ゼロトラスト
信頼せず攻撃されることを前提として
対策する情報セキュリティモデル
情報セキュリティの中心
ゼロトラスト
新型コロナウイルス感染対策によって急速に普及したテレワークに伴い、企業のネットワークと情報セキュリティのあり方が大きく変わりつつあります。その変革の中心にあるのがゼロトラストです。
ゼロトラストは、Forrester Research社が2010年に提唱した概念で、「社内は安全である」という従来の前提に基づく境界型のセキュリティ対策ではなく、「すべてを信頼しない(ゼロトラスト)」という前提に立ち、すべてのユーザーやデバイスを検査し、ログを取得する情報セキュリティの考え方です。
境界線はありません
ゼロトラストセキュリティでは、「信頼できる内部ネットワーク」と「信頼できない外部ネットワーク」という区別を前提にしません。
モバイルやクラウドの導入によって、従来のネットワーク境界に基づくセキュリティの考え方が通用しなくなってきています。
その代わりに、従業員、出向社員、パートナー、契約社員など、多様なユーザーがどの場所からでも、どのデバイスやネットワークを通しても安全にアクセスできる環境を整えることが重要です。
ゼロトラストセキュリティのアーキテクチャを構築するための万能な解決策は存在しませんが、まず最初にユーザーのアイデンティティとアクセスの管理を主要な技術として検討することが求められます。
この考え方に基づいた防御システムを、ゼロトラストモデルまたはゼロトラストネットワークと呼びます。
「ユーザーやデバイス」の状態に応じて信頼の有無を都度確認し、各リソースへのアクセス許可を与える考え方
DXの活用が進み業務効率が向上する一方で、セキュリティリスクが顕在化し、脅威が増大しています。
従来の境界型モデルと呼ばれる情報セキュリティ対策は、ネットワークを安全な社内と危険な社外に分け、その境界にファイアウォールなどのセキュリティ機器を設置するもので、多くの企業で採用されてきました。
しかし、この境界型モデルには、いったんウイルスが内部に侵入すると、内部からのサイバー攻撃に対して脆弱であるという弱点があります。
さらに、社外でのクラウド利用など、境界を経由しない通信に対しては防御が難しいという課題もあります。
現在では、クラウドの普及により、外部であるインターネット上に保護すべきデータが存在するケースが増えてきました。
このように、守るべき対象がさまざまな場所に分散しているため、境界が曖昧になり、従来のセキュリティモデルでは十分な対策が難しくなっています。
増大する脅威と
境界型モデルによる
防御の限界
- 社外で業務を行う際にも、社内と同等のセキュリティレベルを確保したいと考えています。
- 本社にUTMを導入済みですが、ビジネススタイルの変革により通信量が増加し、負荷対策やシステムの増強が求められています。
- ダウンロードするファイルの検査も徹底したいです。 ・ますます巧妙化するフィッシングサイトからの防御も強化したいと考えています。
- 侵入防止対策だけでなく、EDR(エンドポイント検出と対応)の強化も必要です。
- モバイル環境ではMDMを導入していますが、マルウェアに対する包括的なセキュリティ対策が不十分です。
- 社内の端末にはiOSとAndroidが混在している状況です。
- 標的型攻撃やランサムウェア、フィッシング、疑わしいメールなど、メールを介した攻撃が増加しています。
- パスワード付き添付ファイルの検査も実施できていないのが課題です。
ゼロトラストモデルと
構成要素
ゼロトラストモデルでは、デバイスや情報資産が社内にあるか社外にあるかに関わらず、すべての通信をエンドポイントとクラウドでしっかりと防御します。
このモデルの防御は、端末防御、ネットワーク、認証、クラウド制御、運用管理の5つの要素によって構築されます。
それぞれの要素にはさまざまな製品やサービスがあり、目的に応じて最適な組み合わせを選定することが重要です。
ゼロトラストが注目される背景には、急速に進むワークスタイルの変化が大きく影響しています。
企業内のITシステムは、コロナ禍やDX(デジタルトランスフォーメーション)の流れを受けて、今後3年から10年の間に「クラウドシフト」がさらに加速していくと予想されます。
これにより、従来社内にあった業務システムがクラウドサービス上で稼働するようになるため、ネットワークの整備が不可欠となります。また、いつでもどこでも仕事ができる環境では、外部で使用するデバイスの紛失やウイルス感染による情報漏えい対策も重要です。
働き方改革やテレワークの普及、クラウドシフトの進展により、従来のネットワークトポロジーやセキュリティの考え方が変わり、ゼロトラストの重要性がますます高まっています。
ゼロトラストモデルへの段階移行
STEP:1
境界型防御
クラウド利用の普及や働き方改革によるテレワークの推進、そして標的型攻撃をはじめとするサイバー攻撃の高度化により、ゼロトラストモデルへの関心が高まっていましたが、コロナ禍によりこの流れが急速に加速しました。
とはいえ、ゼロトラストモデルへの移行は一朝一夕には進みません。
多くの企業は、急増するテレワークに対応するため、まずは従来の境界型モデルを維持したままリモートアクセス環境の整備や強化を進めてきました。
その過程で、Web会議によるトラフィックの増加や、自宅からのインターネット利用に対する防御が新たな課題となりました。
STEP:2
ゼロトラスト併用
次のフェーズでは、トラフィックの増加に対応するため、自宅や各拠点からクラウドサービスへ直接アクセスできる環境を整備します。
この際、クラウドへの通信は、ゼロトラストモデルのクラウド制御を活用して防御します。
さらに、万が一マルウェアなどがウイルス対策ソフト(EPP)をすり抜けた場合でも、PCの挙動やログから不審な動作や痕跡を検出できるEDRを導入し、端末の防御を強化します。
また、外部のSOCサービスを利用して、ログ解析や監視体制を強化します。
STEP:3
ゼロトラストが中心に
さらに進展すると、自宅から社内への接続を、VPNを使ったリモートアクセスからクラウド制御を利用したインターネット接続へと切り替えることが可能になります。これにより、リモートアクセス機器が不要となり、その脆弱性対策や負荷管理などの運用コストも削減されます。
最終的には、拠点間を結ぶ企業内の閉域網もインターネットを積極的に活用するようになり、すべてのデバイスが場所に関係なくクラウドによって統一的に防御され、社内サーバーやクラウドサービスにアクセスするゼロトラストモデルが実現します。
このように、ゼロトラストは情報セキュリティの強化だけでなく、企業のネットワーク構造そのものを変革する力を持っています。
NDK Total Networking & SASE Cloud インフラなら
低コスト・運用レスによって中小企業でも
導入可能なゼロトラストセキュリティを提供です!
- SDN(SD-WAN)
- WAN最適化
- QoS
- SaaSアクセラレーション
- ルーティング
- コンテンツ Delivery・Cashing
- セキュアゲートウェイ
- CASB
- ZTNA・VPN
- FWaaS
- リモートBrowser分散
- 暗号化/復号