ゼロトラストとは？その考え方や実装のためのソリューションを解説します

ゼロトラストとは？

ゼロトラストは、「決して信頼せず、必ず確認せよ（Verify and Never Trust）」という考え方に基づいた新しいセキュリティモデルです。従来のセキュリティモデルでは、社内のプライベートネットワークを信頼できるものとして扱う「境界型防御」が主流でした。ゼロトラストモデルでは、ネットワークやデバイスといったリソースは（社内のものであっても）信用できないという前提に立ち、すべての通信・端末を都度検証することで、組織の資産をより強固に守ることを目的としています。

ゼロトラストと同じような概念は古くから存在しましたが、2010年頃に「ゼロトラスト」という言葉がそのコンセプトと共に提唱され始め、2020年にアメリカ国立標準技術研究所（NIST）により NIST SP 800-207「Zero Trust Architecture」(*1) が発行され、用語の定義や概念が整理されました。

NIST SP 800-207では、ゼロトラストは、以下の7つの要素を考え方の原則としています。

1. すべてのデータソースやコンピューティングサービスをリソースとみなす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークインフラ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

*1: 日本語訳はPwCコンサルティング合同会社が公開しています
NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳 | PwC Japanグループ

ゼロトラストの考え方が必要となった背景

ゼロトラストが普及した背景として指摘されている3つの主要な要因について、それぞれの要因とその影響を説明します。

セキュリティ脅威の増加

ひとつ目の要因はセキュリティ脅威の増加です。
現代のサイバー攻撃は技術的に高度かつ狡猾になってきており、ランサムウェアやフィッシングなどの多様な攻撃によって、従来のセキュリティ対策を迂回する方法が増えています。同時にIT環境の拡大により、サイバー攻撃の対象となるIT資産（アタックサーフェス）が増えたことで、セキュリティリスクは高まる一方です。さらに、従業員やパートナーの内部不正など、組織の内部からの脅威も無視できません。

テレワークの普及

ふたつ目の要因はテレワーク・リモートワークの普及です。
2020年に発生した新型コロナウイルス（COVID-19）のパンデミックの影響を受けて、多くの組織がリモートワークを導入しました。これにより、企業のネットワーク外部からのアクセスが増加し、従来の境界型防御で保っていたセキュリティ対策では不十分となる場面が出てきました。また、従業員が自宅や外出先から作業する場合、会社のものでないデバイスやネットワークを使用する可能性が出てきたため、それらを信頼することが難しくなりました。

クラウドサービスの利用拡大

三つ目の要因はクラウドサービスの利用拡大です。
クラウドサービスの利用によって、データやアプリケーションが従来の自社・オンプレミスのインフラから外部（第三者・クラウド）に移動しました。ネットワークの境界が曖昧になったことで、従来の境界型防御が効果的でなくなってきました。また、クラウドサービスにはIaaS, PaaS, SaaSなど、さまざまな形態が存在し、それぞれのサービスで責任分界に応じた異なるセキュリティの管理方法が求められるようになりました。

ゼロトラスト実装の要件とソリューション

ゼロトラストを実装するためには、デバイス、アイデンティティ、ネットワーク、クラウドサービスそれぞれのセキュリティソリューション、そしてそれらの監視・分析が必要となります。ゼロトラストアーキテクチャの実装のための各ソリューションについて5つのカテゴリに分類しつつ説明します。

デバイスセキュリティ

MDM (Mobile Device Management)
ノートPC、タブレット、スマートフォン等のモバイル端末の統制や監視のためのソリューション。設定の集中管理や遠隔からのデータ消去、ログ監視等の機能があります。

EDR (Endpoint Detection and Response)
エンドポイントデバイスの脅威の検出と対応を行うソリューション。PCやサーバ等のデバイスの操作・動作を監視し、ウイルス等によるサイバー攻撃の検出やインシデント対応を行う機能を提供します。

アイデンティティセキュリティ

IDaaS (Identity as a Service)
クラウドベースのアイデンティティ管理ソリューション。シングルサインオン、マルチファクター認証、サービスディレクトリなどの機能を提供します。

IAM (Identity and Access Mangement)
ユーザーのIDと認可された権限を管理するためのソリューション。シングルサインオン等の認証やアクセス権限の付与を行う認可機能を提供します。

IRM (Information Rights Management)
ドキュメントやメールへのアクセス権限を制御するためのソリューション。権限に応じてファイルの複製や共有を制限する機能やアクセス履歴を管理する機能を提供します。

ネットワークセキュリティ

SDP (Software Defined Perimeter)
境界内のサーバーやアプリケーションへのアクセスをソフトウェアによって制御するソリューション。SDPが動的にアクセス要求を検証し、VPN等による保護された通信を確立する機能を提供します。

SWG (Secure Web Gateway)
不正なWebコンテンツへのアクセスを阻止するためのソリューション。マルウェアのブロックやURLフィルタリング機能を提供します。

IAP (Identity-Aware Proxy)
サーバーやアプリケーションへのアクセス許可をIAMと連携して行うためのソリューション。ユーザーアクセスの制御をIAPを通して行うことで、認可された範囲・権限のみのアクセスを可能とします。

クラウドセキュリティ

CASB (Cloud Access Security Broker)
クラウドアプリケーションの使用を監視・制御するためのソリューション。SaaS等のユーザー利用状況を可視化し、リスクとなりうる機能を一部制限する機能などを提供します。

CSPM (Cloud Security Posture Management)
クラウド環境の構成を監視・管理するソリューション。IaaS等のクラウドサービスの構成情報を監視し、設定のミスやリスクのある構成を検出する機能を提供します。

セキュリティの監視・分析

SIEM (Security Information and Event Management)
デバイスやアプリケーションのログを統合的に管理するためのソリューション。蓄積されたログからセキュリティ上のリスクを検知する機能を提供します。

SOAR (Security Orchestration, Automation and Response)
脅威やインシデント情報の管理を効率化・自動化するソリューション。インシデント情報の分析・優先度付けや既知のアラートを自動化する機能を提供します。

UEBA (User and Entity Behavior Analytics)
ユーザーやエンティティの行動を分析するためのソリューション。機械学習等を用いて分析を行い、普段の行動パターンと異なる振る舞いや脅威を検出する機能を提供します。