インターネットおよびデジタル設備、そしてデータ共有システムの普及は、さまざまな業務の効率を飛躍的に向上させました。そしてそれに比例して情報漏洩・不正アクセスなどのトラブルが多発しており、それらに対する対処法が大きな課題となっています。
このようなご時世において注目されているのが、「ゼロトラスト」という概念です。今回は、ゼロトラストを業務に導入する要素、導入のプロセスや注意点などについて詳しく解説します。
目次
ゼロトラストとは
ゼロトラストとは、外部に加えて内部に対してもセキュリティの対象にしなければいけないという概念です。ゼロトラストを直訳すると「信頼ゼロ」となります。企業にあてはめた場合、社外だけでなく社内にも信頼せずに疑いの目を向けるべきという考えです。
従来のセキュリティは、不正アクセス・サイバー攻撃・ウイルス侵入など、外部からの脅威に備えるための「境界型防御」が主な考えでした。企業にあてはめる場合、企業に害を与える敵はあくまでも外部からやってくるものであって、企業内部は味方であり安心の対象という考えです。
しかし近年は、データ共有システム・リモートワークの普及によって、内部もセキュリティの対象となりました。これらの業務スタイルによって起きるのが下記のトラブルです。
- 情報漏洩
- 社内ユーザーの操作ミス(データ消去など)
- 一つのデバイスのウイルス感染による拡大(共有システム経由で)
このような内側で起きるトラブルを防止するために、大きな注目を集めているのが、ゼロトラストなのです。
ゼロトラストの導入状況
近年、ゼロトラストは各企業にどれだけ浸透しているのでしょうか。デジタル庁の調査によると、ゼロトラストを導入した企業の導入背景は下記のような結果が出ています。
| 順位 | 導入背景 | 企業の件数 |
|---|---|---|
| 1 | リモートワーク環境の整備 | 11 |
| 2 | 安全なクラウド利用 | 5 |
| 3 | 社内ネットワークの混雑緩和 | 4 |
| 4 | 業務の効率化 | 4 |
| 5 | サイバー攻撃の巧妙化 | 3 |
| 6 | サイバー攻撃の被害の対応 | 3 |
| 7 | ネットワーク構成変更の簡略化 | 1 |
| 8 | 抜本的なITシステムの改革 | 1 |
| 9 | 情報漏えい対策 | 1 |
| 10 | 導入背景の記載なし | 1 |
このようにクラウドシステム・リモートワークが抱える問題点を直視し、積極的にゼロトラストを導入している企業が増えているのが、上記の表でわかります。企業は具体的にゼロトラストをどのように導入しているのか、株式会社仙台銀行の事例を紹介しましょう。
<導入前の課題>
- 営業力強化に向けてのモバイル端末の導入
- モバイル端末活用の環境拡大
- 渉外用タブレットとシステムやファイルサーバーの連動
- 環境の定着のためにセキュリティは不可欠
<導入後>
- トラブルを回避して業務効率も向上
- 業務だけの通信に限定できて安心
- 今後はタブレット活用による業務改革を予定
ゼロトラストを導入したことにより、環境の改善を安心して行うことができ、業務効率化・営業力強化が実現しました。
参照:「(参考資料1)民間企業におけるゼロトラスト導入事例」
ゼロトラストを導入するための要素
ゼロトラストを導入するためには、この概念を構築する7つの要素を覚えておかなくてはいけません。その7つの要素とは下記のとおりです。
- デバイス
- ネットワーク
- アイデンティティ
- ワークロード
- データ
- 可視化と分析
- 自動化
7つの要素それぞれの特色について説明します。
1. デバイス
ゼロトラストにおける重要な要素の一つが、ユーザーが使用する各種デバイスです。共有システムを導入している企業の場合、大勢のユーザーたちがデバイスを駆使してシステムにアクセスしてデータを共有します。
共有システムは大勢で情報を共有できるメリットがありますが、アクセスできる人数が多いと起きやすいのが、トラブルの勃発です。そのため、誰でも簡単にアクセスできる仕組みを回避しなくてはいけません。
ゼロトラブル導入で行うデバイスの対応は、識別と承認です。またセキュリティソフトによるマルウェア感染対策も行います。ノートパソコン・タブレットだけでなく、業務で使用する周辺機器も、ゼロトラストの対象として扱い、セキュリティ対策を用意しないといけません。
2. ネットワーク
ウイルスが侵入した場合、ネットワークを経由して大勢に感染する恐れがあるので、セキュリティを徹底しないといけません。ゼロトラストにおけるネットワークのセキュリティ対策は、下記の2つです。
SWG (Secure Web Gateway)
ユーザーが会社以外のネットワークへのアクセスを安全に行うためのプロキシが、SWGです。ユーザーのトラフィック(通信する情報)を転送して、分析・フィルタリング(分類)を行うことで、アクセス制御が可能になります。
SDP (Software Defined Perimeter)
ネットワークの境界をソフトウェアで作成する技術が、SDPです。従来のネットワークの境界であったファイヤーウォールでも防御できない外部からの攻撃を保護します。
3. アイデンティティ
ゼロトラストにおけるアイデンティティとは、ユーザーが使用するID・パスワードのことです。ID・パスワードは会社内で統一、あるいはユーザーが簡単にアクセスできるようにわかりやすいパスワード設定をすることが少なくありません。
しかしアイデンティティを簡単に設定すると、不正アクセス・情報漏洩が起きやすくなります。アイデンティティ設定は、認証・許可がないとアクセスできない設定にして、厳重に管理しないといけません。
パスワード漏洩しただけで社内情報にアクセスされてしまう状態ではいけません。端末認証や二段階認証などでパスワード漏洩があっても侵入されないようにする必要があります。
4. ワークロード
ワークロードは、システム運用などにかかる作業を指します。ゼロトラストにおけるワークロードのセキュリティ対策は下記の2つです。
CSPM(Cloud Security Posture Management)
クラウド基盤のセキュリティ設定にミスがないかを自動的に確認するソリューションが、CSPMです。
使用していないポートが開いている、あるいはパスワードのポリシーに間違いがある場合、それが原因でトラブルに発展する危険性があります。そのような脆弱性を自動的に発見し、トラブルを回避することが可能です。
脆弱性管理
脆弱性管理は、CSPMと同じく各ソフトウェア・アプリケーションを自動的に調査するセキュリティです。調査結果を分析し、問題があれば管理担当者に報告します。
5. データ
ゼロトラストにおけるデータとは、企業が抱えている膨大な情報資産を分類することです。分類・保護をしつつ、暗号化・アクセス権限・保存場所の確定などのセキュリティ対策を行います。
特に長年にわたって経営している企業はそれだけ抱えている情報も膨大です。独自の経営で培った資産のようなものなので、情報漏洩が起きた場合、大きな損害となり経営的にも大ダメージを受けます。
そのため、保有している情報は厳重な注意を払って管理・保護しないといけません。企業内で強い権限を持つ共有システム管理担当者でさえ、簡単にはアクセスさせない厳格さを持ってゼロトラストを実践することが大切です。
6. 可視化と分析
ゼロトラストにおける可視化と分析とは、各トラフィックの監視です。トラブルを回避するためには、各トラフィックの不審な動きを迅速に察知し、トラブルになる前に分析をして対策を実行しなくてはいけません。
ゼロトラストを本格的に導入する際は、監視・分析が重要です。それを実践するためには、セキュリティプロセスの可視化を実現しないといけません。それにより、トラブルの予兆の早期発見・迅速な対応ができます。
ユーザーの1人が普段と違うエリア・時間からアクセスした場合、自動で警告するなどといったことです。
7. 自動化
ゼロトラストでは、トラブルの原因が起きた際に自動的に対処する自動化も、重要な要素の一つに挙げられます。自動的に処理する内容は、危機を察知して自動的にデバイスを隔離・トラブルの原因の排除などです。自動化の対策として知られているのは、SOAR(Security Orchestration, Automation, and Response)が代表的な対策として知られています。
SOARの機能は、トラブル原因の迅速な察知、対処の実行といった一連の手順を自動的に行うことです。何もしなくても自動的に行ってくれますが、技術的には発展途上といえます。
ゼロトラストの導入プロセス
ゼロトラストの導入を実行する場合、事前にその手順を知っておくとスムーズに進行できます。ゼロトラストの導入プロセスは以下のとおりです。
- デバイスを強化する
- 認証強化をする
- クラウドやデータセキュリティを設定する
下記より、導入プロセスの詳細について説明します。
1. デバイスを強化する
まずやるべきことは、ユーザーが使用するデバイスの強化です。セキュリティ対策を万全にして共有サービスに悪影響を与えないようにしなくてはいけません。ゼロトラスト導入におけるデバイス強化でよく候補に挙がるのが、下記のツールです。
EMM(Enterprise Mobility Management)
モバイル端末を管理するツール。持ち運びが便利。
EDR(Endpoint Detection and Response)
ユーザー監視のためのツール。ユーザーに不審な動きがあってもすぐに察知。
2. 認証強化をする
次にやることは認証強化です。誰でも気軽にアクセスできる状況だとトラブルが発生する可能性も高まるため、認証・許可の強化をしなくてはいけません。しかし認証を複雑にしてそれを管理すると手間がかかるため、下記のようなサービス導入がおすすめです。
端末認証、二要素認証
パスワードの漏洩やパスワードの使い回し(他のサイトと同じパスワード)、安易なパスワードの使用だけで、情報漏洩になってはいけません。端末認証や二要素認証(ワンタイムパスワード、指紋認証、顔認証)を追加してセキュリティレベルを上げます。
ID管理システム
IDをシステムで管理することによって、手動で行っていたID登録・削除を自動的に行えます。
3. クラウドやデータセキュリティを設定する
次にやることは、クラウド・データセキュリティの設定です。クラウド・セキュリティの強化はネットワークの経路変更やユーザーへ大きな影響を与えます。そのため、段階的かつ慎重に移行を行わなくてはいけません。
SWGやCASBといった製品を使用すれば、クラウドアクセス可視化、不正サイト、シャドーITへのアクセスを制御することが可能です。
ゼロトラスト導入の注意点とポイント
ゼロトラスト導入の注意点・大事なポイントは下記の2点です。
- 利便性の低下
- コストがかかる
この2点の詳細について説明します。
1. 利便性の低下
ゼロトラスト導入を実践すると利便性の低下を招く可能性もあります。あまりにもセキュリティ対策に気を取られると、少しのミス・不具合でも過剰に反応・処理してしまい、通常の業務に支障をきたすこともないとはいえません。どのような不具合が大きなトラブルを起こすのか、分析をすることが大切です。
2. コストがかかる
ゼロトラストを導入すると、徹底したセキュリティ対策により、やるべき項目が導入前より増えます。それにより、ゼロトラスト導入前よりコスト・時間がかかってしまう点に注意が必要です。
また、ゼロトラストの導入は、初期費用・その後のランニングコストがかかる点にも気をつけなければなりません。今までにないセキュリティ対策を用意するため、新たなシステム・環境を準備する必要があり、それに費用がかかります。
また導入後に成果がはっきりと見えるまでの、ランニングコストも計算に入れておかないといけません。ゼロトラスト導入時、どれだけの費用がかかるのか事前に計算をして、負担のかからない無理のない導入をすることが大切です。
ゼロトラストの導入なら ibisStorage
業務拡大のためキュリティ対策も万全にしたい方、ゼロトラスト導入を検討されている方におすすめなのが、クラウドストレージサービス「ibisStorage(アイビスストレージ)」です。ibisStorageは、ゼロトラストセキュリティに対応したクラウドストレージです。
ゼロトラストセキュリティは、VPNや接続元IP制限のような従来の「どこからアクセスできるか」ではなく、「どの端末から誰がアクセスしているのか」を明確に確認できるセキュリティです。
それにより、社外からのアクセスも可能になり、パスワード漏洩やサイバー攻撃に対してセキュリティレベルが高く、安心して利用できます。外部・内部ともにトラブル防止・トラブル発生時の調査・分析が行えるため、業務効率化・拡大のための強い味方となってくれるでしょう。
ibisStorageはフリープランや無料トライアルもあるので一度試してみることをおすすめします。
