近年、情報セキュリティ業界でよく聞かれる「ゼロトラスト」。この新たなセキュリティモデルの登場は、在宅勤務など働き方改革の推進によってセキュリティで守るべき「内／外」の境界がなくなってきたことに由来します。働き方改革と同時に進めたい新しいセキュリティ対策とは？

働き方改革とセキュリティを両立したい企業のジレンマ

今、働く時間や場所に縛られない働き方の実現を求めて、働き方改革が日本中で進められています。働き方改革は働く人の満足度を高め生産性向上を目指す大きな流れとなり、もはや止まることはないでしょう。企業もその流れに乗り、テレワークやリモートオフィスの利用などで働く場所の固定をなくす方向へ進んでいます。
しかし、その陰には頭を悩ませている情シスたちがいます。

今までは社内のデータセンター/サーバールームにオンプレミスシステムを構築し、重要なデータはサーバーにしまいこんで、「社内のネットワークエリアを外の攻撃者から守る」というセキュリティ対策をとってきました。しかしながら、環境は変わり積極的にクラウド（コミュニケーションツールやストレージサービスなど）を利用するようになれば、データは社外のサーバーに保管されることになり、守るべきデータも、守るべき通信も、「社内ネットワーク」という枠ではくくれなくなりました。
従来のセキュリティモデルでは、セキュリティを厳しくすればするほど、手続きが煩雑になったり、物理機器増設のための追加コストが必要となります。働き方改革に置いて行かれないように自社でもテレワークを進めたい、しかしセキュリティ対策も疎かにできない…と、複雑になるセキュリティの「内」と「外」の境界線でさまよう情シスたち。
そこで一つの解が見いだされつつあります。それが「ゼロトラスト」。「ゼロトラスト・セキュリティ」ないしは「ゼロトラスト・ネットワーク」とも表現される、新たなセキュリティの考え方です。（参考：使える! 情シス三段用語辞典90「ゼロトラスト」）

 

ゼロトラストとは

ゼロトラストとは、言ってしまえば“何も信用しない”ことです。社内ネットワークの中だから安心という従来のような「内」と「外」を意識しないセキュリティモデルで、アクセス認証をはじめ様々な製品連携によるセキュリティ対策の総称です。ゼロトラストでは、社内／社外のどこから来た通信であろうと、厳格なアクセス管理の管理下に置かれ、データアクセス時に必ず検査を受けるという仕組みになっています。

アクセス管理・端末管理・ログ管理の連携がベース

ゼロトラストモデルの構成要素は、アクセス管理、端末管理、ログ管理です。

ゼロトラストのアクセス管理では、アクセス元の端末とアカウントを管理し、その各情報をアクセス時にチェックしてアクセスポリシーと照合することで、安全な通信とそうでないものを分けます。端末側でのEPP／EDR製品と連携、また各エンドポイントのログも取得し、機械学習によって動的にアクセスポリシーも変更されます。

具体的には、アクセスしてきた通信に対してどの場所から、どの端末で（どういう状態の端末かも含む）、どのアカウントでアクセスしているかの情報をもとに検査を行います。検査の内容は、以下のようなものです。

・該当IDは通信先データにアクセスする権限があるIDか
・アクセスに使われている端末は、登録管理されている端末か
・アンチウイルスの定義ファイルやセキュリティパッチが最新か
・該当端末はマルウェアに感染していないか
・該当IDは漏えいしていることが判明しているIDと一致するものかどうか

これらのチェックを通ったアクセスのみが目的のデータに到達することができます。これを、今までのようにVPNを使うのではなくインターネット経由で実現します。

 

働き方改革のセキュリティリスクをどう乗り切るか？

これによって、どのようなメリットが得られるのでしょうか。いくつかのケースを考えてみましょう。

社内ネットワークに内在するリスクをどう乗り切る？

今まではファイヤウォールやプロキシサーバ、IPS/IDSなどにより「外」と「内」の境界を引き、内部を守るという意識のもとにセキュリティ対策を講じてきました。これは、裏を返せば内部からの脅威には対策が甘い状況でもあったのです。
近年は、標的型攻撃が流行して乗っ取りアカウントから情報を盗む手口が増加しています。また、社内の人間による情報漏えいも数多く起きています。こうした内部からの攻撃にも対策すべきです。

ゼロトラストでは、データアクセス時に内部からの通信であっても関係なく全てに対して毎回検査を行い、内なる脅威にも対応ができます。

乗っ取りアカウントは、アカウント自体は正規のものであるだけに単純なアクセス管理機能では通過できてしまいますが、ゼロトラストモデルのシステムでは、EPP／EDRやエンドポイントログ管理機能との連携により、そのアカウントで不自然な場所からのアクセスや多数のアクセスリトライなど異常な行動がなされていないかまでチェックすることができます。これは機械学習を使用したふるまい検知機能で、アカウントの正常性をチェックしています。

BYODをどう乗り切る？

在宅勤務時のBYOD（私的端末の業務利用）を取り入れる企業も増えています。しかし私的端末は業務外利用でのWebサイト閲覧などで、マルウェア感染の危機に面する機会もより多いかもしれません。

私的端末に関して、端末がどういった状態であるかを把握することが重要です。ゼロトラストモデルの端末管理では、私的端末も登録して管理することが必要とされます。端末管理機能で、その端末のセキュリティ機能やシステムの正常性（マルウェア感染していないか、セキュリティ機能がオフになっていないかなど）を確認します。

尚、こうした確認は、アクセス時に毎回行われ、都度アクセスポリシーに反映されます。そのため、同じ端末でも、マルウェア感染が起きた場合だけアクセスが拒否されるなど状態によってアクセス可否が異なります。ゼロトラストモデルのシステムでは、こうして動的にポリシー変更を行えます。もちろんEPP／EDRによりマルウェアが駆除されればアクセス可になるので、ポリシーをいちいち手で変更する必要はなく、情シスの負担も軽くなるでしょう。

 

ゼロトラストモデルの実例

このように働き方改革の進む現代のIT事情と相性のよいゼロトラストモデルですが、実際の導入には多少のハードルがあります。様々な機能との連携を行うため大きなシステム改変が必要になることです。

ゼロトラストモデルの認証システムは、GoogleやMicrosoftなどのプラットフォーム事業者、Akamaiやシマンテックなどのセキュリティベンダーなどが提供しています。
ゼロトラストモデルの導入企業としても筆頭に挙げられるGoogleでは、2011年から7年という期間をかけて「BeyondCorp」と呼ばれるゼロトラストセキュリティシステムを構築しました。Googleは現在、グローバル全社的にこれを採用しており、全世界の従業員の誰もがインターネット経由でのアクセスを可能にしています。
このBeyondCorpは、Google Cloudのユーザー認証サービス「コンテキスト・アウェア・アクセス」として提供されておりG Suiteなどへのアクセスを細かいレベルで制御できます。
MicrosoftのMicrosoft365では、Azure ADを始めMicrosoftツールとの連携を行うゼロトラストモデルのセキュリティシステムを構築することができます。
企業で使用中のOSやアプリケーションにそこまでの影響なく導入できるのはAkamaiのEAA（Enterprise Application Access）やシマンテックのICD（Integrated Cyber Defense）などのセキュリティプラットフォームになります。
自社への導入を検討するのであれば、現在使用している製品と連携できるサービスを検討するところからスタートするのがよいでしょう。
また最初から全ての機能をそろえようとせずとも、部分的な機能を段階的に導入するとコスト的にも運用的にも負担が抑えられます。

これから“働き方改革”が進むにつれ、セキュリティモデルの主流は従来の境界型セキュリティからゼロトラストモデルへ移行していくことが予想されます。
今から少しずつでも検討を始めてみるのもよいかもしれません。

 

【執筆：編集Gp　星野 美緒】