ゼロトラストとは?従来型との違いやメリット・デメリットも解説!
ゼロトラストとは?従来型との違いやメリット・デメリットも解説!
ゼロトラストとは、「すべて信頼しない」という考えに基づいた、セキュリティソリューションです。従来のセキュリティモデルとは異なり、外部だけでなく内部ネットワークからのアクセスもすべて疑って制御します。情報セキュリティに関心がある企業担当者の中には、「セキュリティ対策を見直したい」という人もいるでしょう。
当記事では、ゼロトラストの基本的な考え方や従来のセキュリティモデルとの違い、ゼロトラストを導入するメリット・デメリットを解説します。新しいネットセキュリティを構築したい人は、ぜひ参考にしてください。
目次
2-1. クラウド・リモートワーク時のセキュリティを強化できる
1. ゼロトラストとは
「ゼロトラスト」とは、2010年にアメリカの企業によって提唱されたセキュリティソリューションです。基本的に「すべてを信頼しない」という考え方で、ネットワークセキュリティ対策を講じます。外部だけでなく、内部ネットワークからのアクセスもすべて疑って制御するのが特徴です。オフィスワークとテレワークを組み合わせた働き方「ハイブリッドワーク」によって複雑化した現代のセキュリティ課題にマッチしていると、注目を集めています。
以下では、ゼロトラストが従来のセキュリティと異なる点や将来性について説明します。
1-1. 従来のセキュリティモデル
従来の社内セキュリティ対策は、ネットワークを「信頼できる」内部と「信頼できない」外部の2つに分けて考えています。ファイアウォールやプロキシ、IDS/IPSなどを境界線上に設置し、通信を監視・制御していました。「境界型セキュリティ」と称されています。
近年、モバイル機器やクラウドの普及によって、内部と外部の区別が曖昧になる問題が生じてきました。保護すべきデータが内部だけでなく外部にも存在するようになった中、登場したのが「ゼロトラスト」です。すべての通信に対応して細かに制御し、より強固なセキュリティ体制を実現します。
1-2. ゼロトラストの必要性
ビジネスアプリケーションは、従来の境界防御モデルのセキュリティで保護されてきました。しかし、クラウドサービスの普及によってインターネット上に重要な情報資産が置かれる機会も増加しています。セキュリティリスクが上がり、内部情報を守る必要性が高まっているのも課題です。
勤務形態にも変化があり、働き方改革でテレワークが推進されました。社外で利用されるモバイルデバイスは、公衆無線LANのようなパブリックネットワークに接続される恐れがあります。各端末を保護し、不正アクセス制御の対策を講じる企業の数は右肩上がりの状態です。そのため、「内部でも外部でもないネットワークで、セキュリティリスクから情報資産を保護する」という考え方のゼロトラストが必要とされています。
2. ゼロトラストのメリット
ゼロトラストを導入するとさまざまなメリットがあります。注目すべきは、強固なセキュリティシステムの構築ができる点です。高いセキュリティレベルを維持できると、働き方に柔軟性が生まれます。場所を選ばずに働け、リモートワークやフレックスタイム制度の導入も推進できるでしょう。
ここでは、ゼロトラストのメリットを2つ紹介します。
2-1. クラウド・リモートワーク時のセキュリティを強化できる
ゼロトラストセキュリティは、クラウド利用時の情報漏洩リスクを低減できます。すべてのユーザーに最小限の権限のみ与えるので、各社員のアクセスできる領域には制限があります。常にログを収集するため、インシデントの検出と原因特定が迅速に行える点もメリットの1つです。
クラウドサービスだけでなく、社員が持っている私用のデバイスも安全に利用できるため、リモートワークのセキュリティ管理を強化できます。社員が社外からアクセスする場合でも、安心して情報セキュリティを保護でき、働く場所を選びません。
2-2. セキュリティの管理が効率的になる
従来のセキュリティモデルでは、境界線上にファイアウォール・VPNなどの複雑な設定が必要でした。しかし、ゼロトラストセキュリティではクラウド上で一元管理できます。異なる拠点でも同一のセキュリティポリシーを適用できるのが強みです。
ゼロトラストでは、VPN接続や社内ログの確認は必要ありません。SMSによる認証でデバイスとユーザー認証できるシステムもあるため、セキュリティ設定の簡略化と管理する手間の軽減が可能です。企業にとって導入や運用がシンプルな点もメリットの1つです。
3. ゼロトラストのデメリット
ゼロトラストのデメリットとして、ランニングコストがかかる点が挙げられます。ゼロトラスト導入の際は、新たにシステムを構築する初期費用が必要です。導入後は、管理システムやツールの運用コストが発生する場合もあります。境界型モデルからの移行にあたり、重複期間が発生すれば、一時的にコストが割高になることも考えなくてはなりません。従来の境界型防御セキュリティで情報が漏洩した際の被害額と比較した上で、ゼロトラストの導入を検討するのも1つの方法です。
セキュリティ認証の回数が増えるため、アクセスする手間がかかるデメリットもあります。ゼロトラストでは、ユーザーのアクセス状況を監視するほか、都度アクセス許可・制限を判断するため工数が増えるのも特徴です。2段階認証や多要素認証といったより安全性の高い認証方式が必要となるので、ログインに手間や時間がかかります。社内でもセキュリティ認証を要求されるため、社員が面倒と感じる場面が想定されます。
4. ゼロトラストの実践に必要な7つの要件
ゼロトラストモデルを実現するためには、7つの要件を満たす必要があります。以下は、7つの要件を簡単に説明したものです。
ゼロトラストモデルは考え方や概念を表しているため、ソリューションやガイドラインを参考に企業に合った情報セキュリティ対策を講じるのが大切です。
5. ゼロトラストを導入する際の注意点
ゼロトラストを導入する際には、いくつかの注意点があります。まず、各ユーザーに最小限のアクセス権を与える必要があるものの、従来の認証方式だけではID管理が不十分です。その場合は、多要素認証やIPアドレス制限をおすすめします。
デバイス管理も重要で、業務に使用されるモバイルデバイスを管理するツールや、エンドポイントにおける不審な挙動を検知するツールが必要です。セキュリティサービスの管理やチェック、従業員への周知など運用体制を整備する必要もあります。
まとめ
ゼロトラストとは、「すべてを信頼しない」という考えの基、外部だけでなく内部ネットワークからのアクセスも疑って制御するセキュリティソリューションです。ゼロトラストはクラウド利用時の情報漏洩リスクを低減できるほか、セキュリティの管理が効率的になるなどのメリットがあります。
セキュリティ対策を強化するには、適切な自社の評価・見直しのプロセスを踏むことが大切です。CTCの「Security Steward」は、自社の分析・外部評価を含めて次のアクションを立案・実施できるソリューションです。セキュリティ対策を強化したい人はぜひご検討ください。
自社のセキュリティ分析に役立つ「Security Steward」はこちら
