ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

ゼロトラストとは

ゼロトラスト（Zero Trust）とは「何も信頼できない、全てを検証する」ことを前提にセキュリティを構築するという考え方です。具体的には、次のような姿勢でセキュリティを構築します。

• 全てのトラフィックは信用できない
• 内部からのアクセスでも、以前検証したアクセスでも信用しない
• あらゆる端末や通信のログをチェックする
• ネットワークの境界ではなく、データやデバイス、IDを守る

ゼロトラストネットワークとは

ゼロトラストに基づいて構築されたネットワークが「ゼロトラストネットワーク」です。ゼロトラストネットワークでは、あらゆるアクセスに毎回認証を行い、全ての端末や通信のログを記録できるようにします。

ゼロトラストセキュリティとは

ゼロトラストに基づいて構築されたセキュリティモデルが「ゼロトラストセキュリティ」です。「ゼロトラストアーキテクチャ」「ゼロトラストネットワークアーキテクチャ」「ZTA」「ZTNA」ともいいます。

ゼロトラストの基本原則

ゼロトラストの原則を示すものとして、NIST（National Institute of Standards and Technology：アメリカ国立標準技術研究所）が提唱している「ゼロトラストにおける7つの基本原則」があります。

1. 全てのデータソースとコンピューティングサービスはリソースと見なす
2. ネットワークの場所に関係なく、全ての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
5. 企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
6. 全てのリソースの認証と認可は動的に行われ、アクセスを許可する前に厳格に実施する
7. 企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティの改善に利用する

^{引用：SP 800-207, Zero Trust Architecture｜NIST（英文）
引用：NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳｜pwc（日本語訳）}

なぜゼロトラストセキュリティが必要なのか

なぜいま、ゼロトラストが求められているのでしょうか。大きな理由は、ビジネス環境の変化です。

ゼロトラストセキュリティが求められる背景

ゼロトラストが求められる理由としては、次の4つが挙げられます。

• クラウドサービスの普及
  業務にクラウドサービスを利用することが一般的になるにつれて、社外から社内ネットワークへのアクセスが増加しました。
  社内から社外へ、また社外から社内への両方のアクセスがあります。
• コロナ禍によるテレワーク、ハイブリッドワークの増加
  コロナ禍によりテレワークやハイブリッドワークを導入する企業が増えたことも、リモートアクセスの増加につながりました。
  多くの企業では、リモートアクセスにはVPNなどの、セキュリティの高いアクセス方法を利用しています。しかし、どんなにセキュリティを高めても、不正なアクセスをゼロにはできません。
  リモートアクセスのセキュリティ対策やVPN接続については、以下の記事をご参照ください。

関連記事

リモートアクセス環境でのセキュリティリスクとは？対策や安全な接続方法を紹介

関連記事

リモートアクセスとVPNの違いとは？VPNの種類や構築する際の流れを解説

• 内部からの情報漏洩の多発
  社内ユーザーのヒューマンエラー、持ち出しによる紛失、内部不正など、内部者の行動に起因する情報流出も起こりえます。ネットワーク内部のアクセスであっても、完全に安心することはできません。
• 外注する場面が増えたことによるセキュリティリスクの増加
  アウトソーシングにより、社外スタッフが社内ネットワークにアクセスすることが増え、それによる情報漏洩といったセキュリティリスクの増加もあります。

これらの理由により、境界の内側を守る従来のセキュリティではデータや端末を守りきれなくなってきているのです。

ゼロトラストと従来のセキュリティモデルとの違い

従来のセキュリティモデルは「境界型防御」「ペリメタモデル」「ペリメータセキュリティ」などといいます。ネットワークを「信頼できる内側」（社内ネットワーク内部やVPNで接続された部分）と「信頼できない外側」（社外）に分け、境界線を防御することで内側を守っていました。端末やデータは、基本的に境界の内側にあります。

従来の境界型防御では「Trust but Verify（信ぜよ、されど確認せよ）」を掲げ、一度検査したアクセスは信用できるものとみなします。

一方で、ゼロトラストモデルは「Verify and Never Trust（決して信頼せず必ず確認せよ）」を掲げ、セキュリティの対象を境界線で区切らずに、全てのアクセスやトラフィックを「平等に信頼しない」方針です。

現在は、クラウドベースのリソースやテレワークの端末など、社内・社外に関係なく守るべき端末やデータがあるため、ゼロトラストモデルの必要性が高まっています。

ゼロトラストセキュリティを行うメリットとデメリット

ゼロトラストセキュリティを導入すると、全てのアクセスや端末を平等に信用せず、常に厳重なセキュリティチェックを行います。そこには、どのようなメリットとデメリットがあるのでしょうか。

メリット

• 時間や場所を問わずに仕事ができる
  ゼロトラストセキュリティを導入することで、社内・社外を問わずに厳重な認証を行い、安全性を確認します。そのため、社内だけでなく社外からも安心して社内ネットワークにつなぐことが可能です。仕事をする場所を問わないので、テレワークやハイブリッドワークを安心して行うことができます。
  ハイブリッドワークについて詳しくは、以下の記事をご参照ください。

関連記事

ハイブリッドワークとは？導入のメリットや課題、事例も含めて紹介

• テレワークで私物の端末も安心して使える
  社外の端末でも厳重にセキュリティチェックや認証を行って安全性を確認するため、安心して私物の端末を利用できるようになります。
• クラウドサービスを安心して業務に利用できる
  全てのトラフィックをチェックするため、クラウドサービスの通信ログを確認し、以前認証したアクセスについても厳しくチェックしていきます。
  そのため、これまでクラウドサービスのセキュリティに不安があり利用をためらっていた企業も、安心して利用できるようになります。
• セキュリティの設定もシンプルになる
  従来のセキュリティモデルでは、VPNやファイアウォールなど、境界部分に複雑なセキュリティや設定が必要でした。しかし、ゼロトラストセキュリティなら、全てのアクセスに同じように厳重な認証を行うため、設定もシンプルになります。

デメリット

• コストと時間がかかる
  ゼロトラストセキュリティでは、全てのアクセスで認証を行います。また、ネットワーク上のリソースを常にモニタリングし、ログ監視を行うなど、やるべき対策が多く、対応範囲が広くなります。
  そのため、維持するためのコストと時間がかかります。
• ログインに手間がかかる
  セキュリティを強化するためには、全てのアクセスで認証を行うだけでなく、2段階認証や多要素認証など安全性の高い認証方式が必要です。また、短時間で認証が切れるので、こまめに認証し直す必要があります。そのため、ログインとその状態を維持する手間がかかります。

ゼロトラストセキュリティを実現するためのポイント

ゼロトラストセキュリティを実現するために注意するポイントは、次のとおりです。独立行政法人 情報処理推進機構 の「ゼロトラスト導入指南書」を参考に紹介します。

ゼロトラストセキュリティ導入のポイント

現在、完全にゼロトラストを実現できるようなソリューションはありません。以下のポイントをおさえた対策を組み合わせて、ゼロトラストセキュリティの実現に近づけていくことを紹介しています。

• ID 管理の強化【IDaaS】
  IDaaSは「Identity as a Service」の略。 IDやパスワードによる認証だけでは不十分と考え、強化されたセキュリティのもとで認証情報を一元的に管理します。
• デバイス管理の強化【EMM、EDR】
  EMMは「Enterprise Mobility Management」の略であり、デバイスからの情報流出を防いでアプリケーションを管理します。EDRは「Endpoint Detection and Response」の略で、ウイルス検知を行います。
• ネットワークセキュリティ対策【SWG/SDP】
  SWGは「Secure Web Gateway」の略で、 SDPは「Software Defined Perimeter」の略です。これらの対策により、VPNゲートウェイの機能をクラウドサービスとして利用することが可能となり、セキュリティを強化しながら帯域の渋滞を防ぎます。
• セキュリティ運用の自動化【SIEM/SOAR】
  SIEMは「Security Information and Event Management」の略です。SIEMでさまざまな業務リソースの動作状況のログやデータを一元的に集約し、情報漏洩やマルウェア感染などのインシデント発生時に確認します。SOARは「Security Orchestration, Automation and Response」の略で、インシデントの監視・分析を行い、自動的に対応することが可能です。

ゼロトラストセキュリティ運用のポイント

また、ゼロトラストセキュリティを運用する際には次のような注意点があります。

• ゼロトラストの意義をユーザー（社員）に周知し、理解を求める
  ゼロトラストセキュリティを導入すると認証に手間がかかるため、社員から苦情が出る可能性があります。セキュリティのために重要な作業であることへの理解を求める必要があります。
• ゼロトラストを推進する体制づくりを行う
  ゼロトラストの意義を理解してもらうだけでなく、全社で推進する雰囲気を作っていく必要があります。
• 企業にとってセキュリティはコストではなく投資と考える
  ゼロトラストセキュリティは、これまでのセキュリティよりも手間や費用がかかります。そのため、不要なコストとみなす経営層もいるようです。
  セキュリティはコストではなく投資であることを経営層に説明し、予算を確保する必要があります。
• 対策は定期的に見直す
  セキュリティのリスクは常に変化しています。一度設定した対策がそのまま長期にわたって通用するわけではありません。定期的に見直しを行い、そのときにふさわしいセキュリティを用意する必要があります。

^{参考資料：ゼロトラスト導入指南書〜情報系・制御系システムへのゼロトラスト導入〜｜独立行政法人 情報処理推進機構
参考URL：ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構}

新たなセキュリティフレーム「SASE」

SASEは「Secure Access Service Edge」の略で、ゼロトラストを前提としたセキュリティの最新のフレームワークです。ネットワーク（WAN）機能とネットワークセキュリティ機能の両方を提供し、ロケーションに依存しないセキュリティを確保します。2019年に提唱された新しい仕組みで、現在注目されています。

ゼロトラストと混同されがちですが、ゼロトラストはセキュリティを構築する考え方なのに対し、SASEは実際にサービスを提供する仕組みとなります。

今後はゼロトラストを前提にしたセキュリティが必要

クラウドサービスやテレワーク、ハイブリッドワークなどの普及により、社内ネットワークにも社外からのアクセスが増えています。そのため、これまでのような従来のセキュリティモデルではデータや端末、ユーザーを守れなくなっています。

今後のセキュリティは、全てのアクセスを信用せずに認証を行う「ゼロトラストセキュリティ」を基本として考える必要があります。自社のスタッフだけで行うセキュリティ対策に不安を感じている場合は、できるだけゼロトラストセキュリティに近づけることが可能なセキュリティツールを導入しましょう。

「CACHATTO」は、多くの企業におすすめできるリモートアクセスツールです。端末にデータを残さず、多要素認証や端末の安全性を確認してのログインなど、ゼロトラストが持つ考えに則した高いセキュリティを誇り、リモートアクセスでも安全性を確保します。製品のシリーズには、リモートデスクトップやセキュアブラウザなどのさまざまな種類があり、自社の要望に合わせたツールを選ぶことが可能です。いずれも安全性が高く、容易にリモートアクセスを実現できるので、 IT担当者が不足している企業でも安心して導入できるでしょう。

「CACHATTO」は、11年連続国内シェアNo.1、累計導入数1,500社以上（※2022年2月時点）という高い実績で、幅広い業種で使われています。詳しくは以下をご覧ください。