスを監視してマルウェアなどの脅威を検知したり、不正な動作をするプログラムの実行を防いだりします。また、業務で利用するデバイスは、会社貸与のデバイスと個人のデバイスを区別した上で、すべてのデバイスを会社で管理しておくことは必須です。

業務に利用するデバイスは、すべて同じセキュリティ設定やルールに則った状態を確保して運用します。

ネットワークセキュリティの対策

ネットワークに対するセキュリティ対策は、デバイスからのネットワークアクセスを制御するものです。社内外どちらからのアクセスも区別せずに、アプリケーション単位でアクセス認証を行い、すべての通信を暗号化します。また、仮に会社で管理しているデバイス以外（シャドーIT）が利用された場合にも制御できることが必要です。

クラウドセキュリティの対策

クラウドセキュリティ対策では、データへのアクセスの安全性やデータ漏えいの対策を行います。たとえば、クラウドサービスを利用するユーザーを、名前やメールアドレス、所属組織などの属性情報に紐づけしたIDで管理し、データやシステムにアクセスするための認証や許可を適切に行います。このようにユーザーをIDで管理することで、クラウドシステムにアクセスできるユーザーを制限したり、保管・保存しているデータへのアクセスを権限で管理したりします。

また、機密性の高いデータは暗号化を徹底し、信頼性の高いユーザーのみに、保管場所やデータのアクセス権限を付与します。

ゼロトラストとSASEの違い

ゼロトラストとともに注目されているのがSASE（Secure Access Service Edge）です。

ゼロトラストは前述のとおり「すべてを信頼しない」という基本原則でセキュリティ対策を考えます。一方SASEは、クラウドサービスの利用を前提として考えるセキュリティモデルです。

簡単に表現するならば、ゼロトラストの考え方を前提としたセキュリティを実現するための一つの方法がSASEということです。

SASEについては、SASEとは？基礎知識や仕組みをわかりやすく解説にて詳しく解説していますので、あわせてご覧ください。

ゼロトラストは「信頼しないこと」を基本原則とするセキュリティ

上述したように、ゼロトラストはセキュリティの考え方で、「信頼しないこと」を原則とします。多様化した働き方やクラウド利用を前提とした業務において、あらゆる場所からネットワークやデータに安全に接続するための重要な考え方です。基本的に社内で業務を行っていた従来とは異なり、自宅やサテライトオフィス、カフェなどオフィスの外で働く従業員が快適に作業を遂行できるようなネットワークセキュリティを構築することは、時代の流れとしても必然だといえます。「すべてを信頼しない」という考え方は、より強固なセキュリティを実現できる手段であり、今後のセキュリティの考え方として取り入れていくべきものだといえるでしょう。

関連資料