ゼロトラストとは？ネットワークのセキュリティモデルを事例とともに解説！

ゼロトラストとは？

ゼロトラストは直訳すると「トラスト（信頼）がゼロ」つまり「何も信頼しない」という意味になります。ゼロトラストとは、「何も信頼しない」ことを前提としたセキュリティ対策の考え方のことです。

従来のセキュリティ対策では、セキュリティ製品やファイアウォール等を駆使して、社内ネットワークと外部のインターネット環境を完全に分離する考え方が一般的でした。「境界型防御」と呼ばれているセキュリティモデルであり、境界線の内側（社内ネットワーク）を「信頼できる」、外側（インターネット環境）を「信頼できない」という考え方の基で対策を講じるのが特徴です。

しかし、近年の在宅勤務などの働く環境の変化やクラウドサービスの普及により、「境界」の定義が曖昧になっている背景もあり、新たに誕生した考え方が「ゼロトラスト」です。ゼロトラストでは、境界の内・外問わずすべて「信頼できないもの」と定義し、不正アクセスの防止や企業のデバイス・データの保護などを行います。

ゼロトラストセキュリティが注目される３つの背景

近年ゼロトラストセキュリティが注目されるようになった理由は、下記の通りです。

在宅勤務との親和性が高い

コロナ禍の影響もあり、在宅勤務やオフィス勤務と在宅勤務を組み合わせたハイブリッドワークなど、私たちの働き方は多様化しました。在宅勤務では社外から社内ネットワークにアクセスするため、従来の「境界型防御のセキュリティ」ではセキュリティレベルの担保が難しくなります。そのような背景もあり、在宅勤務との親和性が高いゼロトラストセキュリティが注目されるようになりました。

クラウド環境で構築できる

近年、様々なタイプのクラウドサービスが開発されており、各企業での利用も増加しています。クラウドサービスで企業の重要なデータを保護・管理する機会も増えたため、クラウド環境でセキュリティ環境を構築できるゼロトラストセキュリティが注目されています。

VPNの限界部分をカバーできる

在宅勤務の増加と共にVPNを導入する企業も増加しました。VPNを導入することによって、社内と自宅の通信経路のセキュリティを高められるようになりましたが、VPVゲートウェイが直接攻撃を受けたり、ログイン情報が漏洩して外部からの不正アクセスを受けたりなど、課題も多く見受けられました。

VPNは万全ではないことが徐々に認識されてきた背景もあり、社内・社外問わず企業の端末やデータを守るゼロトラストセキュリティの必要性が高まりました。

ゼロトラストセキュリティをわかりやすく解説

ここでは、ゼロトラストセキュリティの仕組みや従来とのセキュリティの違い、メリット・デメリットについて詳しく解説します。

ゼロトラストネットワークの仕組みについて

ゼロトラストセキュリティは、社外ネットワークへのアクセスと社内ネットワークで起こったトラフィックのどちらに対しても対処していきます。例えば、セキュリティレベルのチェックや安全な通信が適切に行われているかなど、安全性を確保するために厳密な認証・検査を行います。

従来のセキュリティとの違い

内側の社内ネットワークを「信頼できる」、外側のインターネット環境を「信頼できない」と定義するのが従来のセキュリティの考え方です。そのため、内側へのアクセスが成功してしまうと、セキュリティレベルがそこまで高くないため、企業のデータへのアクセスは比較的容易に行えてしまうリスクがありました。

ゼロトラストでは外側・内側の概念はなく、全てのアクセスに対して安全確認を行っていきます。

ゼロトラスト構築のメリット

ゼロトラストを構築するメリットは、セキュリティの設定をシンプルにできる点です。従来のVPNやファイアウォールなどのセキュリティ対策では、境界部分に設定を行うため手間がかかりました。しかしゼロトラストではすべてのアクセスに対して認証を行うため、非常にシンプルな設定になります。

また、在宅勤務でのアクセスに対して接続する度に認証を行うため、社外からの不正アクセスを軽減できる点もメリットです。

ゼロトラスト構築のデメリット

ゼロトラストを構築するデメリットは、運用コストがかかる点です。

常に社内システムやアプリケーションへの不正アクセスを監視する必要があり、アクセスを許可した端末に対しても常に行動を監視しなければなりません。そのため運用コストが発生します。

ゼロトラストセキュリティの7つの要件

ゼロトラストには、下記の7つの要件があり、これらの要件を満たすことでゼロトラストモデルを構築できます。

1.ネットワーク・セキュリティ

社内ネットワークはデバイスごとに承認を行い、許可されていないアクセスに関しては拒否します。

2.デバイス・セキュリティ

社員が利用するデバイスのみアクセスを許可します。また、資産管理ソフトによるアップデートを行い、常に最新状態のセキュリティを維持します。

3.アイデンティティ・セキュリティ

例えば、アクセスする際のIDやパスワードを定期的に変更する、業務上必要なアクセス権しか付与しないといった作業が求められます。

4.ワークロード・セキュリティ

全てのクラウドサービスを監視することで、外部からの攻撃を防ぎます。例えば、情報システム部で許可していないクラウドサービスを社員が利用していた場合、即座に検知・警告を行ってセキュリティ事故のリスクを減らします。

5.データ・セキュリティ

機密情報などの重要データを適切に管理し、情報漏洩や社員の不正持ち出しなどを防ぎます。

6.可視化と分析

セキュリティの状態を常に可視化して的確な分析を行います。仮に攻撃を受けた際には、内容の検出や原因特定などを即座に行っていきます。

7.自動化

セキュリティの監視を常に行うためには「自動化」が必須です。障害が発生した際のプロセスやワークフローの自動化、攻撃を受けたデバイスの隔離などを自動で実行できる仕組みを構築しなければなりません。

ゼロトラストネットワーク構築の導入事例3選

ここでは、ゼロトラストネットワークの導入事例を3つご紹介します。

LIXIL のゼロトラスト戦略を促進（Akamai ）

建築資材や住宅設備の製造をメインに行っているLIXILは、様々な製品を効率よく製造するために、新しいシステムをいくつか導入しました。しかし、システムが個々で構築されたため社内外のUI/UXに統一性がなく、モバイル事業に関しては遅れをとることになりました。

この課題を解決するために、Akamaiはゼロトラストを促進するソリューションである「Enterprise Application Access（EAA）」をLIXILに紹介しました。Enterprise Application Accessは、社内システムへの安全なアクセスを提供するソリューションのことです。導入後はアプリケーションの変更やVPNの使用をすることなく、社内システムへ円滑かつ安全にアクセスできるようになりました。

参考：株式会社 LIXIL | お客様事例 | Akamai

在宅勤務で10倍に増加したアクセスに対しても安定した稼働を実現（株式会社荏原製作所）

二つ目にご紹介するのは、ゼロトラスト型のリモートアクセス環境を実現した株式会社荏原製作所の事例です。

株式会社荏原製作所では、国内社員や海外社員、メンテナンスを行うベンダーや提携代理店など、多くのユーザーの接続に対応しなければいけませんでした。社外アクセスにはVPNを利用していましたが、OSのアップデートでアクセスできなかったり、対応に工数がかかってしまったり、様々な課題が発生したため、VPNに代わる手段を検討していました。

新しいリモートアクセスの手段として荏原製作所は、アカマイのクラウド型のID認識型プロキシソリューション「Enterprise Application Access (EAA)」を導入します。EAAを導入し、国内外のユーザー約8,500人にセキュアなテレワーク環境を提供することができました。

参考：荏原製作所、アカマイのEAAで脱VPN、ゼロトラスト型のリモートアクセス環境を実現｜アカマイ・テクノロジーズ合同会社のプレスリリース

まずはID基盤のゼロトラスト化からスタート（株式会社ポケモン）

最後にご紹介するのは、株式会社ポケモンの事例です。

株式会社ポケモンの事業は多岐に渡るため、多くのビジネスパートナーと安全かつシンプルに情報共有を行うことが求められています。近年のクラウドサービスの多様化やサーバー攻撃の巧妙化などの影響でより強固なセキュリティ環境の構築が求められる中、株式会社ポケモンはマイクロソフトの 「Microsoft 365 E5 」を採用することで、ゼロトラストネットワークの整備を進めています。

Microsoft 365 E5では、動作ログやメールなどから怪しい挙動を検出する「ATP(Advanced Threat Protection)」という機能が搭載されており、レイヤーを横断した自動検証や防御が可能になりました。

参考：事例で学ぶ Windows 10 活用術(16) ゼロ トラスト ネットワークの実現に向けて――Microsoft 365 E5 で整備した包括的なセキュリティ体制のもと、ポケモンというコンテンツを "安全" "安心" に提供し続ける | TECH+（テックプラス）

ゼロトラストを構築するための3つのステップ

ゼロトラストを構築するためのステップは、下記の通りです。

ID管理を適切に行う

ゼロトラスト・セキュリティを構築するためには、社員が使っている各クラウドサービスのID・パスワードを企業で適切に管理することが重要です。

従業員1名につき複数のIDを持っているのは珍しくないため、どのような方法でIDやパスワードを一元管理するかがゼロトラスト構築の重要なポイントだといえます。

アクセス・行動履歴を可視化する

ゼロトラストのセキュリティ環境では、誰が・どの場所から・何のアプリケーションやファイルにアクセスしたのかを可視化することも目的の一つです。アクセスログなどを取得して行動履歴を可視化することで、不正アクセスの防止や情報漏洩が発生した際のスピーディーな対応へと繋がるでしょう。

セキュリティリスクの管理を徹底する

企業側でもセキュリティリスクへの管理を徹底して行うこともポイントです。まずは、社員一人一人がセキュリティ事故への危機意識を持つこと、どのような行動がセキュリティ事故へと繋がりやすいのかなどの説明から行っていきましょう。

まとめ

今回は、ゼロトラストについて詳しく解説しました。クラウドサービスの普及や在宅勤務などが増加した背景もあり、ゼロトラストでのセキュリティ対策が近年重要視されています。ゼロトラストでのセキュリティ対策を実現するためには、まずは企業側でのID・パスワードの管理、アクセスログの取得などから行い、セキュリティ体制を整えることから始めていきましょう。

▼関連記事
・CASBとは？SASE・SWGとの違い、サービス選定のポイント6選 | 漏洩チェッカー