「完璧を目指したいが実際はコスト的に無理・・」。ゼロトラストを取り入れようとする企業はそんなジレンマを抱えています。なぜなら包括的なゼロトラストモデルの構築には10年かかると言われているためです。どの企業でもゼロトラストセキュリティを実践できる手順を紹介します。

従来型のセキュリティモデルである「境界防御モデル」に限界を感じた各企業が注目しているのが、攻撃されることを前提として構築する「ゼロトラストセキュリティモデル」です。
では、ゼロトラストセキュリティはどのようなステップで導入すれば良いのでしょうか。

ゼロトラストセキュリティとは

ゼロトラストセキュリティとは何か、改めて振り返ってみましょう。

ゼロトラストセキュリティとは、”すべてを疑いすべてを確認する”という概念、「ゼロトラストモデル」に基づいたセキュリティです。ゼロトラストモデルは、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ（John Kindervag）氏が提唱した概念ですが、Forrester Researchは、2018年11月に、「Zero Trust eXtended (ZTX)フレームワーク」と改め、ゼロトラストモデルを実現するための7つの要件を次のように定義しています。

ゼロトラストモデルを実現するための7つの要件

これら7つを取り入れることで、ゼロトラストセキュリティを実装できるとしていますが、すべてを取り入れることはコストやリソースの面から、多くの企業ではすべての実装は不可能なのが現実です。

 

ゼロトラストセキュリティを導入するための2つのアプローチ

ゼロトラストセキュリティを導入するにあたり、企業が選択できるアプローチには2つあります。
1つは、広範囲かつ包括的なアプローチです。自社のセキュリティインフラの多くを再設計する必要があり、10年～20年という単位で実施することになると言われています。
もう1つは、範囲を絞ってアプローチする方法です。自社の業務形態やインフラの状況を精査し、優先度を付け、最も効果的な施策から順に実装します。

施策の優先順位の付け方

範囲を絞ったアプローチで、迷いがちなのが施策の優先順位の付け方です。
まず、企業の経営層レベルでゼロトラスト戦略を決定し、次にその戦略の実現に必要な機能に順位付けを行います。
例えば、ワークロードのセキュリティに重点を置くのであれば、アプリケーションに対して詳細なアクセス制御を実装してセキュリティ違反を防ぐこと、そして、ワークロードとストレージを継続的にスキャンする仕組みの導入を優先施策とします。

複数の施策のうち、いずれの優先順位を高めるべきか判断に迷う場合は、セキュリティリスクが高いものを優先するとよいでしょう。最も被害を受けるリスクが高く、且つ、重要なリソース・アプリケーションを最初に強化するということです。

 

実現可能なゼロトラストセキュリティ導入の3ステップ

AkamaiやCiscoなどの大手ベンダーでは、ゼロトラストモデルを実現するための7つの要件を横断的に満たすソリューションを提供しています。

一方、コスト・インフラの整備期間の問題により、多くの企業が選択するのが範囲を絞ったアプローチで、効果的かつ実現可能な要件から優先順位を付けて実行する方法です。（ゼロトラストなどとは考えずに行っている場合もあるでしょうが）

ゼロトラスト戦略は企業により異なるため、範囲を絞ったアプローチでは、様々な導入手順が提唱されていますが、多くのセキュリティ専門家が最優先と位置付ける施策が「ID管理」と言えます。
無理なくゼロトラストの考え方を企業に取り入れていくには、ID管理を含む次のような3ステップで実施すべきと言われています。

 

1. ID管理の強化

大部分のネットワークにおいて、セキュリティ対策の要となるのがパスワードです。一方、Balbix社による調査では、99％ものユーザがパスワードを使い回しており、平均すると1つのパスワードを2.7個のアカウントで共用していると報告しています。

このため、ゼロトラストモデルではID管理の強化を優先的に行うべきとしています。ID管理の強化を、ゼロトラストモデルを実現するための7つの要件に当てはめると「3. アイデンティティ・セキュリティ」に相当します。
具体的には、「IAM (Identity and Access Management)」の製品を導入し、指紋認証などの生体認証要素も組み合わせた多要素認証を適用して、ネットワークのセキュリティを強化します。
さらに、FIDO2（Web認証）に対応するFIDO2対応認証デバイスを導入すれば、認証にパスワードを使うことからも開放されるでしょう。

2. 機密データをセグメント化する

次のステップは、万が一情報漏えい事故を起こしてしまった場合の損害を最小化する、リスクヘッジのステップです。

ゼロトラストモデルを実現するための7つの要件のうち、「1. ネットワーク・セキュリティ」に含まれるネットワークのセグメント化を実施します。
具体的には、内部ネットワークと外部ネットワークの境界を動的に設置してユーザがアクセスできるリソースを限定する、「SDP (Software Defined Perimeter)」を導入します。潜在的な攻撃対象を減らすことになるため、情報漏えいが発生した場合の損害を最小化できます。

NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」では、個人情報漏えい事故1件あたりの漏えい人数は1万3,334人、同じく1件あたりの平均損害賠償額は、6億3,767万円にものぼると報告されています。

個人情報を管理する人事システムを運用している企業などでは特に、機密データをセグメント化して、有事に備えておくことは必須です。

3. アクセス履歴の精査

3番目のステップが、ネットワークへのアクセスの監視と分析です。ゼロトラストモデルを実現するための7つの要件に当てはめると「6. 可視化と分析」に相当します。
ネットワークを保護するだけでなく、常時アクセスを監視・分析し、潜在的な脅威を特定します。
具体的には、「SIEM (Security Information and Event Management)」などの製品を導入し、ネットワーク内のあらゆる機器からログを収集して集中管理します。

 

 

包括的なゼロトラストセキュリティの構築には、コストも時間も膨大に要するため検討する前に諦めてしまう企業も多いですが、優先度の高い施策からステップ・バイ・ステップで取り入れても効果がのぞめるのがゼロトラストモデルの特徴のひとつです。まず、ゼロトラスト戦略を練り、自社で一番強化したいポイントを整理しましょう。

 

次回の「「ゼロから学ぶ」ゼロトラスト#4」では、急増するテレワーク（在宅勤務）とゼロトラストの関係について紹介します。

 

【執筆：編集Gp　近藤真理】