ゼロトラストネットワークを実現するためには？従来型との違いや導入するポイント

ゼロトラストネットワークとは

ゼロトラストネットワークとは、すべての通信のトラフィックを信用しないという「ゼロトラスト」の考え方に基づいたネットワークモデルのことです。ゼロトラストは、2010年にアメリカの調査会社であるフォレスター・リサーチ社に在籍していたジョン・キンダーバグ氏によって提唱された概念です。

ゼロトラストネットワークでは、すべてのトラフィックが信用できないことを前提として、あらゆる端末や通信のログを記録できるようにネットワークを構築します。社内と社外に境界線を引いてセキュリティ対策を行う従来型とは違い、社内の通信内容も信用せずにログを監視します。

実際、社内で不正操作が行われて外部に情報が漏洩することもあるので、情報を扱う端末やユーザーID、やりとりするデータを守ることに重きを置きます。

ゼロトラストについて詳しくは、以下の記事をご参照ください。

関連記事

ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

関連記事

ハイブリッドワーク時代のセキュリティ対策！ゼロトラストの考え方とは？

従来のセキュリティ対策との違い

従来のセキュリティ対策では、「社内は安全で攻撃者に侵入されていない環境にある」ことを前提として構築されていました。そのため、基本的には社内のトラフィックは記録していないという組織もあります。

しかし、ゼロトラストでは、社内のトラフィックも含めたすべての通信を一切信用しないので、社内ネットワークを安全だとは考えません。すでに社内ネットワークに攻撃者が侵入している可能性や、不正操作によって社員が外部に情報を漏らしている可能性も考慮します。すべての通信を記録して解析を行い、不審な通信が発生していないかを監視するのです。

ゼロトラストネットワークのメリット・デメリット

ゼロトラストネットワークのメリット・デメリットについて解説します。

メリット

• あらゆる場所からのアクセスを監視して対処できる
  端末やアクセス先、ネットワークなどに左右されずに、安全性の高い通信回線を構築できます。これにより、テレワークやハイブリッドワークなどの柔軟な働き方を実現でき、生産性の向上につなげられます。
• より厳格に情報を管理できる
  ゼロトラストネットワークの導入によって、より厳正な認証と認可プロセスを構築してコントロールが可能になります。
  機密情報へのアクセス権限を細分化することで、情報漏洩のリスク低下につながるとともに、漏洩時の原因を特定しやすくなります。ユーザーごとにアクセス権限を細分化すれば、情報管理もしやすいでしょう。
• セキュリティ管理をより効率化できる
  ゼロトラストネットワークの導入によって、セキュリティ管理のさらなる効率化が実現可能です。社内外の境界線だけではなく、デバイスやネットワーク単位でセキュリティを強化できるので、セキュリティレベルの底上げができます。
  また、ゼロトラスト用セキュリティサービスの多くはクラウドで管理するので、デバイスごとにサービスを管理する必要がありません。そのため、情報システム部門の管理運用の作業工数も削減できます。

デメリット

• 利便性・快適性が損なわれる可能性がある
  セキュリティ性が高まる一方で、多段階認証やアクセス制限などによって業務の効率性や快適性が低下する懸念があります。IDやパスワードだけではなく、もう1ステップ認証が増えるだけでも手間がかかります。
  社内データ閲覧時にアクセス制限がかかっていて、情報システム部門に連絡しなければならないといった不都合が生じるケースも想定しておきましょう。
• 導入時のハードルが高い
  ゼロトラストのサービスはまだ発展途上の段階にあります。そのため、導入コストが高い、対応したいことが1つのサービスではまかないきれないといったこともあります。
  導入時のハードルの高さもデメリットの1つといえるでしょう。

ゼロトラストネットワークを実現する要素

ゼロトラストネットワークを実現するには、守りたい情報資産や対応するセキュリティ脅威に応じて、さまざまなソリューションを用いてネットワークを構成します。ゼロトラストを構成する代表的なクラウドサービスを紹介します。

IDaaS

IDaaSは、ID認証やパスワード管理、アクセス制御などのアカウント管理をクラウドで行うソリューションです。ネットワーク内外のアカウント情報をクラウド上で一元的に管理できます。

EDR

EDRは、PCやスマートフォン、タブレット、サーバーなどの「エンドポイント」の監視を行うソリューションです。不審な動きを察知し、被害拡大前の早い検知を行います。

エンドポイント対策については、以下の記事もご参照ください。

関連記事

なぜエンドポイントセキュリティが重要？その理由や選び方などを紹介

IAM

IAMは、シングルサインオンやユーザーIDの管理をします。これにより厳密な認証とアクセス許可ができ、異常があった場合はそれを検知できます。

シングルサインオンについては、以下の記事をご参照ください。

関連記事

シングルサインオンとは？仕組みや導入するメリット・デメリットを紹介

SWG

SWGは、インターネット上に存在するプロキシとして機能します。ユーザーが社内、社外のどこでリモートワークしているのにもかかわらず、常にインターネット通信をチェックします。アクセス先のURLやIPアドレスから安全でないと評価された場合にはアクセスを遮断します。

CASB

CASBは、クラウド利用のセキュリティ保護を担うソリューションです。クラウド利用状況の可視化や分析、クラウドサービスへのアクセスコントロール、クラウド上のデータ保護などを行います。

CASBについて詳しくは、以下の記事をご参照ください。

関連記事

CASBとは？主な機能や導入するメリット・デメリット、選定時のポイントを解説

ゼロトラストネットワーク製品を使用する際のポイント

ゼロトラストネットワークを構成するソリューションを使用する際は、コストや運用面を考慮して以下のポイントも押さえましょう。

IDやパスワードの厳格な管理を行う

ゼロトラストネットワークにおいて、IDやパスワードなどの認証管理は厳格に行う必要があります。管理するIDが多い場合には、シングルサインオンや二要素認証の導入などを検討しましょう。

二要素認証については、以下の記事をご参照ください。

関連記事

多要素認証とは？二要素認証や二段階認証との違い、注意点などを解説

ユーザーのアクセスと行動履歴を可視化する

ユーザーのアクセスと行動履歴の可視化も必要です。アクセスログを取得して、不正アクセス防止や情報漏洩が発生した場合の検証を実現しましょう。ユーザーが危険な行動をとっていないかを監視することで、脅威を未然に防止することが可能です。

ゼロトラストの概念に基づいたセキュリティ対策の方法については、以下の記事もご参照ください。

関連記事

ゼロトラストアーキテクチャとは？仕組みや実現するためのポイントを解説

ゼロトラストネットワークは多様な働き方に適した対策

ゼロトラストネットワークは、社内社外といった境界を設けず、すべての通信のトラフィック監視と対策を行う「ゼロトラスト」をベースとしたネットワークモデルです。

今後の働き方の多様化や、クラウドサービスの利用拡大におけるセキュリティ対策として有用性があり、ユーザーが快適かつ安全にシステムを利用するために必要不可欠な仕組みだといえます。しかし、導入時は既存のセキュリティモデルを一新することになるので、定着するまでには多大な時間と労力がかかります。

そこで、外部へ端末を持ち出しても安全な業務環境を構築できるシステムの導入を検討してはいかがでしょうか。「セキュアコンテナ」は、PCに生成されるセキュアな業務領域内でのみ、業務で利用しているデータやクラウドサービスなどを利用できる「データレスクライアント」サービスです。

データのやりとりは、サーバーを公開しないVPNを通すことによって外部から遮断し、より安全な業務環境を提供します。クラウドとオンプレミスの両方に対応しており、終了時にはデータをクライアントのPCから削除します。気になる方は、以下のリンクから詳細をご確認ください。