ゼロトラストとは？ 考え方や仕組み・実現方法などを徹底解説

テレワークの普及やクラウドサービスの業務利用の一般化など、業務を取り巻くICT環境は常に変化し続けています。企業が業務でITを利用する事は一般的になっていますが、合わせて、セキュリティ対策の実施も当たり前のものとなりました。しかし、ICT環境の変化を受け、セキュリティ対策にも変化が求められています。そんななか、近年注目を集めているものが「ゼロトラスト」です。ゼロトラストは、「何も信頼しない」ことを前提に実施するセキュリティの考え方ですが、なぜ今必要とされているのでしょうか。

この記事では、ゼロトラストの基礎知識や必要性、メリット・デメリット、ゼロトラスト環境の構築、実現のためのポイントを解説します。

ゼロトラストとは

ゼロトラスト（Zero-Trust）とは、「何も信頼しない」という前提のもとで対策を行うセキュリティの考え方です。すべてのユーザーやデバイスからのアクセスに対して都度チェックを行い、ユーザー認証の強化や通信経路の暗号化など、さまざまなセキュリティ対策を講じます。

あくまでゼロトラストは、セキュリティの考え方・概念であり、それ単体でソリューションとして提供されているものではありません。ゼロトラストを実現するためには、ユーザー認証の強化や暗号化などのさまざまな対策を段階的に行い、将来的な実現を目指す考え方が必要です。

ゼロトラストの概念・考え方

ゼロトラストと対をなす考え方には、「境界型セキュリティ」が挙げられます。

境界型セキュリティは従来のセキュリティの考え方です。多様化しつつある業務環境において、境界型セキュリティでは適切なセキュリティ対策が難しくなってきているため、ゼロトラストへの注目が集まりました。

境界型セキュリティでは、社内ネットワークを安全なもの、社外ネットワーク（インターネットなど）を危険なものとして、ネットワークに境界線を設けてセキュリティ対策を行っていました。対して、ゼロトラストはネットワークの内部と外部を区別せず、すべてのユーザーやデバイスからのアクセスを信頼することなく対策を講じる考え方です。

テレワークの普及やクラウドサービスの業務利用などにより、多様化するIT環境に適したセキュリティの考え方として、ゼロトラストが支持されています。

ゼロトラストの概念が生まれた背景

ゼロトラストは、2010年にアメリカの調査会社であるフォレスター・リサーチ社のジョン・キンダーバーグ氏によって提唱されました。当時起こっていた大規模なサイバー攻撃による被害は、社内ネットワークからのアクセスは信頼するという従来の考え方によって引き起こされており、これからは「何も信頼しない」ゼロトラストの概念を元に、セキュリティ対策を講じていかなくてはいけないと考えたのです。

さらに、近年ではクラウドサービスの登場もあり、ネットワークの境界が曖昧になってきています。そのため、境界型セキュリティでは十分なセキュリティ対策がどんどん難しくなってきているのです。

ゼロトラストの必要性

前述のとおり、クラウドサービスの利用拡大やテレワークの普及などにより、企業を取り巻くICT環境は大きく変わってきています。加えて、従来は安全なものとされていた社内ネットワークにおいて、内部不正のリスクも考慮する必要が出てきました。

このように変化しているICT環境では、セキュリティの考え方も変えていく必要があります。ゼロトラストは何も信頼しないという前提で対策を講じるため、クラウドサービス・テレワーク導入の利用におけるリスクや、内部不正のリスクにも対応できます。

ICT環境の変化に伴うセキュリティリスクの変化に対応するために、ゼロトラストは必要です。

ゼロトラストのメリット

ゼロトラストのメリットとしては、セキュリティが強化できる、働き方の多様化に対応できる、といった点が挙げられます。

ゼロトラストの最大のメリットは、近年のICT環境に適したセキュリティ対策を講じることができる点です。クラウドサービスやテレワークを安全に利用できるようになり、全体的なセキュリティの強化につながります。

また、さまざまなICT環境に適応できるセキュリティ対策を実践することで、働き方の多様化にも対応できるようになります。自宅や外出先から社内の情報資産に安全にアクセスし、オフィスにいるときと同じように仕事ができるということも、ゼロトラストであれば実現できます。

ゼロトラストのデメリット

ゼロトラストを導入する際には、注意すべきデメリットも存在します。

• 時間とコストがかかる

ゼロトラストは、従来のセキュリティソリューションだけでは実現できません。ゼロトラストの実現には、現システムの課題の洗い出しから、最適なソリューションの選定・導入に、時間とコストがかかります。

加えて、ゼロトラストでは「何も信頼しない」という考えのもとで認証などを強化することになります。そのため、導入したソリューションによってはログインに手間がかかるようになるといった課題が挙げられます。セキュリティと利便性、両者を損なうことなく最適なラインを模索することが重要です。

ゼロトラストに対応したネットワーク

ゼロトラストを実現するためには、ゼロトラストの考え方に基づいたネットワークの構築が欠かせません。特に、ゼロトラストを実現するためのネットワークは「ゼロトラストネットワーク」と呼ばれ、従来のネットワークの考え方とは大きく異なります。

従来の境界型セキュリティでは、社内のリソースを中心に利用しており、ネットワークへの負荷も大きくなっていました。ゼロトラストネットワークは、社外のクラウドサービスの利用や外部の人材とのコラボレーションなど、これまで以上に柔軟なネットワークの実現へとつなげる事ができます。

このようなネットワーク環境を構築するためには、さまざまなセキュリティソリューションを組み合わせて導入することが必要です。

ゼロトラストを実現するためのソリューション

ゼロトラストを実現するためのソリューションは多種多様です。そのなかから、代表的なソリューションについて簡単に解説します。

IDaaS

IDaaS（ID as a Service）は、ID認証、パスワード管理、アクセス制御など、アカウント管理をクラウドで行なうサービスです。従来、企業が管理すべきアカウント情報は、社内ネットワーク内に限られていました。しかし、最近ではクラウドサービスの業務利用も増え、ネットワーク内外に管理すべきアカウント情報が点在するようになっています。

IDaaSは、ネットワーク内外に存在するあらゆるアカウント情報をクラウド上で一元的に管理できます。また、一元管理の実現によって、SSO（シングルサインオン）も実現できます。

IAM

IAM（Identity and Access Management）は、IDの管理・認証・認可を表す言葉です。ID情報を管理する際には、本人かどうかを確認する認証だけでなく、IDごとのアクセス権限を適切に管理することも重要です。

顧客（Customer）のIDに特化したIAMは「CIAM」、企業・従業員（Enterprise）のIDに特化したIAMを「EIAM」と呼びます。IDaaSと併せて、これからのID管理に欠かせないソリューションの一つです。

EPP

EPP（Endpoint Protection Platform）は、ユーザーが利用するパソコンなどのエンドポイントに対するセキュリティソリューションの一種で、アンチウイルス製品(AV)、次世代アンチウイルス製品(NGAV)などが該当します。従来は、パターンマッチング方式によりマルウェアを検出するアンチウイルス製品（AV）が一般的でしたが、最近では、機械学習やふるまい検知などの技術を用いて、未知のウイルスにも対応できる次世代アンチウイルス製品(NGAV)を導入する企業が増えてきています。

EDR

EDR（Endpoint Detection and Response）はEPPと同じく、エンドポイントに対するセキュリティソリューションの一種です。マルウェアの侵入を未然に防ぐ事を目的としているEPPとは異なり、マルウェア侵入後の対応を支援します。パソコンやサーバーの状況及び通信内容などを監視し、不審な挙動の検知や迅速な対応の支援を実現します。

MDM

MDM（Mobile Device Management）は、スマートフォンやタブレットなどのモバイルデバイスを一元的に管理するためのソリューションです。従業員の私物スマートフォンなどを業務利用する「BYOD（Bring Your Own Device）」という考え方もあり、MDMの重要性が高まっています。

MDMには、遠隔地からの端末ロックや初期化、第三者による不正利用対策、デバイスの機能制限などあらゆる機能が備わっており、企業がモバイルデバイスを活用する際には必須とも言えるソリューションとなっています。

ZTNA

ZTNA（Zero-Trust Network Access）は、事前に定義したアクセスコントロールポリシーに基づき、企業のあらゆるリソースへのセキュアなリモートアクセスを実現するためのソリューションです。

ZTNAは企業の社内ネットワーク・パブリッククラウド・データセンターなどのネットワークをつなぎ、すべての通信時に端末やユーザー情報を検証します。アクセスコントロールポリシーに基づき、リソースへのアクセスが動的に許可される仕組みです。

SDP

SDP（Software Defined Perimeter）は、ネットワークの境界をソフトウェアによって仮想的に実現するソリューションです。仮想専用通信網を指すVPN（Virtual Private Network）と、よく比較されています。

VPNではネットワーク接続時に一度だけ認証を行いますが、SDPでは接続前後と通信中における3段階の検証と認証が行われます。また、VPNではIDとパスワードの1要素のみで認証を行いますが、SDPでは1つの要素だけでは認証せず、多要素認証によってのみアクセスを許可する仕組みです。

SWG

SWG（Secure Web Gateway）は、おもにクラウドサービスとして提供されるプロキシです。プロキシはクライアントの代わりにWebアクセスを行い、その結果をクライアントに返答する仕組みです。

SWGを用いることで、クライアントは安全なWebアクセスを実現できます。仮に危険なWebサイトであっても、SWGがアクセスして検証するため、クライアントには被害が及びません。アンチウイルスやURLフィルタリング、DLP（Data Loss Prevention）などの機能を有している場合も多く、安全なWebアクセスを実現するための総合的なソリューションです。

SD-WAN

SD-WAN（Software Defined Wide Area Network）は、物理的に構成されたWAN上にソフトウェアで構成された仮想的なWANを構築するソリューションです。WANはLAN（Loacal Area Network）を拡張したものと捉えることができ、本社と支店などのLAN同士をつなぐためのネットワークといえます。

複数の拠点を持つ企業にとって、WANの構築は不可欠ですが、環境構築や設定にかかるリソースやコストが課題でした。そこでSD-WANでは、さまざまな物理回線をソフトウェアで可視化し、一元的に管理することで効率化しています。加えて、クラウドサービスへの接続も考慮した柔軟なトラフィックコントロールを実現できます。

SOC

SOC（Security Operation Center）は、ネットワークやデバイスの監視を行い、サイバー攻撃の検知や分析などを行なう専門組織です。被害を未然に防いだり、被害の拡大を抑えたりすることが期待できます。自社内にSOCを設置することもありますが、専門性の高い人材が必要でもあり、外部のSOCに委託し運用・監視業務を任せることも多くあります。

MDR

MDR（Managed Detection and Response）は、EDR製品をマネージドサービスとして提供するソリューションです。EDRを運用するためには、検知内容の判断からログの監視・検知後の対応などに関する運用スキルが欠かせません。しかし、専門的なスキルであるため一般ユーザーだけでは運用が難しい点が課題でした。

MDRは、このような課題を解決するために、マルウェアの検知から検知時の初動対応などのEDR運用をサポートするソリューションです。

CASB

CASB（Cloud Access Security Broker）は、クラウドサービスへのアクセスの可視化や、不正アクセスの監視、データの暗号化などを行なうソリューションです。

クラウドサービスの業務利用は、働き方の多様化と業務効率化を実現するための手段の一つです。一方で、利用を許可していないクラウドサービスの利用や、情報漏洩などのセキュリティリスクも増えています。

このようなクラウドサービスを利用する上でのセキュリティリスクに対して、CASBは有効です。

CSPM

CSPM（Cloud Security Posture Management）は、日本語で「クラウドセキュリティ態勢管理」とも呼ばれる、クラウドサービスを利用する上でのリスクを軽減するためのソリューションです。クラウドサービスを利用する際にセキュリティリスクとなり得る設定や状態を自動的に検出し、インシデントを未然に防ぎます。

クラウドサービスを導入する際の誤構成や管理の不備、設定ミスが原因によるインシデントやサイバー攻撃が発生しており、これらの対策のためにCSPMが必要とされています。

CWPP

CWPP（Cloud Workload Protection Platform）は、クラウド上の仮想マシンやデータベース、コンテナ、アプリケーションなどのクラウドワークロードを監視・保護するソリューションです。

少しCSPMと似ていますが、CSPMがAPIを用いて設定情報やログなどを取得して脆弱性などを検知することに対して、CWPPでは仮想マシンやコンテナなどにエージェントなど配置し、セキュリティの監視を行なう、という点が違いです。

SOAR

SOAR（Security Orchestration, Automation and Response）は、セキュリティ監視から検知・対応までを効率化・自動化するためのソリューションです。事前にインシデント発生時の対応を定義しておき、その内容に従って情報収集や調査などを自動的に行ないます。

セキュリティ運用には専門的な知識・スキルを持った人材が不可欠ですが、日本ではそのようなセキュリティ人材が不足しています。SOARはセキュリティ運用業務の自動化を実現することで、セキュリティ人材不足の課題を解決できるソリューションです。

ゼロトラスト実現のポイント

ゼロトラストは、何か一つのソリューションを導入するだけで実現できるものではありません。企業のセキュリティ体制の根幹部分から見直す必要があり、企業ごとに必要とされる対策の種類やソリューションは異なります。

ゼロトラストを実現するためには、自社にとってどのようなセキュリティ対策が必要なのか、不足している対策は何か、ということを明確にすることが重要です。しかし、企業を取り巻くセキュリティリスクは常に変化し続けており、専門的な知識・スキルを持った人材がいなければ対応は難しいでしょう。

そのため、まずは自社のICT環境をしっかりと把握し、現在行っていること・将来行いたいことを明確化し、そのために必要なセキュリティ対策が何かを考えるようにします。セキュリティソリューションの選定が難しい場合は、専門の業者に相談しましょう。

相談するにあたり、現在の環境と将来的な環境の構想があるとスムーズに進められます。

まとめ

ゼロトラストは「何も信頼しない」という前提のもとで、セキュリティ対策を行なうセキュリティの考え方・概念です。従来の境界型セキュリティでは、昨今の環境に適応できなくなってきているため、ゼロトラストが重要視されています。

セキュリティに何らかの課題を感じておられる企業は、ゼロトラストの実現を目指して、自社のセキュリティを見直してみてはいかがでしょうか。