Written by WizLANSCOPE編集部
目 次
ゼロトラストとは、すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対して、検査・認証をおこなうというセキュリティ概念です。
ゼロトラストを実現することで、セキュリティを強化できるのはもちろん、さまざまな場所で業務を遂行できるようになるといったメリットがあります。
本記事では、ゼロトラストの必要性やメリット・デメリットについて解説します。
▼本記事でわかること
- ゼロトラストの必要性
- ゼロトラストのメリット・デメリット
- ゼロトラストを実現するためのセキュリティソリューション
「ゼロトラストとは何か」「なぜ必要なのか」など、ゼロトラストの基礎を知りたい方はぜひご一読ください。
ゼロトラストとは
「ゼロトラスト」とは、ゼロ(0)トラスト(trust=信頼)という名称の通り、何も信頼しないことを前提としたセキュリティの概念です。
従来のセキュリティ対策では、業務で使用するネットワークを社外・社内とで分離し、その境界にファイアウォールなどを配置して、外部からの脅威の侵入を防ぐ「境界型防御」が主流でした。
この境界型防御では、防御壁の内側にある「社内ネットワークに接続できている通信」であれば、すべて安全であるという考え方に基づいています。
しかし、この境界型防御の考え方では、「一度内部へ侵入してしまった攻撃」や「内部犯による情報窃取」には対策できないという課題があります。
そこで注目されているのが、正規の認証プロセスを経てアクセスしている通信であっても、すべての通信を信頼しないという「ゼロトラスト」の概念です。
ゼロトラストを実現するためには以下のような対策が必要です。
- 多要素認証の導入といった認証を強化するための対策
- サイバー攻撃の入口となるエンドポイントを保護するための対策
- 内部不正につながるシャドーITへの対策
シャドーITとは、組織のシステム管理部門の管理・許可を経ず、個人が自主的に導入・使用するデバイスやソフトウェアのことです。
管理下にないデバイスやソフトウェアは、セキュリティが万全ではないため、サイバー攻撃の被害に遭う危険性が高まります。
企業・組織は、サイバー攻撃の被害を防ぐためにも、ゼロトラストの採用など、セキュリティ強化を目指す必要があります。
ゼロトラストの必要性
ゼロトラストが必要とされるようになった背景としては以下が挙げられます。
- サイバー攻撃の高度化
- 働き方の多様化
- クラウドサービスの普及
ひとつずつ解説します。
サイバー攻撃の高度化
昨今のサイバー攻撃は、極めて巧妙な手法で実行されるケースが多くあります。
高度なスキルを持ったクラッカーにより長期的な標的型攻撃がおこなわれた場合、防ぎきることは困難なのが実情です。
クラッカーとは、高度なスキルを持ってシステムに不正侵入し、情報の盗み出しや破壊、金銭的利益の獲得しようとする人のことです。
境界型防御の「内部ネットワークに部外者を侵入させない」考え方が通用しなくなっていることから、侵入されることを前提としたゼロトラストの考え方が求められるようになりました。
働き方の多様化
新型コロナウイルス感染症の流行をきっかけにテレワークが普及し、現在も働き方の一つの選択肢としてテレワークを継続している企業が多くあります。
それに伴い、自宅などの社外から社内ネットワークに接続する機会が増え、社内と社外の境界があいまいになってきました。
このような変化に伴い、社内と社外の境界にセキュリティ対策を施す従来のやり方では、情報資産を守ることは困難になっています。
そこで、すべての通信に対して対策をとるゼロトラストが必要とされるようになりました。
クラウドサービスの浸透
IT技術の発展と働き方の多様化に伴い、クラウドサービスの利用率は年々増加しています。
総務省が公表した調査結果を見ると、クラウドサービスの利用率が令和3年は70.4%、令和4年は72.2%、令和5年は77.7%と、徐々に7割に近づいていることがわかります。
出典:総務省|令和5年通信利用動向調査の結果(令和6年6月7日)
急速に広がるクラウドサービスの利用が引き起こす弊害として、内部ネットワークと外部の境界が曖昧になることが挙げられます。
たとえば、本来社外に持ち出してはいけない機密情報などを、クラウドストレージやコミュニケーションツールに保存するといったケースがあります。
結果として、防御壁の外部にも機密情報が存在する状態となるため、境界型防御だけでは情報漏洩を完全に防ぐことが困難となっています。
ビジネス環境の変化により、境界型防御だけではセキュリティ対策が十分とは言えなくなっている昨今、情報資産への全アクセスに対して、検査・認証をおこなうという「ゼロトラスト」の概念が求められるようになりました。
ゼロトラストを実現するためのセキュリティソリューションの例
ゼロトラストを実現するためには、エンドポイントセキュリティ、ネットワーク監視、アクセス管理など、多岐にわたるセキュリティ対策を組み合わせることが不可欠です。
以下に、代表的なセキュリティソリューション・サービスの例を示します。
| 名称 | 機能や役割 |
|---|---|
| EDR(Endpoint Detection and Response) | エンドポイントに侵入したマルウェア・不審な挙動などを検知し、隔離や駆除・復旧までをおこなう |
| NDR(Network Detection and Response) | ネットワーク全体のトラフィックを分析し、異常な通信を検知・対応する。ゼロトラスト環境において、ネットワーク層の脅威可視化を強化できる |
| EPP(Endpoint Protection Platform) | エンドポイント内に侵入しようとする脅威を水際で防ぐ |
| SWG(Secure Web Gateway) | エンドポイントからの外部通信を監視し、不正なサイトや危険なコンテンツへのアクセスをブロックする |
| MDM(Mobile Device Management) | 企業や組織が所有するPCやスマートフォンを一元管理する仕組み。複数の端末へアプリの配布やパスワードポリシーの適用が可能 |
| IAM(Identity and Access Management) | 情報システムへのアクセスを一元管理・制御する。ID・パスワードなどの認証情報を統合し、各システムに適切なアクセス権を設定できる |
| CASB(Cloud Access Service Broker) | 従業員によるクラウドサービスの利用を可視化・制御し、一括管理する |
| ZTNA(Zero Trust Network Access) | ゼロトラストの原則に基づき、ユーザーのデバイスやアプリケーションに応じたアクセス制御を実施し、VPNに代わる安全なリモートアクセスを提供する |
| UEBA(User and Entity Behavior Analytics) | ユーザーやデバイスの行動を監視し、通常とは異なる異常な挙動を検知する インサイダー脅威の検出にも有効 |
| XDR(Extended Detection and Response) | EDR、NDR(Network Detection and Response)、SIEM(Security Information and Event Management)を統合し、横断的な脅威検知・対応をおこなう |
| DLP(Data Loss Prevention) | 機密情報の不正な持ち出しや外部送信を防止し、データ流出リスクを低減する |
| MFA(Multi-Factor Authentication) | 多要素認証(生体認証、ワンタイムパスワードなど)を適用し、不正ログインを防止する |
| SIEM(Security Information and Event Management) | 企業全体のセキュリティログを収集・分析し、異常な挙動を検知する |
| SOAR(Security Orchestration, Automation, and Response) | インシデント対応の自動化やオーケストレーションを実現し、セキュリティ運用を効率化する |
| SDP(Software-Defined Perimeter) | ゼロトラストに基づき、ユーザーやデバイスが認証されるまでネットワークリソースを非公開化し、不正アクセスを防ぐ |
このように、ゼロトラストの導入にあたっては、企業の業務環境やセキュリティリスクに応じて適切なソリューションを組み合わせ、統合的な管理体制を構築することが不可欠です。
ゼロトラストを実現するメリット
ゼロトラストを実現することで、以下のようなメリットが期待できます。
- セキュリティを強化できる
- 柔軟な働き方が実現できる
- クラウドサービスを安全に活用できる
詳しく確認していきましょう。
セキュリティを強化できる
ゼロトラストでは、社内・社外ネットワークを問わず、アクセスごとに厳格な認証・許可の手続きをおこなう必要があります。
そのため、情報漏洩や不正アクセスのリスクを低減できます。
柔軟な働き方が実現できる
ゼロトラストを導入すると、社内ネットワークや特定のオフィス環境に依存せず、安全なリモートアクセスが実現できるようになります。
これにより、テレワークやリモートワーク、フレックスタイム制などの柔軟な働き方の実現も期待できます。
また、ゼロトラスト環境では、社内デバイスに加えて個人デバイスに対しても厳格なセキュリティチェックと認証が適用されるため、テレワークや外出先からのアクセスにおいても高い安全性を維持できます。
従来のネットワーク環境では、データセンターを経由するアクセスが集中すると、通信遅延が発生する問題がありました。
ゼロトラストの仕組みを導入すれば、ユーザーはデータセンターを介さずに直接アプリケーションやクラウドサービスへアクセスできるため、快適な業務環境を維持できます。
クラウドサービスを安全に活用できる
ゼロトラストを採用すると、クラウドサービスへのアクセスは常時監視され、ログの記録・分析がおこなわれるようになるため、セキュリティの透明性が向上します。
これにより、従来はクラウド利用に不安を抱えていた企業でも、安全なクラウド環境を構築できるようになるでしょう。
ゼロトラストのデメリット
ゼロトラストの実現においては、以下のようなデメリットも存在します。
- 時間とコストがかかる
- 利便性や生産性を損なう可能性がある
ゼロトラストの採用を検討している企業の方は、デメリットを解消できるのか確認していきましょう。
時間とコストがかかる
ゼロトラストを実現するためには、新たなセキュリティソリューションの導入や既存システムの再構築が必要となるため、それに伴う初期コストや運用コストが発生します。
また、ゼロトラスト環境の設計・実装には一定の時間がかかり、既存のITインフラとの整合性を確保するための調整作業なども求められます。
とくに、既存システムとの互換性の問題やレガシーシステムの対応など、企業のIT環境によっては追加の工数が発生することも考えられるため、導入する際は、時間とコストが要件とズレがないか確認する必要があります。
利便性や生産性を損なう可能性がある
ゼロトラストでは、すべてのアクセスに対して認証・セキュリティ強化を図るため、反動としてユーザーの利便性が低下する可能性があります。
たとえば、業務アプリケーションやクラウドサービスを利用するたびに、多要素認証(MFA)や追加のセキュリティチェックが必要となるケースがあり、業務のスムーズな進行を妨げるリスクが考えられます。
さらに、すべてのデータやアクセスに対して一律に厳格なセキュリティ対策を適用すると、業務上重要度の低い情報へのアクセスにも過剰な制約がかかり、結果として生産性が低下する可能性もあります。
ゼロトラストを導入する際は、業務の妨げとならない、適切なアクセス制御ポリシーの設計が求められることを確認しておきましょう。
ゼロトラストの実現を支援するソリューション
本記事では、ゼロトラストの実現を支援する2つのソリューションについて紹介します。
- IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」
- NDR「Darktrace(ダークトレース)」
IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」
エムオーテックス株式会社(以下、MOTEX)が提供するIT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」には、ゼロトラストの実現を支援する様々な機能が備わっています。
▼ゼロトラストの実現を支援する「機能」の一例
- PCやスマホの「操作ログ」自動取得
- PCやスマホ、タブレットの利用状況見える化
- あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
- 万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
- Windowsアップデートやパッチ適用の管理
内部不正対策として欠かせないPCの操作ログは、最大5年分の保存が可能です。
また、ログ画面からは、PCにおけるアプリ利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続といった従業員の操作について、「いつ」「誰が」「どのPCで」「なんの操作をしたか」などを一目で把握できます。
情報漏洩に繋がりそうな従業員の不正操作を早期に発見し、インシデントを防止することが可能です。
ほかにも、万が一従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックやデバイスの初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
LANSCOPEエンドポイントマネージャークラウド版の詳細は、以下の製品ページをご覧ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
NDR「Darktrace(ダークトレース)」
NDR「Darktrace」は、リアルタイムで脅威を検知・対応し、ゼロトラスト環境の構築を支援します。
Darktraceは、AIによる機械学習と数学理論を用いた通信分析で、定常の通信パターンを自己学習します。
その結果、通常とは異なる通信パターンを即時に検知し、未知の脅威や内部不正をリアルタイムに把握することが可能です。
従来のシグネチャベースのセキュリティ対策では防げない、新しい攻撃手法やゼロデイ攻撃・標的型攻撃にも対応できます。
またCyber AI Analystの機能により、不審なアラートと脅威レベルを紐づけて、インシデント事案であるかを自動的に判別します。
管理者の手を介さずに、攻撃の拡大を防ぐための自動アクションを実行することで、ゼロトラスト環境のセキュリティをさらに強化します。
▼被害の最小化と対策の提案、レポート作成までを自動化
ほかにも、Darktraceはネットワークを通じて、幅広いIT環境を一元管理できます。
ネットワーク監視にとどまらず、SaaS/IaaS環境、エンドポイントまでを統合的にカバーし、包括的な可視化とセキュリティ制御を実現可能です。
Darktraceについてより詳しく知りたい方は、下記のページをご確認ください。
まとめ
本記事では「ゼロトラスト」をテーマに意味やメリット・デメリットなどを解説しました。
本記事のまとめ
- ゼロトラストとは、すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対し検査・認証をおこなうというセキュリティ概念
- ゼロトラストを実現することで、「サイバー攻撃の被害を抑制」「働く場所を選ばないセキュリティ環境」「安全なクラウドサービスの活用」といったメリットが期待できる
- システムの再構築やレガシーシステムへの対応などが必要となるため、コストや時間がかかる可能性もある
ゼロトラストを導入することで、セキュリティを強化できるだけでなく、柔軟な働き方や生産性の向上も期待できます。
本記事で紹介した「LANSCOPEエンドポイントマネージャークラウド版」や「Darktrace」は、ゼロトラストの円滑な運用を支援するツールです。
セキュリティ強化を目指す企業・組織の方は、活用をぜひご検討ください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
おすすめ記事
