ゼロトラストとは

ゼロトラスト(ゼロトラストモデル)とは、IDが完全に照合され本人確認ができるまで、ネットワーク内外の誰も信頼すべきではないというセキュリティの考え方のことです。
ユーザーが従業員としてすでに社内ネットワークに存在していても、リソースへのアクセスを許可する前に必ず認証を求めます。

従来のセキュリティ(境界防御)とゼロトラストの違い
従来のセキュリティとゼロトラストの違い

ゼロトラストのアプローチは、すべてのアイデンティティ(ID)とデバイスを潜在的な脅威として扱い、効率的にセキュリティリスクを軽減し、情報漏洩を防止します。実際に、ある調査*では企業の99%がゼロトラストモデルを導入したことでセキュリティが強化された、と回答しています。

ゼロトラストは、「ゼロトラストセキュリティ」「ゼロトラストモデル」「ゼロトラストネットワーク」とも呼ばれます。ゼロトラストとは準拠すべき標準ではなく、企業が取り組むべきセキュリティモデルのコンセプトです。

*出典:アイデンティティはゼロトラストの要 セキュリティおよびITの専門家を対象としたグローバル調査(Dimensional Research | 2021年10月)


ゼロトラストの概要を動画で見る

なぜ今、ゼロトラストなのか

ゼロトラストはここ数年、セキュリティ業界で大きな注目を集めているキーワードです。セキュリティやITの専門家を対象としたグローバル調査(2021年10月)*によると、ゼロトラストセキュリティの導入の背景として、セキュリティ脅威の増加(75%)、テレワークの普及(68%)、クラウドサービスの導入(56%)を主な要因として挙げています。他の要因として、IoTデバイスの導入によって新たなIDを管理する必要性が迫られている点があります。


ゼロトラストセキュリティの必要性を高める要因

サイバーセキュリティ脅威の増大

サイバー攻撃の特定と収束には平均して74日かかると言われています。企業を狙ったサイバー攻撃の手口は複雑、巧妙化し、ネットワーク内部・外部の両方から不正アクセスを利用するため、組織を危険にさらしています。

テレワークの普及

パンデミックに対処するため、従業員はオフィスの外から重要なアプリケーションのデータにアクセスをすることが日常となり、デバイスも多様化していることからデータの保護が困難になってきています。

クラウドサービスの普及

従来は、物理的な社内ネットワークがセキュリティ対策としての役割を担っていましたが、SaaSの活用やパブリッククラウドへの移行需要の高まりにより、セキュリティの境界線がネットワークから個人の端末、IDの単位などの人へシフトし、新たな対策が求められています。

*出典:アイデンティティはゼロトラストの要 セキュリティおよびITの専門家を対象としたグローバル調査(Dimensional Research | 2021年10月)

ゼロトラストセキュリティの課題

ゼロトラストセキュリティ環境では、基本的にすべてのネットワークを信頼せず、最小権限の原則*に基づいてアクセス権を付与します。最小権限の原則に基づいて、誰が現在どのリソースに対してアクセス権をもっているかだけではなく、誰がどのような状況でアクセス権をもつべきかを把握する必要があります。

*最小権限の原則とは、すべてのユーザーに対して職務遂行のために最低限のアクセス権のみが付与されることを意味します。


ゼロトラストセキュリティ環境では、企業のシステムによってユーザーの行動は監視され、継続的に認証が行われます。疑わしい行動が検出されると、ユーザーはログアウトされ、再認証を求められます。

変化するIT環境とアクセス管理

従業員は使用するデバイス、作業場所、プラットフォームを変えることも多いため、ゼロトラストセキュリティ環境ではユーザーのセキュリティ確保と認証を継続して行う必要があります。さらに、ネットワークへのアクセス後もユーザーを定期的に再認証しなければなりません。SaaSのビジネスアプリケーションをはじめ、在宅勤務者のIT機器、マルチクラウド環境などITリソースの種類やハードウェア、勤務場所が多様化してきています。

重要なユーザーに対するアクセス権限の管理が不十分

企業がアクセス管理を運用出来ているユーザータイプは、従業員が84%、次いでソフトウェア(68%)、契約社員(67%)という調査結果がでています*。グローバルな製造業のサプライチェーンはパンデミックで大きく影響を受けましたが、提携先や工場などパートナー企業へ適切にアクセス制御が出来ていたケースはわずか55%と、驚くべき結果となりました。

手作業が中心のアクセス制御

従業員、IT機器、アプリケーション、クラウド環境などの膨大な数を考えると、すべてを適切に制御することは大変な作業です。実際に企業はどのように運用しているのでしょうか。ある調査*によると、アクセス管理業務の自動化について、ポリシー管理を行なっている企業が69%あるにも関わらず、55%が手作業によって運用していると回答をしました。これは、企業がセキュリティ対策を講じるうえで、必要な変更や更新を見逃す可能性を示唆しています。

*出典:アイデンティティはゼロトラストの要 セキュリティおよびITの専門家を対象としたグローバル調査(Dimensional Research | 2021年10月)

ゼロトラストを実現する代表的な製品

ゼロトラストはセキュリティに対する考え方であり、単一の製品を導入すればすべて解決するということではありません。既に社内ネットワークでセキュリティ対策を講じている企業は、新たに利用を始めるクラウドサービスをゼロトラスト対応にするといった共存する形で進めることも可能です。ゼロトラストセキュリティ対策として存在する5つの製品分野をご紹介します。


シングルサインオン(SSO)

シングルサインオン(SSO)とは、一回の本人認証処理によって、独立した複数のクラウドサービスやアプリケーションを利用できるようにする機能です。シングルサインオン(SSO)によって、ユーザーはアプリケーションごとに認証処理をせずに済むので、複数の複雑でないパスワードを利用してしまうことによる情報流出や不正アクセスなどのリスクを軽減することができます。

シングルサインオン(SSO)とは?

多要素認証(MFA)

多要素認証とは、アクセス権限を得るために2つ以上の異なる認証要素を組み合わせて本人確認をする認証方式です。認証要素は主にパスワードやPINコードなどの知識情報、デバイスなどの所持情報、指紋や顔認証などの生体情報の3種類に分類され、それらを組み合わせて認証の精度を向上させます。


エンドポイントセキュリティ(EDR)

エンドポイントセキュリティは端末を守るセキュリティのアプローチのことで、マルウェアなどの侵入を検知し、不審なプログラムを停止します。攻撃や侵入を早期に検知し、感染経路を分析することで、脅威をいち早く除去して被害を最小限に抑えます。


セキュリティ情報イベント管理(SIEM)

セキュリティ情報イベント管理は、社内のセキュリティ機器やネットワーク機器、クラウドサービスが生成するログを一元的に蓄積・管理し、サイバー攻撃などの兆候をいち早く検出して管理者に伝達するソリューションです。複数の情報ソースから分析することで、異常検知の精度を高めます。


アイデンティティ管理(ID管理)

ID管理は、システムやアプリケーションを利用する際に必要なユーザーID、ユーザープロファイルなどのユーザー情報を管理者がユーザーの属性に基づいて各システムに登録・変更・削除したり、アクセス権限を付与することを一元的に管理するシステムです。

どこから始める?ゼロトラストの導入時のポイント

すべてのネットワークを信頼しないゼロトラストにおいて、特に重要なのがアイデンティティ管理です。ユーザーのすべてのIDを可視化して厳格にアクセス権制御を行うアイデンティティ管理は、最小権限の原則に基づくゼロトラストの考え方の中心となります。職責に応じて社員のアカウントを作成、変更、削除をするプロビジョニングや、職務上必要に応じて行われるアクセス権の申請・承認に代表される、適切なID運用が求められます。

また、以前に策定されたルールやポリシーに基づいてアクセス権を付与したまま放置するのではなく、継続的に見直して最新で最小のアクセス権限を維持する必要があります。このアクセス権制御は、ユーザーの行動パターンの情報収集を含む、動的なポリシー策定や分析に基づく判断機能によって可能になります。


ニューノーマル時代のゼロトラストに求められるポイント

  • 職場環境に左右されない動的でセキュアなインフラの構築
  • 過剰な権限付与のプロビジョニング(オーバープロビジョニング)と有害なアクセス権の排除
  • 旧態依然とした社内プロセスからの脱却
  • ロールやポリシーのシステム化とセルフオペレーション
  • コンプライアンスの確保

ゼロトラストの鍵、ID管理とは

ゼロトラスト実現に向けて抑えておきたいポイントが2つあります。

ID管理の一元化

セキュリティの境界線がネットワークから個人へシフトした今、すべてのユーザーを外部ユーザーと見なす必要があります。特にクラウドサービスの利用の高まりで個人が所有するIDは、IT部門が想定する3.5倍と言われています。これらの膨大なアカウントを一元管理するのがゼロトラストセキュリティを実現する第一歩と言えるでしょう。

アクセス権や利用状況の可視化

ユーザーが「誰であるか」、「どこからアクセスしているのか」、「目的は何か」、「どのタイミングで実行しようとしているのか」、など複数の確認を行い、動的な視点からユーザーの信頼性を検証しなくてはなりません。より多くのID情報を収集、蓄積できれば、検証の精度が向上し、AIや機械学習を活用することでよりレベルの高いアクセス権の付与が可能になります。

一方で、IDデータは膨大なため、人間がすべての情報を手動で選別することは不可能です。では、どうすれば優れたセキュリティやコンプライアンスを維持しながら、IT部門の業務負荷をかけずに、効率的なアクセス制御を実現できるでしょうか? 

ゼロトラストを実現するクラウドサービス

ゼロトラストの実現には複数のシステムとチームが関わる包括的なアプローチが必要です。SailPointはアイデンティティ(ID)をセキュリティ対策の中核に据え、企業のゼロトラスト実現をサポートします。

  • 決して信頼せず、常に検証
    各ユーザーのすべての最新のアイデンティティ記録を活用し、アクセス権限を決定します。ユーザーがどのリソースに対してアクセス権をもつべきかを検証するために、パーミッション、権限、属性、ロールが使用されます。
  • 最小権限の原則を徹底
    ユーザーが必要な時に必要なリソースにアクセスできるよう、ロール、ロールベースアクセス制御(RBAC)、複雑なアクセスポリシーのロジックを使用して、最小権限の原則を徹底します。
  • 監視環境を整備
    セキュリティを最新の状態に保ち、変化や新たな脅威の発見に応じて適応する戦略を採用し、組織が安全性とコンプライアンスを維持しながら革新を続けられるようにします。

ゼロトラストに関するよくある質問

ゼロトラストでは何ができますか?

サイバー攻撃がネットワークから人のレベルにまで至る機会が増加したことを背景として、ユーザーの利便性を損なわずに安全なクラウドサービスの利用や端末の使用を可能にするセキュリティ体制を構築できます。

ゼロトラストはなぜ必要なのでしょうか?

リモートワークやクラウドサービスの導入、モバイルデバイス等の利用増加により、社内ネットワークを前提としたセキュリティモデルに限界が生じて来ました。勤務場所の変化とIT機器の多様化、それに伴う適切なアクセス制御の導入が必要とされています。

ゼロトラストとは、どういう考え方を示す用語でしょうか?

誰も信頼すべきではなく、常に検証するべきだというセキュリティの考え方を示しています。セキュリティの境界線がネットワークから人へシフトし、従来とは異なったセキュリティ対策が求められています。

ゼロトラストセキュリティはいつから始まったのですか?

ゼロトラストは、2010年に米調査会社フォレスター・リサーチが提唱したセキュリティの概念です。サイバー攻撃の高度化やテレワークの拡大により、近年注目が高まっています。

まとめ

ゼロトラストはまだ黎明期であり、企業側の専門知識が不足していることがゼロトラストの実現に向けて動き出せていない最大の理由となっています。一方で働き方の変化、クラウドサービスへの移行により、企業にとって常にセキュリティリスクは高まるばかりです。ゼロトラストは、単一のソリューションで実現できるものではありません。最小権限の原則を徹底するためにはID管理にガバナンスをきかせる必要があり、IDの棚卸(アクセス権の棚卸)を継続的に実施し、見直すことが重要です。最初からすべてをゼロトラスト化すると考えるのではなく、まずはゼロトラストの要となるID管理から検討してみてはいかがでしょうか。

関連資料をダウンロード

今すぐお問い合わせ

*必須フィールド