ゼロトラストネットワークとは?従来モデルとの違いやメリット・デメリットについて解説

2022/03/17

main.jpg

テレワークをはじめとする新しい働き方の普及により、企業のICT環境は大きく変化しています。各企業は、変化するICT環境に合わせたセキュリティ対策が必要となっていますが、従来の対策では不十分です。

そこで近年注目を集めているものが“ゼロトラストネットワーク”です。

この記事では、ゼロトラストネットワークの概要や仕組み、従来のセキュリティモデルとの違いや、メリット・デメリットについて解説します。

■ゼロトラストネットワークとは? 

sub1.jpg

はじめに、ゼロトラストネットワークの概要と仕組み、従来のセキュリティモデルとの違いについて見ていきましょう。

◇ゼロトラストネットワークとは

ゼロトラストとは、“すべてのアクセスを信頼できない”という前提に基づき、あらゆる端末情報・通信情報をチェックするセキュリティの概念・考え方です。ゼロトラストに基づくセキュリティモデルを“ゼロトラストセキュリティ”と呼び、ゼロトラストセキュリティを実現したネットワークを“ゼロトラストネットワーク”と呼びます。

 

従来のセキュリティ対策は、社内からのアクセスを安全なものとし、その境界線上に対策を施すものでした。しかし、近年では企業を取り巻くICT環境が大きく変化しています。

よって、従来どおりのセキュリティ対策では不十分となっています。これについては後ほど詳しく解説します。

 

ゼロトラストネットワークは、社内からのアクセスであってもすべての通信情報をチェックします。あらゆるソリューションを組み合わせてセキュリティ環境を構築し、データ、ユーザー、デバイスのすべてを守ることを目的とした対策です。

 

◇ゼロトラストネットワークが注目される背景

前述したとおり、これまでは社内からのアクセスが安全なものとして、インターネットとの境界線にセキュリティ対策を実施することが一般的でした。しかし、近年ではクラウドサービスを業務利用することが増え、テレワークの普及などによって利用するデバイスの数も急増しています。

 

インターネット上に存在するクラウドサービスに業務データを保存することや、インターネット経由で社内ネットワークにアクセスする機会が増え、ネットワークの境界線が曖昧になっているのが近年の状況です。その結果、社内外のセキュリティ対策が必要となり、従来のネットワークの境界線を基準としたセキュリティ対策では対応しきれなくなっています。

 

また、サイバー攻撃は年々多様化・巧妙化が進み、セキュリティ対策の重要性が増していることも背景の一つです。外部からの攻撃だけでなく、クラウドサービスの普及による内部からの企業情報の漏洩リスクの存在も見逃せません。

 

ゼロトラストネットワークは、クラウドサービスやテレワークによる新しい働き方の普及、サイバー攻撃の多様化への対応など、変化する企業のICT環境に適したセキュリティ対策を実施するために注目されています。

 

◇ゼロトラストネットワークの仕組み

ゼロトラストネットワークは、単一の対策で実現できるものではありません。“すべてが信頼できない”という前提のもとで、アクセスの可否を判定します。例えば、認証の際には次の項目をチェックし、すべての項目で安全と判断された場合にのみアクセスを許可します。

 

・アクセスを求めているデバイスが登録されているか
・デバイスがマルウェアに感染していないか
・セキュリティ対策ソフトが最新の状態に更新されているか
・アクセス権限を持っているユーザーか
など

 

昨今はBYOD(私物端末の業務利用)も増え、企業の業務データにアクセスするデバイスも急増しました。加えて、テレワークの普及によりアクセス経路も多様化しています。このような状況下では、あらゆるアクセスをその都度チェックし、安全を確保することが重要です。

ゼロトラストネットワークは上に挙げたチェックを常に行ない、安全を確保する仕組みです。

 

◇従来のセキュリティモデルとゼロトラストモデルの違い

従来のセキュリティモデルは“境界線型セキュリティ”と呼ばれ、社内ネットワークと外部ネットワークを分け、境界線上にファイアウォールなどのセキュリティ対策を施していました。社内ネットワークは安全なものとし、一度安全と評価された端末やユーザーはその後も安全なものとして扱われます。

 

しかし、近年ではクラウドサービスやテレワークの普及により、ネットワークの境界線が曖昧になりました。その結果、何を安全とするのか基準がわかりづらくなっています。加えて、境界線型セキュリティではマルウェアなどに感染している端末がセキュリティを通過してしまうと、境界内(社内ネットワーク)で自由に行動できてしまう点も問題です。

 

対して、ゼロトラストでは社内外を問わずすべてのアクセスに対して、常に信頼できるかの評価を行なうため、ネットワークの境界線を意識する必要がありません。また、仮に社内ネットワークに脅威が侵入しても、アクセスの都度評価が行なわれるため被害を最小限に留めることができます。

 

従来のセキュリティモデルとゼロトラストモデルの大きな違いは、ネットワークの境界線の考え方にあるといえるでしょう。

 

■ゼロトラストネットワークのメリット・デメリットについて 

sub2.jpg

ゼロトラストネットワークは多くのメリットをもたらしますが、構築する際にはいくつか覚えておかなければならないデメリットも存在します。

 

◇メリット

ゼロトラストネットワークのメリットとしては、大きく次の2点が挙げられます。

・セキュリティレベルが向上
・あらゆるアクセスに対する柔軟なセキュリティ対策の実現

ゼロトラストネットワークは従来のセキュリティモデルとは考え方が異なるため、社内外を問わず高いセキュリティレベルを実現可能です。また、すべてのアクセスに対してログを取得することで、内部不正の防止や振る舞いによる異常アクセスの検知が期待できます。

 

近年では、クラウドサービスやテレワークの普及により、デバイスやアクセス経路の多様化が進んでいますが、ゼロトラストネットワークであればすべてのアクセスに対して対策が施せます。テレワーク導入に際して、セキュリティ対策を課題に挙げる企業も少なくありませんが、あらゆるアクセスに対する柔軟なセキュリティ対策を実現できる点は大きなメリットです。

 

◇デメリット

ゼロトラストネットワークのデメリットとしては、次の2点が挙げられるでしょう。

・導入コスト
・業務効率が下がる可能性

ゼロトラストネットワークは、単一のソリューションを導入するだけで実現できるものではありません。あくまでもセキュリティの概念・考え方であり、実現するためには複数のソリューションやサービスを組み合わせて環境を構築する必要があります。

 

そのため、ゼロトラストネットワークを構築する際にかかるコストはデメリットの一つです。Googleでも8年の歳月を費やして環境を構築するほどであり、時間と手間がかかる点はデメリットとして挙げられるでしょう。

 

加えて、あらゆるアクセスに対して信頼性のチェックを行なうため、システム全体のパフォーマンスの低下に繋がる可能性があります。さらに、アクセス制限による利便性の低下もリスクとして挙げられます。総じて業務効率が下がる可能性がある点は、デメリットといえます。

 

■ゼロトラストの実現にはIDaaSを導入しよう 

sub3.jpg

ゼロトラストネットワークを構築するためには、徹底したID管理がはじめの一歩となります。そのためには、クラウド型のID管理・統合認証サービスのIDaaSがおすすめです。

◇ゼロトラストネットワークの実現方法

ゼロトラストネットワークを実現する流れとしては、おおまかに次の流れが考えられます。

1.ID認証基盤の整備
2.アクセス情報の可視化
3.端末ごとのセキュリティ対策
 

従来のID認証基盤は、Active Directoryなどを利用したオンプレミス環境に構築したものが多いでしょう。しかし、近年ではクラウドサービスの業務利用が増え、ユーザーは管理すべきID情報が膨大になっており、従来のID認証基盤では対応が難しくなっています。

 

そのため、シングルサインオン(SSO)なども実現できるクラウド型のID認証基盤として、IDaaSを導入する企業が増えています。オンプレミス・クラウド環境のID情報を一元的に管理するためにも、ID認証基盤の整理からはじめましょう。

 

次に、アクセス情報の可視化に取り組みます。ゼロトラストネットワークではすべてのアクセスをチェックしますが、見えていないアクセスは対策のしようがありません。誰が・いつ・どのようなデータにアクセスしているのかを可視化することで、より最適なセキュリティ環境を構築できます。

 

最後にエンドポイントとなる端末ごとにセキュリティ対策を実施します。例えば、端末の可視化やストレージの暗号化、セキュリティ対策ソフトの導入などが挙げられるでしょう。

 

これらの対策はいずれかのみを実施するだけでは、ゼロトラストネットワークを実現できません。すべての対策が実現してはじめてゼロトラストネットワークが構築できます。ただし、段階的に進めることは有効な手段です。

 

◇IDaaSの導入には“トラスト・ログイン”がおすすめ

IDaaSには多くのサービスが存在しますが、そのなかでも“トラスト・ログイン”がおすすめです。

 

トラスト・ログインは“国内登録社数No.1のシングルサインオン” として、簡単最速のSSO/アクセス制限を実現するIDaaSです。基本プラン無料で即日導入可能なIDaaSとして、中小企業から大企業までさまざまな企業での導入実績があります。

 

トラスト・ログインを提供するGMOグローバルサインは、SSL認証局として20年以上の実績があり、認証局ならではの重要な情報を守るノウハウでID情報を保護します。IDaaSを選択する上では、セキュリティレベルと併せて稼働率も気にすべき点ですが、トラスト・ログインの月間サービス稼働率は99.9%です。企業活動の中枢を担うID認証基盤として、安定したサービスの利用を保証します。

 

また、国内開発サービスであるため日本語に対応しており、UIがシンプルで使いやすい点も特長です。不明点もチャットやメールでしっかりとサポートします。

 

■まとめ

ゼロトラストネットワークは“すべてのアクセスを信頼できない”ものとして、あらゆる端末情報・通信情報をチェックするセキュリティの概念・考え方です。昨今はクラウドサービスの業務利用が増え、テレワークが普及したことから従来の境界線型セキュリティでは対策が不十分となっています。そこで、代わりとなるセキュリティ対策として注目されているのがゼロトラストネットワークです。

 

ゼロトラストネットワークは高いセキュリティレベルを実現できる一方で、導入コストがかかる点や、業務効率が下がる可能性がある点がデメリットです。

 

ゼロトラストネットワークを実現するためには、まずはクラウド型のID認証基盤であるIDaaSの導入からはじめるとよいでしょう。クラウドサービスの利用が増えたことで、ID管理の煩雑さは大きな課題となっています。しかし、シングルサインオンを実現できるIDaaSを導入すれば、業務の効率化と併せてゼロトラストネットワークの導入の第一歩を踏み出すことが可能です。

 

さまざまなIDaaSのなかでも、トラスト・ログインは導入の容易さとセキュリティの高さが強みです。まずは、トラスト・ログインの導入からゼロトラストネットワークの構築をはじめてみてはいかがでしょうか。

 

国内登録社数No.1のシングルサインオン“トラスト・ログイン”


 

この記事を書きました

森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー