いまさら聞けない「ゼロトラスト」とは？

ここ数年、「DX：デジタル・トランスフォーメーション」という言葉に触れる機会が多くなり、その中で近年注目されているセキュリティ対策に「ゼロトラスト」があります。
本記事では、知っているようであまり知らない「ゼロトラスト」の具体例やメリットなどをわかりやすく解説します。

「境界防御」と「ゼロトラスト」

まずは、従来のセキュリティである「境界防御」と「ゼロトラスト」の違いについて説明します。
「境界防御」と「ゼロトラスト」の違いを簡単に説明すると、以下のとおりとなります。

境界防御とゼロトラスト

境界防御

従来のセキュリティの考え方は「信頼せよ、されど検証せよ (Trust, but verify)」を前提とした「境界防御」が主流でした。
「境界防御」では、内部のネットワーク（社内）＝信頼できる、外部のネットワーク（社外）＝信頼できない ものとして、明確に区別します。

具体的には、社内と社外のネットワークの「境界」にファイアウォールやプロキシサーバーなどのセキュリティ機器を設置し壁を作ることで、外部からの攻撃や不正な侵入をブロックするセキュリティ対策を行います。

しかしながら、近年の働き方改革やテレワークの推進などにより、外部のネットワークを利用する社内 / 社外の境界区分による「境界防御」のセキュリティ対策だけでは不十分となってきていることが課題です。

その要因の具体例を以下に説明します。

クラウドサービス（SaaS など）の利用増加
- 重要データを外部に保存する機会が増えたため、情報漏洩のリスクがある
- クラウドサービスの利用状況を把握できず、管理・許可していないクラウドサービスを使用されてしまい、情報漏洩のリスクがある
テレワークの普及とアクセスする端末の増加
- VPN の利用増加により、想定以上のトラフィックで社内ネットワークの帯域を逼迫する。また、VPN の脆弱性を悪用した不正アクセスのリスクがある
- 私的端末の持ち込み（BYOD）を含む、許可されていない端末のアクセスを検知できず、その端末のセキュリティ対策が不十分な場合にセキュリティリスクがある
- 自宅や外出先の Wi-Fi などを利用する際にセキュリティ強度が低い場合があり、情報漏洩のリスクがある
- マルウェア感染のリスクがある
ユーザーが許可されていないシステムやサービス、アプリを独自に導入する「シャドー IT」を防止できない
- 導入したシステムやサービス、アプリにおける脆弱性等のセキュリティリスクを検知できず、情報漏洩や不正アクセスのリスクがある
社内からの攻撃（内部犯行を含む）に無防備である
- " 信頼済み " とした内部端末やユーザーによる重要データの情報漏洩や不正アクセスを防げない

境界防御

ゼロトラスト

「ゼロトラスト（ZeroTrust：ZT）」は、「いかなるユーザーもデバイスもアプリケーションもネットワークも " 信頼せずに常に検証 " し、基本的に信頼するべきではない」という考え方のことです。

つまり、「信頼しない（ZeroTrust）」ということです。

「すべてを信頼しないことを前提」であるため、 毎回のアクセス時に社内外のネットワークを区別せず、すべてのユーザー、デバイス、アプリケーション、ネットワークに対して認証 を行い、そのアクセスしている環境が指定したセキュリティレベルに達しているのかの検査を実施して、一定レベルのセキュリティを確保します。

「ゼロトラスト」は「境界防御」の課題を解決する手段となりうるのです。

「ゼロトラスト」の名称および役割・機能

では次に、「ゼロトラスト」に関する名称および役割・機能について説明します。
※「ゼロトラスト」の定義やフレームワークなどについて知りたい方は、後述の「参考：「ゼロトラスト」の概念や定義」をご覧ください。

おおまかに図で表すと、次にようになります。

ゼロトラスト

（厳密に書くと細かくなってしまうので、おおまかなイメージです）

「ゼロトラスト」はその役割や目的によって細かく機能が分かれているため、すべてのユーザー、デバイス、アプリケーション、ネットワーク、システム、クラウドサービスに至るまで、セキュリティ対策を様々な方法で包括的に行うことが可能です。

なお、図に記載されている名称および役割・機能については以下のとおりです。

		役割・機能
SWG	Secure Web Gateway	トラフィックの分析や検査および定義済みのポリシーと照合・フィルタリングなどを行うセキュリティ機能が強化されたプロキシのことを指します。
EPP	Endpoint Protection Platform	ユーザーが操作するデバイスなどがマルウェアに感染することを防ぐ機能です。
EDR	Endpoint Detection and Response	ユーザーが操作するデバイスなどがマルウェアに感染したことを検知し、対応する機能です。
MDM	Mobile Device Management	パスワードの長さやインストール可能なアプリの制限など、ユーザーが操作するデバイスなどを管理するための仕組みです。
IAM	Identity and Access Management	ID 認証や管理、連携、各種サービスやシステムへのアクセス権の付与およびそのアクセスを許可・拒否するためのルールやポリシーの設定管理などを行う機能です。なお、この機能をクラウドで提供するものが「IDaaS」と呼ばれます。
CWPP	Cloud Workload Protection Platform	「クラウドワークロード」上の脅威とセキュリティポリシー違反の検出、あらかじめ指定した手順による対策の自動化を行う機能です。 ※「クラウドワークロード」は、クラウドリソースで実行できる特定のアプリケーション、サービス、機能や作業を指します。
CSPM	Cloud Posture Management	クラウドセキュリティの構成ミス、管理不備などへ対応するための仕組みで、クラウドサービスの設定を継続的に評価や自動検出を行う機能です。
DLP	Data Loss Prevention	機密情報や重要データを自動的に特定し、データを常に監視・保護する機能です。
CASB	Cloud Access Service Broker	利用している SaaS などのクラウドサービスの利用状況を可視化して、利用状況の記録やデータの暗号化、コンプライアンスに違反する利用の制限などを行う機能です。
SIEM	Security Information Event Management	システムを構成するネットワーク製品やセキュリティ製品から自動的にログを収集・分析し、異常検知できる機能です。
SOAR	Security Orchestration and Automation Response	セキュリティインシデントに関する運用の自動化および効率化を実現する技術です。

「ゼロトラスト」の導入ステップとソリューション

「ゼロトラスト」の導入に関しては、現在ご利用中のシステム構成やサービスにどのような脅威やリスクがあり、それらに対してどのような対策が必要かということの「現状把握」から実施することが重要です。

具体的には以下のようなステップに分けて、取り組んでいただくことを推奨します。

As-is 分析、ありたい姿の検討
グランドデザイン作成
投資判断
環境構築
検証・改善

※本ステップは独立行政法人情報処理推進機構（IPA）の「ゼロトラスト移行のすゝめ」から引用しています。こちらもぜひ参考になさってください。

「ゼロトラスト」に対応するソリューションの導入を検討される際は、上記のステップに沿って、課題解決の手段としてどのソリューションが適切であるかをじっくり検討いただくことをおすすめします。

参考：「ゼロトラスト」の概念や定義

「ゼロトラスト」に関する知っておきたい概念や定義について、簡単に説明します。

ゼロトラストモデル

Forrester Research 社のアナリストである John Kindervag 氏による、「Never Trust, Always Verify（決して信頼せず必ず確認せよ）」という考え方です。

ゼロトラスト・アーキテクチャ（ZTA）

米国国立標準技術研究所（National Institute of Standards and Technology：NIST）による「ゼロトラスト」の定義や 7 つの理念です。

すべてのデータソースとコンピューティングサービスはリソースと見なす

ネットワークの場所に関係なく、全ての通信を保護する

企業リソースへのアクセスは、セッション単位で付与する

リソースへのアクセスは、クライアント ID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的なポリシーによって決定する

企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する

全てのリソースの認証と許可は動的に行われ、アクセスが許可される前に厳格に実施する

企業は、資産やネットワークインフラストラクチャ、通信の状態について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

引用：PwC コンサルティング合同会社／NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳