ゼロトラスト(Zero Trust)は、従来の境界型セキュリティモデルとは異なり、ネットワーク内部と外部の境界を信用せず、すべてのユーザーやデバイスを信頼せずに認証・検証するセキュリティモデルですが、
極めて包括的なコンセプトであるため、ゼロトラストを実現するための具体的な技術やソリューションは様々で、わかりづらい面があるのではないでしょうか。
目次
境界型セキュリティモデルとは
従来の境界型セキュリティモデルは、企業のネットワークを内部と外部に分け、外部からの脅威を防ぐことに重点を置くアプローチです。このモデルでは、境界にセキュリティ対策を施すことで、外部からの攻撃や内部犯行を防いできました。
特に、OA系システムでは、不審メール対策やWebアクセスの制限、マルウェア対策、セキュリティ監視、DLP(情報漏洩防止)などの対策が取られました。これらは、端末にインストールするウィルス対策ソフト以外は、主に、インターネットとの境界で対策が行われてきました。これにより、外部脅威への対策だけでなく、内部犯行対策や職員への牽制などの役割が果たされてきました。
業務システムにおいては、FWを用いて外部との通信を制御するとともに、外部との通信を監視することで、内部のデータやシステムを保護してきました。
環境の変化と境界型セキュリティモデルの課題
ゼロトラストの必要性の説明として、「従来のセキュリティモデルでは、企業の内部ネットワークを信頼し、外部からの脅威を防ぐことに重点を置いていました。しかし、クラウドサービスの利用やリモートワークの普及により、内部と外部の境界が曖昧になり、従来のモデルでは対応が難しくなってきました。」のような説明を見受けることがあります。これはこれでそうなのですが、OA系システムと業務システムを一緒にして話をしてしまうと、業種によってはわかりづらくなってしまうと思われますので、分けて考えた方がいいと思っており、今回はOA系システムについて話そうと思います。
OA系システムにおける環境の変化は、リモートワークの拡大とMicrosoft 365のようなOA系サービスのクラウド利用の拡大です。これによって、端末やサーバ(の一部)が社外になりました。ただし、この段階では、リモートワークは社外の端末からVPN等によって社内ネットワークに入り、インターネットの利用やOA系クラウドサービスの利用は、社内ネットワーク内の端末と同様に、社内のゲートウェイを経由する仕組みで行われることが多いと思います。この形態を「第一形態」と呼びます。
実は、第一形態ではリモートから接続であっても境界型対策は有効ですからゼロトラストの必要性は高まりません。
リモートワークとクラウド利用を拡大すると境界型モデルが破綻する
ところが、リモートワークとOA系クラウドサービスの利用を進めていくと境界部分の能力が限界に達してしまい、職員のOA業務に支障が出るような事態になりかねないのです。特に、オンライン会議は通信量が多くネットワークに大きな負荷がかかります。
この課題に対応するためには、リモート端末からのOA系クラウドサービス利用はインターネットを経由させることが必要になります。この形態を「第二形態」と呼びます。
第二形態では、リモート端末に対しては、境界で行なっていたセキュリティ対策が効かなくなってしまいますので、対策が必要となります。これが、前述の「クラウドサービスの利用やリモートワークの普及により、内部と外部の境界が曖昧になり、従来のモデルでは対応が難しくなってきました。」ということになります。加えて、端末が直接インターネットと接続することで従業員の誤操作や悪意ある行動による情報漏洩のリスクも高まります。
OA系システムにおけるゼロトラスト
OA系システムにおけるゼロトラストとは、リモートワークやクラウドサービスの利用拡大によるOA環境の利便性・効率性の向上を実現するため、従業員がどこからでも安全にアクセスできる環境を提供しつつ、外部・内部の脅威に対するセキュリティを強化することと言えます。
OA系システムにおけるゼロトラストを実現するための代表的なソリューションは以下の通りです。
1. ID管理とアクセス制御
多数のクラウドサービス利用に伴うID/Password管理の複雑化の対策としてIDを統合的に管理し、SSOによるパスワードレス化や利用を許可するサービスの制限等アクセス制御を行います。
2. MFA(多要素認証)の導入
従来のID/Passwordのような人の記憶を利用する「知識情報」の他に、別端末やデバイス証明書等の「所持情報」、指紋や虹彩等の「生体情報」のように複数の要素を組み合わせて認証を行います。ID/Passwordは流出や推測できる可能性があるため、個人に依存するような情報を合わせることでより強固な認証を実現します。
3. MDM(Mobile Device Management)とEDR(Endpoint Detection and Response)
MDMは、企業内のすべてのモバイルデバイスを一元管理し、セキュリティポリシーに従わないデバイスを自動的にロックしたり、データを削除したりします。EDRは、エンドポイント(PCやスマートフォン)での異常な動作をリアルタイムで検知し、脅威に対して迅速に対応します。
4. SWG(Secure Web Gateway)とCASB(Cloud Access Security Broker)
SWGは、境界型ではインターネットプロキシが担っていた機能をインターネットtoインターネットの環境で提供するものです。ユーザーがWebにアクセスする際、すべてのトラフィックが検査され、危険なサイトへのアクセスを防ぎます。
CASBはURLフィルタのようなクラウドサービスへのアクセスを許可するかしないかのような単純な制御だけでなく、利用目的に合わせた細かな操作制御を行い、データの流出や不正アクセスを防ぎます。
5. ZTNA (Zero Trust Network Access)
ZTNAは、リモートから社内ネットワークへのアクセスを強化するソリューションです。VPNよりも柔軟で安全なアクセス管理が可能で、具体的にはVPNは、ユーザーがネットワーク全体にアクセスすることを許可するのに対し、ZTNAはアクセスを必要最小限に制限し、個別のアプリケーション単位で管理することが可能です。
6. SASE(Secure Access Service Edge)
SWG、CASB、ZTNA等を統合して提供するクラウドサービスやリモートワークに対応した総合セキュリティ対策ソリューションです。
7. DLP(Data Loss Prevention)
DLPは、機密データが不正に外部に流出しないように保護するソリューションです。ゼロトラストの環境におけるDLPは、端末側(エンドポイント)での監視が非常に重要な役割を果たしますが、それに限らず、ネットワークやクラウドなど、複数のレイヤーでの監視が必要です。
北尾 辰也
サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。