Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
高度化するサイバー攻撃や働き方の多様化により、これまで有効とされていた境界型防御の限界が見えてきました。
情報漏洩を防ぎ、安全に業務を行なうために組織のセキュリティ環境はどのような変化が必要なのでしょうか。
この記事では、これからのビジネス環境に対応するセキュリティとして注目されているゼロトラストについて解説します。
ゼロトラストとは
ゼロ(0)トラスト(trust=信頼)という名称の通り、何も信頼しないことを前提としたセキュリティの概念です。
現在主流のセキュリティ対策の境界型防御は、内部ネットワークに接続できている通信であれば安全であるという前提のもとで成り立っています。
それに対し、ゼロトラストでは正規の認証プロセスを経てアクセスしている通信であっても信頼しません。「本当に正規の利用者なのか?」と常に疑い、検証します。
外部だけではなく内部にも脅威は存在しており、常に攻撃を受けるリスクを想定しておくゼロトラストの考え方が、今後主流になると考えられています。
なぜゼロトラストが注目されるのか
境界線型防御の弱点や限界が見え始めてきたことが、ゼロトラストに注目を集める大きな要因のひとつです。
境界型防御には、大きく「セキュリティを担保する前提」と「ビジネス環境の変化」の2つの点に問題があります。
セキュリティを担保する前提
前述の通り、境界型防御のセキュリティは、内部ネットワークに存在する通信は安全(正規の利用者)であることを前提としています。
そのため、機密情報は内部ネットワークに保管し、安全な通信により操作・閲覧されるという考えです。
この考え方は、裏を返せば攻撃者に侵入されたら機密情報やIT資産を守ることができないことを意味します。
内部ネットワークへの侵入に成功した攻撃者による情報の奪取や破壊、改ざんに対して防御できない点が大きな問題といえます。
ビジネス環境の変化
境界型防御の問題となるビジネス環境の変化は、「高度化するサイバー攻撃」「働き方の多様化」「クラウドサービスの浸透」の3点が挙げられます。
それぞれ解説します。
-
高度化するサイバー攻撃
現代のサイバー攻撃は、極めて巧妙な手法で実行されるケースが多くあります。
高度なスキルを持ったクラッカーにより長期的な標的型攻撃が行なわれた場合、防ぎきることは困難なのが実情です。
そのため、境界型防御の「内部ネットワークに部外者を侵入させない」考え方が通用しなくなっていると考えられます。 -
働き方の多様化
ほとんどの従業員がオフィスへ出社し、内部ネットワークに直接接続されたデバイスで業務を遂行する環境であれば、境界型防御は効率的に一定のセキュリティを確保できるメリットを持っています。
営業職や一時的なオフィス外での作業に対してはVPN環境を用意することで、無理なく対応可能です。しかし、コロナ禍によりテレワークが急速に普及しました。
テレワーク対応として、多くの組織が境界型防御の境界線を接続元のデバイスまで拡張するために、VPN環境を整えたことは記憶に新しいのではないでしょうか。
VPN装置には暗号化・複合化の負荷が大きくかかるため、処理できる通信量はそれほど多くありません。
そのため、多くの従業員が日常的にVPNを通して業務を行なう負荷に耐えきれず、通信が不安定な状態での作業を余儀なくされたケースも散見されました。また、VPN環境の構築やファイアウォールの設定作業は多くの工数を必要とします。
このように境界型防御に合わせてテレワーク環境を構築することは、業務効率の低下や工数の増加を招いてしまいます。 -
クラウドサービスの浸透
クラウドサービスの利用率は年々増加しています。
総務省の調査※によると、2016年に46.9%だった企業のクラウドサービス利用率は、2020年には68.7%にまで上昇しています。
急速に広がるクラウドサービスが引き起こす弊害として、内部ネットワークと外部の境界が曖昧になることが挙げられます。
クラウドストレージやコミュニケーションツールの活用により、機密情報であっても社外の環境に保管されるケースが増加しました。
境界にセキュリティを集中させる境界型防御の範囲外にも機密情報が存在する状態となり、境界型防御では対応することが困難となっています。
※ 参考:総務省「令和3年版 情報通信白書」
このように、ビジネス環境の変化により境界型防御が前提としている環境が崩れつつあることで、ゼロトラストで解決する気運が高まっていると考えられます。
ゼロトラストのメリット
ゼロトラストを実現することで、下記のメリットを見込むことができます。
サイバー攻撃の被害を抑制
攻撃を防ぎきれなかった時点で大きな被害に直結する境界型防御に対して、ゼロトラストでは攻撃を受け侵入されることを前提としています。
そのため、不正アクセスやマルウェアが組織のネットワークに侵入しても被害を抑え込み、管理者への通知や対処に必要なログ収集を行なうことが可能となります。
働く場所を選ばないセキュリティ環境
ゼロトラストを構成する要素は、基本的にクラウド上で稼働しています。
そのため、インターネットに接続できる環境であれば場所を問わずに業務を遂行することが可能です。
接続数や設定の手間など、VPNのデメリットを払拭することも期待できます。
安全なクラウドサービスの活用
内部ネットワークと外部ネットワークの境界線に依存しないゼロトラストでは、点在する各クラウドサービスを安全に利用することが可能です。
組織のリソースをクラウドにシフトしていく上で、セキュリティが課題となると考えられます。
ゼロトラストはクラウドの活用を前提としているため、一貫したセキュリティポリシーでクラウドサービスを管理することができます。
ゼロトラストのデメリット
ゼロトラストの実現によって多くのメリットがありますが、デメリットも存在します。
実現するためのコストや難易度
ゼロトラストは新しいセキュリティの概念であり、実際にゼロトラスト環境を実現している例は多くありません。
多くの事例やナレッジを参考にして設計できる境界型防御とは異なり、試行錯誤や想定外のトラブルが発生する可能性は高いと言えます。
現代のビジネス環境にマッチしたゼロトラストですが、容易に実現できるものではないと認識しておくことが大切です。
ゼロトラストの実現に向けたアプローチ
ゼロトラストは複数のサービスを組み合わせて、既存のセキュリティ環境との整合性を取りながら進める必要があります。
スタンダードな方法論はまだ確立されていませんが、実現に向けた流れの一例を紹介します。
ゼロトラスト導入の目的を明確にする
ゼロトラスト関連のサービスは多く存在していますが、全てを使わなければゼロトラストを実現できないということはありません。
自組織がゼロトラストに何を求めており、どのような効果を発揮したいのかを明確にし、そのために必要なサービスを選定・導入する必要があります。
導入の目的を明確化するためには、自組織の業務や環境、今後の展望を視野にいれながら現状を整理することが大切です。
-
業務内容や業務フローの整理
ゼロトラストを導入することで、認証方法や利用するクラウドサービス、組織が従業員に求めるセキュリティ意識やリテラシーなど、多くの変化が想定されます。
また、業務によって取り扱う機密情報のレベルにも差があるでしょう。
センシティブな内容を含む個人情報であるのか、メールアドレスのみであるかで、求められるセキュリティ要件は異なります。
ゼロトラストを導入する業務の範囲や職種を明確にすることが、適切なゼロトラストアーキテクチャ設計や混乱の防止に繋がります。
ゼロトラストアーキテクチャについてはこちらで解説していますので、併せてご覧ください。 -
課題の整理
1で整理した内容をもとに、課題を整理します。
ここで抽出した課題がゼロトラストによってどのように解決されるのかを明確にすることが、導入するべきサービスや運用方法の検討に繋がります。
ここでの分析が疎かになってしまうと、ゼロトラスト推進を開始してから手戻りの発生や不要なサービスを導入してしまうなど、大きなロスが発生する恐れがあります。 -
IT資産の整理
ゼロトラストの推進により、既存のファイアウォールや各サーバーはクラウドサービスに置き換わることがあります。
そのため、組織がどのようなIT資産を有しており、それぞれがどのように連携しているのかを明確化します。
ゼロトラストの推進においては、一度に全てを置き換えることは難しく、徐々に導入を進めていくのが一般的です。
既存システムとゼロトラストサービスが共存する期間は長く続くため、予期せぬトラブルを防止するためにも重要な工程です。 -
IT関連コストの整理
各種サービスの利用を開始すると、既存システムの一部を廃棄するなど既存環境に大きな変化をもたらします。
現状はほぼ定量化されているIT資産関連コストやメンテナンスコストも影響を受けるため、それを調査・予測することが必要です。
運用・保守コストやゼロトラストで置き換わるサービス、リース契約中の機器など、どのようにコストが変化するかを想定しましょう。 -
サービスの選定、導入
ここまでに整理した内容をもとに、自組織が求めるサービスを選定します。
SASEのようなソリューションを利用してネットワーク・セキュリティ環境を整える方法や、CASBやSWGを個別に選定して自組織の業務にマッチした環境を整えるなど、選択肢は多くあります。
ゼロトラスト関連サービスは登場から日が浅いものが多く、利用者側のナレッジも十分とは言えません。
そのため、自組織での運用が無理なくできるか、必要なサポートは用意されているかなど、導入後の状況を意識した選定が重要です。
ゼロトラストを実現するためには、入念な事前検討が必須です。
急がずに自組織にマッチした導入を着実に進めていきましょう。
こちらの記事で、ゼロトラストを構成する代表的なサービスを紹介しています。
併せてご覧ください。
ゼロトラストをどのように捉えるべきか
ゼロトラストは境界型防御の弱点を克服し、高度なセキュリティ環境を実現する概念と考えられます。
しかし、境界型防御のセキュリティ環境からゼロトラストのセキュリティ環境へ移行することは容易ではなく、ナレッジや事例による盤石なノウハウや正解も存在していません。
そのため、ゼロトラストへの移行を急務として推進するのではなく、自組織に必要な要素を検討し、少しずつ取り入れていく形が望ましいと考えられます。
まずはゼロトラストの基本を理解し、自組織にとってどのようなメリットがあるのかを検討するとよいでしょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
ゼロトラストを実現するためのソリューションとしてSASEがありますが、具体的にどのような違いがあるのか、SASE導入のポイントなどをこちらで解説しています。
併せてご覧ください。
関連ページ
関連する記事
