ページの本文へ

Hitachi

トータルセキュリティソリューション

「ゼロトラストモデル」とは ―クラウド時代の次世代セキュリティモデル―|日立ソリューションズが提供する5分でわかるセキュリティコラムです。

「ゼロトラストモデル」とは ―クラウド時代の次世代セキュリティモデル―

「ゼロトラストモデル」とは ―クラウド時代の次世代セキュリティモデル―

急速に進展している、業務システムのクラウドシフトやテレワークの普及によって、従来の「境界防御モデル」では万全なセキュリティ維持が困難になっています。そこで注目され始めたのが、信頼せず攻撃されることを前提とした「ゼロトラストモデル」というセキュリティのコンセプトです。なぜゼロトラストモデルが求められているのか、ゼロトラストモデルを実現するために何をすればいいのか、詳しく見ていきましょう。

ゼロトラストモデルとは

近年、ICTを駆使して企業競争力の強化や新市場の創出をめざすデジタル・トランスフォーメーション(DX)の重要性が叫ばれています。DXは、AIによる業務・生産効率化、データドリブンなマーケティングなど、企業活動全体を最新のデジタル技術によって革新しようとする動きですが、中でも急速に進展しているのが業務システムのクラウドシフトです。

SaaS、PaaS、IaaSと呼ばれるクラウド型サービスが浸透し、ノートPC、スマートフォンなどのモバイルデバイスを活用したテレワークを推進する企業も増加中。加えて一部の企業では、個人所有のデバイスを業務にも利用するBYOD(Bring Your Own Device)も進んでいます。

しかし、これらがクラウドシフトで必要になる一方で、新たなセキュリティリスクも生まれています。クラウドシフトを進めるということは、従来ファイアウォールで分けていた「社内」「社外」という境界が曖昧となり、境界にフォーカスしたセキュリティ対策では対応できなくなってしまうのです。

そこで注目され始めたのが「ゼロトラストモデル」という、「信頼せず攻撃されることを前提とする」という考え方に基づいた、セキュリティアプローチでした。2010年にアメリカの調査会社であるフォレスターリサーチの調査員だったジョン・キンダーバーグ(John Kindervag)氏によって提唱されたものです。

代表的な例として、社外からモバイルデバイスを使って社内システムやアプリケーションにアクセスするケースを考えてみましょう。従来のセキュリティでは、「VPNに接続するためのID/パスワード認証」だけで社内システムやアプリケーションの利用が可能でした。

一方、ゼロトラストモデルが採用されると、以下のような点も確認することになります。

  • ・アクセスしてきたデバイスが社内承認済みのものかどうか
  • ・デバイスに最新のセキュリティ対策ソフトウェアがインストールされているか
  • ・デバイスがマルウェアに感染していないか
  • ・ID/パスワードは正規のユーザーが利用しているか
  • ・デバイスが通常と違うロケーションからアクセスしていないか
  • ・利用しているクラウドサービスに脆弱性がないか
  • ・不審な振る舞いが発生していないか

その時点で一定以上のセキュリティレベルを保持したデバイス以外は信頼せず、マルウェア感染や不正アクセス、ファイルの改ざんなどが検知されると、自動的にアクセス制御が行われます。

「企業や組織において、利用者(ユーザー・ID・パスワード)もデバイスもネットワークもアプリケーションも信頼しない」という考えに基づくセキュリティコンセプトがゼロトラストモデルといえるでしょう。

なぜゼロトラストモデルが必要なのか

ゼロトラストモデルが注目されるようになった背景として、業務システムのクラウドシフトをとり上げましたが、この点についてもう少し詳しく見ていきましょう。

まずは業務システムやアプリケーションの観点から。従来型のオンプレミスシステムでは、サーバーに蓄えられた情報資産は常にファイアウォールの内側の社内ネットワーク内に存在し、社外からアクセスするためにはVPNを経由した接続に限られているのが通常でした。セキュリティの観点でいうと、社内・社外の境界をファイアウォールで区切って不正侵入や情報流出を防ぐ、「境界防御モデル」を採用していました。

ところが、クラウドシフトを進めるにあたって境界防御モデルのセキュリティでは対応しきれなくなってきているのが現状です。SaaS、PaaS、IaaSといった、クラウトサービスを利用することにより、社内の情報資産の一部が外部と連携することになるからです。日々生まれる新たな攻撃手段に対抗できる防御力を保つためには、新たなセキュリティアプローチを模索する必要が生じたのです。

そして、働き方改革によるモバイルデバイスを活用したテレワークの推進。社外で利用されるデバイスは公衆無線LANのようなパブリックなネットワークに接続される可能性があります。これは、各デバイスが企業が主体的にリスクコントロールできないセキュリティリスクの海に放り投げられるようなもの。マルウェアの感染リスクや、ネットワーク通信の盗聴、モバイルデバイスを踏み台とした社内ネットワークへの不正侵入のリスクが急速に高まっているのです。

さらに、情報システム部門が把握できていないところで社員や部署が独自にデバイスやアプリケーションを導入・活用したり、クラウドサービスを利用したりする「シャドーIT」の存在も問題視されています。

シャドーITの利用は、情報漏洩や不正アクセス、クラッキングの踏み台などにされやすいため、徹底的に排除するのが理想です。社員にたとえ悪意や過失がなかったとしても、シャドーITが存在すること自体がセキュリティの脆弱性につながることもあります。

クラウドシフトやモバイルデバイスの活用が進み、社外から会社の資産にアクセスできてしまう、または「社内」であっても正規のアクセス権限などが攻撃者に悪用され得ることを想定したセキュリティモデルである「ゼロトラスト」が必要です。

企業がゼロトラストモデルを実現するために

将来、社内の全システムがクラウドに移行する可能性があるものの、現状しばらくは一部のシステムがクラウドに移行した環境が主流になると考えられます。一部がクラウドへ移行している環境では、既存のセキュリティ対策を活用しながら、新たに導入されたクラウド環境に対するセキュリティ対策の実施が必要です。

ネットワーク、デバイスへの攻撃手法は日々新しいものが生まれ続けています。「あらゆるネットワーク・デバイス・ユーザー・アプリケーションは安全ではない可能性があり、攻撃されることを前提とする」という発想に立ち、「境界」ではなく、クラウド環境からPCやモバイルデバイスなどの「エンドポイント」まで、多層防御による「総合的なセキュリティ力」を高めていかなければなりません。最後に、ゼロトラストモデルを実現するための代表的なセキュリティソリューションを紹介しておきましょう。

EPP(Endpoint Protection Platform)
「EPP」とは、ネットワークの末端(エンドポイント)にあるデバイスを脅威から保護するソリューションの総称です。なかでも注目したいのが「次世代マルウェア対策」に対応した製品群です。

従来のマルウェア対策は、随時更新されるパターンファイルに一致する既知のマルウェアしか検知できず、未知や亜種のマルウェアに対しては無力でした。これに対して次世代マルウェア対策に対応した製品は、マルウェア検知エンジンにAI技術(機械学習)を取り入れ、未知や亜種のマルウェアも高精度に検出可能。ゼロトラストモデル実現のカギを握るソリューションのひとつとなっています。

EDR(Endpoint Detection and Response)
日々、新たな脅威が生まれる中で、EPPだけでさまざまな攻撃からデバイスを保護できるとは言い切れません。たとえ次世代マルウェア対策製品を導入したとしても、セキュリティに100%はないからです。

「EDR」の主な機能は、「マルウェア攻撃の検知・隔離」「ログ監視による攻撃経路の特定・影響範囲の調査」「検知したマルウェアの駆除・端末の復旧」といったもの。マルウェア感染を回避することを目的としたソリューションがEPPだとすると、EDRは万が一マルウェアに感染してしまったときの対応を迅速に行い、被害を低減する、「攻撃されることを前提とした」ソリューションといえます。ゼロトラストモデルを実現するためには、EPPとあわせてEDRを導入し、攻撃に対する迅速な対処が行える人材の確保、復旧が可能な体制を整える必要もあります。

IAM(Identity and Access Management)
「IAM」ソリューションの導入・強化もゼロトラスト・セキュリティの実現のためには必須事項といえるでしょう。従来、ネットワークやシステムへのアクセス制御は、IDとパスワードで行われるのが一般的でした。しかし、パスワードの安全性は個人に依存してしまうという側面があります。また、攻撃によりIDとパスワードが漏洩してしまうという危険性も。

そのため、ゼロトラストモデルに基づき、ユーザー認証だけではなくデバイスのセキュリティ状態やロケーション、使用しているアプリケーションの正当性などを識別した上でアクセス制御を行うソリューションが有効です。

クラウドシフトが加速する中、社外のユーザー・デバイス・アプリケーションも確実な本人認証の基で利用を許可しなければいけません。オンプレミスシステムとクラウドサービスが共存する環境で、情報資産へのアクセスの利便性を損なわず、複数のクラウドサービスとのID連携や認証をクラウド上で一元的に運用可能なIDaaS(Identity as a Service)の導入も検討しましょう。

CWPP(Cloud Workload Protection Platform)
業務システム、サービス提供システムとしてPaaS、IaaSなどのクラウドサービスを採用する際に課題になるのが、用途や担当部門によって複数のクラウドサービスを使い分ける「マルチクラウド」に対するセキュリティ対策です。複数のクラウドサービスを利用し、そのうえ担当部門が多様化することで、セキュリティ管理が複雑化の一途をたどっているのです。

例えば、Amazon Web ServicesやMicrosoft AzureといったPaaSやIaaSは、情報システム部門が知らないところで使われていることさえあるといいます。これではゼロトラストモデルの実現ははるか遠くのものといえるでしょう。

クラウドサービスに対するセキュリティを効率的に向上させるためには、「CWPP」の導入が有効です。CWPPとは、「システムの完全性の監視・管理」「ネットワークのセグメンテーション・可視化」「構成・脆弱性管理」などを、複数のクラウドサービスを横断して一元管理するためのソリューション・コンセプトの総称です。未承認のクラウドサービスを検知することもでき、情報システム部門による企業のセキュリティ統制を高めることが可能になります。

SOAR(Security Orchestration, Automation and Response)
「SOAR」は、セキュリティ対策の自動化を支援するソリューションの総称。「インシデント対応の自動化」「インシデントの管理」「脅威情報の収集と活用」といった機能で構成されており、セキュリティ運用の自動化・効率化を実現します。

ゼロトラストモデルを実現するということは、セキュリティリスクの管理が増大するということ。従来の人員では対応しきれないケースが想定されます。SOARによりインシデントの監視・分析から対応まで自動化し、人に頼らないセキュリティ運用プロセスを標準化することもゼロトラストモデル実現の要件となりつつあります。

まとめ

ここまで見てきたとおり、ゼロトラスト時代を見据えた新たなセキュリティ対策の実施には、エンドポイントでの脅威防御に加え、万一のインシデント発生時における初動対応やフォレンジック調査も含めた包括的なソリューションが必要とされています。シャドーITに対応するためにはCASBの導入も不可欠でしょう。ぜひこの機会に自社のセキュリティを見直してみてください。

この記事に関連するおすすめ製品

クラウドシフト時代の新しいセキュリティ。DXと働き方改革を支える。

資料請求・お問い合わせ

コラム一覧に戻る

ページの先頭へ