新たなセキュリティフレームワークの考え方として、ゼロトラストが注目されています。提言自体は2010年ですが、そのコンセプトの導入においては一度に変えていくのではなく、既存のしくみも活用したハイブリッドな導入が必要になります。この記事では、ゼロトラストの基本的な考え方、注目される背景とあわせて事前に検討すべき事項などについて紹介します。
ゼロトラストとは
ゼロトラストとは、境界だけでなくネットワーク内のあらゆるものを遮断する必要があるという前提で、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ごうとする考え方です。2010年に米国の調査会社ForresterResearch, Inc の John Kindervag 氏が提唱しました。
名前の通り「何も信用せず、すべての通信を疑う」とするコンセプトで、昨今の情報セキュリティの考え方では攻撃者に境界を破られてネットワーク内を水平移動されるリスクがあることから、従来のネットワークの境界(内部と外部)を区別したセキュリティ対策は必ずしも有効ではない、とする考え方に基づいています。
Kindervag 氏は、ゼロトラスト実現のために7つの技術的カテゴリーがゼロトラスト実現のために有効に機能する実装要件として検討できる、として紹介しています。
- ネットワークセキュリティ
- デバイスセキュリティ
- アイデンティティセキュリティ(ID管理)
- ワークロードセキュリティ
- データセキュリティ
- 可視化・分析
- 自動化
ゼロトラストの基本的な7つの考え方
2010年に提唱されたKindervag 氏の考え方を元にして、実装するために重要となる指針を2020年8月にNIST(National Institute of Standards and Technology:米国立標準技術研究所)が、「NIST SP800 207 Zero Trust Architecture(通称、NIST SP800-207)で「ゼロトラストにおける7つの基本原則」として紹介しています。
- データソースとコンピュータサービスは、全てリソースと見なす
- 「ネットワークの場所」に関係なく、すべての通信を保護する
- 企業リソースへのアクセスを、セッション単位で付与する
- リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた「動的ポリシー」により決定する
- すべての資産の整合性とセキュリティ動作を監視し、測定する
- すべてのリソースの認証と認可を行い、アクセスが許可される厳格に実施する
- 資産・ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する
これらの7つの基本原則をまとめ、以下を満たした状態が理想的なゼロトラストであると提言されています。
- 全てのリソースへのアクセスの認証と認可がリクエストごとに動的に決定される
- 全てのリソースの状態が、その判断に用いられる
- 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている
ゼロトラストが注目される背景
ゼロトラストが注目される背景は、第一に従来のセキュリティモデルである境界型防御の限界にあります。かつてインターネットが普及する前までは、社内ネットワークは外部ネットワークと完全に切り離され、データ授受などは社内だけで完結していました。
その後、業務でのインターネット利用が進む中で、社内の情報資産を守るためにインターネットと社内ネットワークとの境にファイアウォールなどのセキュリティー機器を置き、社内ネットワークと社外ネットワークを区別する形でセキュリティモデルが組まれるようになりました。これが境界防御と呼ばれる従来のセキュリティモデルです。
しかし2010年代以降になってクラウドサービスの業務利用が増えたり、様々なモバイル端末が登場したり、企業が許可していないクラウドサービスが利用されてしまうシャドーITの問題や、内部不正による情報漏洩なども発生するようになりました。
従来のセキュリティモデルとゼロトラストの違い
2019年末以降のCOVID-19の大流行にともなうテレワークの増大がこの傾向を加速させました。JPCERTコーディネーションセンター(JPCERT/CC)のレポートによると、2019年からインシデント報告数が一気に増加しています。
出典:JPCERT/CC インシデント報告対応レポートから当社作成
このように、企業が守るべき情報資産は外部に分散する状況になり、社内ネットワークと外部との境界を防御するだけではセキュリティリスクを回避できなくなっています。インターネットに接続する社内PCだけでなく、業務で利用する様々なクラウドサービスのサーバー、リモートで利用するノートパソコン、モバイル端末など、さまざまな場所をサイバー攻撃や情報漏洩などのセキュリティリスクから防御しなければならないのです。
ゼロトラストを導入する3つのメリット
1. より厳密な情報管理の実現
あらゆるトラフィックやデバイスなどをその都度認証し、クリアしたものだけがアクセスできる環境になるため、攻撃からの防御や情報漏洩リスクを回避します。万一インシデントが発生した時にも、原因特定や影響範囲の検出、対応にかかる時間を最小限に抑えることができます。
2. 多様な働き方に対応
デバイスやネットワーク、アプリケーションなど様々な対象に対策を講じられることから、社外や自宅などあらゆる場所や環境、端末から安全にアクセスできるようになります。社内での作業やテレワークなどの多様な働き方を、セキュアな環境で実現できます。
3. 管理運用コスト減少、拡張性の容易さ
従来はセキュリティ対策を複数のしくみを用意して対応していたため、多数のアウトソースベンダーを使うことになり、セキュリティポリシーの不統一による管理の煩雑さや、各機器の管理や運用のコストが掛かっていました。ゼロトラストではクラウド上で各セキュリティを一元管理できることから、管理の手間やコストを減らすことができるようになります。
また一貫したセキュリティポリシーで管理できるため、システム統合や拡張の検討も容易になります。
事前に検討すべき事項
ゼロトラストを実現するうえでは、既存で運用しているインフラストラクチャーやプロセスを一気に全面的に入れ替えることは現実的ではありません。したがってゼロトラストを中長期のセキュリティ戦略として捉え、段階的に導入していくことをお勧めします。
実際にはゼロトラストと境界型防御の対策を同時に進めるハイブリッドな運用になり、自社の情報管理・セキュリティ課題を解決するために必要な機能とシステム構成を見極め、適切なサービス選定と導入計画を立てることになります。部門やシステム、業務等の単位で実装難易度や効果、コストを比較し、優先度を決め、段階的に導入していきましょう。
ゼロトラストを段階的に推進する上で有効なメールセキュリティソリューション
現実的なセキュリティ対策を進める上で、ミッションクリティカルなものから優先的に導入することが重要です。中でもメールは主要なランサムウェアの感染経路であり、なりすましメール、フィッシングメールなどの脅威が大きいことから、メールセキュリティソリューションの検討を推奨します。
Microsoft 365やGoogle Workspace対応のメールセキュリティ対策
Cloud Mail SECURITYSUITE(CMSS)は、Microsoft 365やGoogle Workspaceを月額200円からランサムウェアを含むマルウェアメールの受信防御、なりすましメールやフィッシングメールの受信防御、不正なURLの無効化、サンドボックスを導入できます。詳しくは 3分でわかる「Cloud Mail SECURITYSUITE」をご覧ください。
現在ご利用中のメールシステムにワームの侵入を防ぐメールセキュリティ
MAILGATE Σ(メールゲーツ シグマ)は、オンプレミス製品とMicrosoft365やGoogle WorkSpaceなどのクラウドサービスにも対応できるクラウドメールセキュリティサービスです。
アンチスパム、フィッシングメール対策、なりすましメール対策、ビジネスメール詐欺(BEC)対策に加え、マルウェアやEMOTET(エモテット)などのトロイの木馬の受信防御を月額100円で実現します。受信したメールに潜む未知の脅威を防御するサンドボックスを、月額200円で導入できます。
詳しくは、エモテット対策やパスワード管理等の総合メールセキュリティサービス MAIL GATES Σ をご覧ください。
関連記事
SASEとゼロトラストとの違いや、クラウド時代に必要なセキュリティモデルの考え方とは?
多層防御とは?巧妙化するサイバー攻撃手法を踏まえた3重の鉄壁、その技術的対策
DMARCとは? なりすましメールからお客様、取引先、従業員を守るために
フィッシングメールとは?被害事例と被害に遭わないための対策をわかりやすく解説