在宅ワーク・ワーケーションといったワードを耳にする方も増えた中、最近はデジタルを活用して場所に囚われず効率的に業務を行えるようになりました。しかし、デジタル活用が進むにつれて、これまで見過ごされがちだったセキュリティリスクが出てきているのも事実です。
今回は、そんなリスクへの対策として提唱されている「ゼロトラスト」という考え方について、概要から必要になった背景、メリット・デメリットなど網羅的に解説していきます。

1. ゼロトラストとは？

ゼロトラストとは、その名の通り「何も信頼しない」ことを前提に対策を講じるセキュリティのことで、2010年にForrester Research社（アメリカの調査会社）の調査員ギンダーバーグ氏によって提唱されたネットワークセキュリティの考え方です。

従来の境界型セキュリティモデルは、

• ファイアウォールで信頼できる「内側」
• 信頼できない「外側」

の2つに分けてその境界線で対策を講じていました。

しかし、このモデルは一度内側に入り込まれてしまうと内部から攻撃された場合に無力です。また、在宅ワークが進んだことでクラウドシフト（サービスやアプリを利用するプラットフォームをクラウド化すること）が進み、社内から社外へのトラフィックが増加したことでこれまで想定していたファイアウォールの性能を超えてしまいます。

それにより、通信速度が落ちて業務効率が落ちてしまうことや、クラウドシフトの推進により従来ファイアウォールで分けていた「内側」「外側」の境界が曖昧になり、境界を起点にしたセキュリティ対策ではサイバー攻撃に対応できなくなるなど境界型セキュリティモデルでの対応は限界を迎えつつあります。

ゼロトラストの考え方をベースとした「ゼロトラストモデル」では

• 内側と外側の区別を付けない

ことで、システムやデータへのアクセスは「信用せず、攻撃されることを前提に全て確認する」にし、マルウェア（ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェア）の感染や脅威への対策を防ぎます。
よくあるパターンで言えば、社外から社内システムを利用する際のアクセス制御方法は境界型セキュリティモデルでは「VPN」だけでした。

しかしゼロトラストに基づいたセキュリティモデルになると、アクセスしてきたデバイスが社内認証済みのものかなどいくつかのチェック項目が追加されます。
チェックした結果、不正アクセス、マルウェアの感染などが見つかると自動的にアクセス制御が行われます。

自社でゼロトラストの導入を検討している担当者の方はIPA（情報処理推進機構）の「ゼロトラスト導入指南書」を一読しておくと良いでしょう。
本書では、ゼロトラストの歴史や考え方・構成要素・ユースケースの検証結果や導入方法・導入時の注意点などゼロトラストの導入担当者にとって導入検討の際の参考資料として活用できる内容になっています。

なお、本書を利用する際の前提知識として「情報処理技術者試験（IT パスポート試験）を合格できる程度」の知識は必要となります。
本書は、IPAホームページ上の「ゼロトラストという戦術の使い方」ページの下部からダウンロードすることができます。

2. なぜ、ゼロトラストが必要なのか

ゼロトラストが必要になった背景は主に2つあります。

2-1. 在宅ワークの加速

近年、新型コロナウイルス感染症（COVID-19）の大流行によって在宅ワークを各社が推奨、実施し始めました。これにより、クラウドの活用が増加し、社外のシステムから社内にアクセスすることが増えたため、これまでの境界型セキュリティモデルではサイバー攻撃への対処が難しくなってきているのです。

一般的に「内側」に公開してあるWebサイトは通常インターネットからアクセスできません。「外側」のネットワークから接続するためにはVPNなどのリモートネットワークを利用する必要があります。

しかし、VPNは一度アクセス出来てしまえば「内側」のネットワークに正規の利用者としてアクセス出来てしまうというセキュリティ上の課題、在宅ワークなど一度に多くの人間がアクセス出来るようにするための管理など運用上の課題がいくつかあります。

このように在宅ワークが一般化し、セキュリティ対策の境界が曖昧なクラウドコンピューティングなどが加速していく中で対策を施すための方法としてゼロトラストネットワークが必要です。

2-2. 企業のDX促進

働き方改革や業務効率化のためDXを推し進める企業が増えています。DX推進によりインフラのクラウドシフトも急速に進んでいる一方で、個人情報の漏洩やサイトへの不正アクセスなどサイバー攻撃への対応も急務です。

近年、境界型セキュリティモデルの時代には安全だと思われていた「内側」へ、セキュリティの監視をかいくぐった攻撃などこれまでなかった脅威が目立ってきています。そのため、従来のセキュリティモデルではなくゼロトラストというセキュリティモデルが必要になっています。

3. ゼロトラストセキュリティとゼロトラストネットワーク

ゼロトラストとは別に、ゼロトラストセキュリティ、ゼロトラストネットワークというワードを聞いたことがある方も多いのではないでしょうか。
ここでは、「ゼロトラストセキュリティ」と「ゼロトラストネットワーク」それぞれについての定義を説明します。

3-1. ゼロトラストセキュリティ

ゼロトラストセキュリティとは、前述の「ゼロトラスト」の考え方に基づいて構築される「セキュリティモデル」のことです。会社の「内側」「外側」で分けずにアクセスがあったもの全てを信用せずに検証するこのモデルでは、

• アクセスしている人が誰なのか
• アクセスしてきたでデバイスの登録の有無
• マルウェアが感染していないか
• 最新の状態のアプリケーションか

などの複数の項目を通過して許可や認証を受けたユーザーやデバイスのみがデータやアプリにアクセス出来るのでサイバー攻撃などの脅威からこれらを守ることが出来ます。

3-2. ゼロトラストネットワーク

ゼロトラストネットワークは、ゼロトラストセキュリティを実現する「ネットワークモデル」のことです。ゼロトラストネットワークの構築方法はベンダー毎で異なります。
例えばPaloAlto社のゼロトラストネットワークの仕組みは、アプリケーション、ユーザー、コンテンツごとに通信内容を分類します。
このようにゼロトラストネットワーク構築方法は一概には言えないので、自社の課題は何でどこを守りたいかを明確にし、Microsoft社やPaloAlto社といったセキュリティ企業が提案しているモデルが自社に合っているかを判断してすすめるのが良いでしょう。

4. ゼロトラストのメリット・デメリット

4-1. メリット

ゼロトラストのメリットは、セキュリティ面で不安が残るクラウドを自宅や貸しオフィスからでも場所問わず安心して利用できるところでしょう。
リスクを最小限に抑えてクラウド利用ができるためリモートワークへの意向もスムーズに行えます。また、ゼロトラストセキュリティはシンプルに実施出来ます。

境界型セキュリティモデルではセキュリティシステムを構築するためにVPNの設定やファイアウォールの導入など複雑な設定が必要だったうえ、仮想VPNアプライアンスなどの複数のソフトウェアが必要でした。

しかしゼロトラストセキュリティはクラウドベース（サービスやアプリがクラウドをプラットフォームとしていること）なので全ての機能をクラウドサービス内で構築でき、システムの複雑さが大幅に軽減されることでセキュリティの管理も簡素化することができます。

また、これまでファイアウォールで守れていたデータも、近年ではこのセキュリティをかいくぐる不正アクセスやマルウェアが増えてきています。ゼロトラストではこれらも防御できる点がメリットです。

4-2. デメリット

デメリットとしては、業務効率が阻害されるリスクがある点です。
ゼロトラストの考え方の場合「全てを信用しない」となるので、例えば数分前にログアウトしたユーザーでも再びログインする際にまた承認ステップを踏まなくてはいけません。これにより業務効率が下がり、生産性の観点からみるとデメリットといえるでしょう。

また、ゼロトラストに基づいたセキュリティ構築は一定の費用が掛かります。ゼロトラストは単一の製品や機能で実現できるものではないため、実現には様々な製品や機能を導入する必要があり、ゼロトラストネットワークの構築にコストが高くなる傾向があります。

ただ、ゼロトラストとは考え方なので、大切なのは考え方に基づいて適切な製品や機能を利用することで無駄のない投資をすることです。
このような工夫を行うことでゼロトラスト実施後に効率性を損なうことなく期待していたセキュリティ管理を行うことができます。

5. ゼロトラストの対応事例

実際にゼロトラストに対する各社の対応事例をみていきましょう。

5-1. Googleの「BeyondCorp」

代表的なのはGoogleが8年かけて実装したゼロトラストモデル「BeyondCorp」です。
これはGoogleのコミュニティから寄せられたアイデアや最善策を元に構築されています。「BeyondCorp」はVPNを利用せずにアクセス制御地点を個々のユーザーに移すことで安全にテレワークを行うことが出来ます。「BeyondCorp」は不正アクセスやマルウェアを防御できるだけではなく、アクセス元を隠したり、データを暗号化することでVPN利用時よりも外部からの攻撃を防げるようになっています。

5-2. Microsoftの「Azure AD」と「Azure Sentinel」

Microsoftは、ゼロトラスト環境構築に必要な機能の提供を開始しました。
例えば、「Azure AD」はMicrosoftによるクラウド型のアクティブディレクトリです。テレワークが主流になりつつある今、従来のオンプレミスADではなく、クラウドサービスのアカウントを一括で管理して安全にユーザー認証できる機能である「Azure AD」を提供しています。
これにより、企業はクラウド認証のために自社でシステム構築をしなくてもよく、簡単にセキュリティの高い認証基盤を導入できます。

また、「Azure Sentinel」はセキュリティ分析とサイバー脅威インテリジェンスを企業全体で実現し、脅威の可視性や対応などのためのソリューションを提供します。
これにより、企業は巧妙になる攻撃やアラート、これらの解決に要する多大な労力に伴うストレスを軽減して企業全体を俯瞰的にみることで効率的にセキュリティ管理をすることができます。

6. 社内運用のノウハウと課題

ゼロトラストを社内に運用するとして担当者が意識しておくべき課題と課題解決のためのノウハウをご紹介します。

ゼロトラスト導入の課題として「社内活用のための体制づくり」があります。ゼロトラストを活用する為には方法の周知やシステム理解は欠かせません。

そのために、ゼロトラスト導入によって安心して新しい働き方に移行できる環境を整えることで従業員自身も効率的に働けるようになり、パフォーマンスの向上や働き方の幅が広がることのメリットを従業員に理解してもらうことが重要となってきます。導入の意味を理解してもらった上で、浸透しやすいように社内体制を整えることが大切です。

例えば、ゼロトラストネットワークを構築するにあたり共通のステップとして「ID管理」があります。ネットワークへのアクセスの為のID/パスワードを社内にアナウンスする際も後から「パスコード忘れた」という問い合わせが発生する可能性があります。このように新しいネットワークモデルを導入する際は、問い合わせ窓口を設置したり、従業員へのゼロトラスト導入に関する社内セミナーを実施するなど社内体制を構築することも担当者として考えておくべきことです。

7. まとめ

ゼロトラストセキュリティは従来のセキュリティモデルでは防ぎきれなかった部分を守り、なおかつ働き方の枠を広げられる画期的なモデルです。

当社では、ゼロトラストセキュリティの導入事例のホワイトペーパーをご用意しています。他社の事例から貴社に合ったゼロトラストの実現方法をご提案します。
やみくもに始めるのではなく重点的に守るものを見定めて業務効率と両立できるゼロトラストセキュリティの実施を目指しましょう。