「境界」がないセキュリティモデルの構築には何が必要か?ゼロトラストモデルとは?基礎知識・メリットを解説

最終更新日:2021年8月24日

レバテックキャリアは
ITエンジニア・Webクリエイター専門の転職エージェントです

クラウド環境の一般化と、モバイルデバイス・高速無線通信の普及、テレワークなどの要因から「ゼロトラストセキュリティモデル」の導入に踏み切る企業が増えています。ゼロトラストモデルは、「信頼に足る領域を設けない」ことで、強固で柔軟性の高いサイバーセキュリティ体制を構築する考え方です。今後のセキュリティモデルのスタンダードになる可能性が高いため、エンジニアの必須知識として押さえておきましょう。ここでは、ゼロトラストモデルの基礎知識やメリットについて解説します。

1. ゼロトラストモデル(ゼロトラストセキュリティモデル)とは?

まずゼロトラストモデルの定義について解説します。

ゼロトラストモデルとは

ゼロトラストモデルとは、「全てのトラフィックに信頼(トラスト)が無い(ゼロ)状態」をベースとしてセキュリティを構築する考え方です。

従来のセキュリティモデルは「境界防御モデル」と呼ばれるものでした。境界防御モデルでは、ネットワークを「内」と「外」に分け、その境界線にセキュリティ対策を施すことで「安全な領域(信頼できる領域)」と「リスクがある領域」を明確にします。例えば、社内LANとインターネットの境界線にファイアウォールを設置したり、社内システムへのアクセスにパスワード認証をかけたりといった方法は、境界防御モデルの代表的な例です。

一方ゼロトラストモデルでは、「内」や「外」という概念を持たず、あらゆるネットワークトラフィックに対して「ゼロベースのリスク評価」を行います。評価は継続的・定期的に行われ、それに応じた対策を施すことで、あらゆるセキュリティリスクに対応できることが特長です。

ゼロトラストモデルの要件の紹介

ゼロトラストモデルを成立させるための要件としては、以下のような考え方が主流です。

Forrester Research社による「Zero Trust eXtended (ZTX)」(※)
  • ・ネットワークセキュリティ

    ・デバイスセキュリティ

    ・アイデンティティセキュリティ

    ・ワークロードセキュリティ

    ・データセキュリティ

    ・可視化及び分析

    ・自動化

    ・マネジメントとユーザビリティ

    ・API

    ・ゼロトラストインフラの将来像


※参考:Cisco Japan Blog「ゼロトラスト考察」

米国国立標準技術研究所(NIST)によるNIST SP800-207 「ゼロトラスト・アーキテクチャ」(※)
  • ・全ての情報源とコンピューティングサービスはリソースと見なす

    ・ネットワークの場所に関わらず全ての通信を保護する

    ・企業が保有する情報資源へのアクセス権限はセッション単位で付与する

    ・情報資源へのアクセス可否はクライアントIDやアプリケーションなどを含めた動的なポリシーで決定する

    ・全ての情報資産の整合性とセキュリティの動作状況を監視、測定する

    ・認証と認可はアクセスを許可する前に、厳格かつ動的に実施する

    ・情報資産およびネットワークインフラ、トラフィックの情報を可能な限り収集し、セキュリティ対策の改善に活用する


※参考:PWC Japan「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」

2. なぜ今ゼロトラストモデルなのか?

ゼロトラストモデルが注目される理由としては、次の3点が挙げられます。

従来型セキュリティモデルの限界

クラウドファースト・クラウドネイティブを前提としたシステムが構築されるようになり、企業が使用するネットワークは「内と外」のような単純な分類が難しい時代になりました。

また、社内ネットワークを経由したマルウェアの感染やフィッシングメールによる外部誘導など、かつては安全とされていた「内側」から発生するセキュリティインシデントが増え続けています。さらに、企業が管理していない非公式なIT活用(シャドーIT)や、従業員の私有端末を業務に利用するBYODも、「境界の内側」に存在するリスクです。

こうしたセキュリティリスクは、ファイアウォールやIPSでは防ぎにくいため、境界防御モデルに変わる方法論が必要だと考えられるようになりました。

労働環境、アクセス環境の多様化

DX対応や働き方改革、コロナ禍を受けたテレワークの一般化など、オフィス外から社内システムへアクセスする機会が増えています。従来のように「社内システムへのアクセスは企業内LANに限定する」という仕組みでは、業務進行に遅れが生じてしまいます。そのため、多様なアクセスに対応できるセキュリティモデルが必要だと考えられています。

超高速、広域通信の実用化

5GやLPWAの普及が目前に迫る今、無線通信を活用した社内システムへのアクセスは一層増加していくと予想されます。無線通信による「場所を選ばないアクセス」からセキュリティリスクを取り除くために、あらゆるトラフィックを監視する仕組みが求められているのです。

3. ゼロトラストモデルのメリット

ゼロトラストモデルには以下のようなメリットがあると考えられています。

柔軟性

ゼロトラストモデルでは、使用環境に応じてエンドポイント(端末)ごとのセキュリティ設定を動的に変更する仕組みが採用されています。従来型セキュリティモデルのようにセキュリティ設定が固定されないことで、常に一定以上のセキュリティレベルを維持できるわけです。

シャドーIT、BYODの被害を最小化

シャドーITやBYODによる「情報漏洩」「不正アクセス」は、事業を停止に追い込むだけでなく、企業の信頼性も毀損しかねません。「企業の内側」にあるリスクに対応できることは、ゼロトラストモデルの強みです。

SaaSの組合せでシンプルに構築可能

従来型セキュリティモデルでは、構築にかかる時間とコストが問題になりがちでした。しかしゼロトラストモデルは、クラウドサービスのみで一定以上のセキュリティを確保することが可能です。

例えば経済産業省では、「Microsoft Azure Active Directory(Azure AD)」を認証基盤に据えつつ、システム利用状況の可視化やログ収集機能をもつセキュリティモデルを構築しています。(※)PoC(概念実証)の一環ではあるものの、既存のクラウドサービスでもゼロトラストモデルを実現できる可能性が高いと言えるでしょう。

※参考:経済産業省「令和2年度経済産業省デジタルプラットフォーム構築事業報告書」

ビジネスモデル、働き方の制限を撤廃できる

ゼロトラストモデルがうまく機能すれば、あらゆる場所のセキュリティレベルを一定に保つことができます。サテライトオフィスやテレワーク人材のみで構成された事業など、従来型のセキュリティモデルでは実現が難しかったビジネスモデルを実現しやすくなるかもしれません。

4. ゼロトラストモデルの実現方法

最後に、ゼロトラストモデルを構成する代表的なソリューションを紹介します。

エンドポイントの保護と隔離

ゼロトラストモデルでは、エンドポイント端末の保護とリスク発生時の隔離が必須です。これを実現するためには「EPP(Endpoint Protection Platform)」および「EDR(Endpoint Detection and Response)」の活用が有効とされています。EPPとはエンドポイント保護のためのソリューションで、主にマルウェア対策などに活用されます。また、EDRはリスクが発生したエンドポイントに対して「リスクの排除と隔離」を担うツールです。

ID+パスワード以外でのアクセス制御

ゼロトラストモデルでは、IDとパスワードの組合せのみならず「IDとアクセス」も監視します。これを実現するのが「IAM(Identity and Access Management)」です。IAMでは、ユーザIDとアクセス管理を同時に行い、アクセス権限の付与や複数の認証方式の提供などを行います。

マルチクラウド環境における横断型の監視

マルチクラウド環境においては、部門ごとに利用するサービスが異なるなどの事情から、セキュリティ管理が煩雑になる可能性があります。この課題を解決するのが「CWPP(Cloud Workload Protection Platform)」です。CWPPでは、複数のクラウドサービスを横断しつつ、システムの脆弱性やネットワークの可視化、安全性の監視などを行います。また、未承認のクラウドサービスを検知する機能を持つ場合もあります。

有事の対応を自動化

ゼロトラストモデルでは、従来型に比べて監視対象が増えるため、セキュリティリスクの管理工数が嵩みがちです。また、有事の対応についても自動化やテンプレート化を進める必要があります。この点を補強するツールとして「SOAR(Security Orchestration, Automation and Response)」があります。SOARは、脅威情報を自動的に収集したり、インシデント対応を自動化したりと、セキュリティ対策全般の自動化を支援するソリューションです。

5. まとめ

ゼロトラストモデルは、「信頼に足る領域を設けない」ことで強固で柔軟性の高いサイバーセキュリティ体制を構築するための考え方です。昨今の在宅勤務・テレワークの普及や通信の高速化などにより注目が高まっています。今後、セキュリティモデルのスタンダードになる可能性が高いため、特にセキュリティ領域に関わるエンジニアは理解を深めておくことをおすすめします。

ITエンジニア・Webクリエイターの転職ならレバテックキャリア

レバテックキャリアはIT・Web業界のエンジニア・クリエイターを専門とする転職エージェントです。最新の技術情報や業界動向に精通したキャリアアドバイザーが、年収・技術志向・今後のキャリアパス・ワークライフバランスなど、一人ひとりの希望に寄り添いながら転職活動をサポートします。一般公開されていない大手企業や優良企業の非公開求人も多数保有していますので、まずは一度カウンセリングにお越しください。

転職支援サービスに申し込む

また、「初めての転職で、何から始めていいかわからない」「まだ転職するかどうか迷っている」など、転職活動に何らかの不安を抱えている方には、無料の個別相談会も実施しています。キャリアアドバイザーが一対一で、これからのあなたのキャリアを一緒に考えます。お気軽にご相談ください。

「個別相談会」に申し込む

プロのアドバイザーがあなたのお悩みや疑問にお答えします

- 転職個別相談会開催中 -

相談内容を選択してください

※転職活動や求人への応募を強制することはありません

人気の求人特集

内定率が高い

関連する記事

人気の記事

スキルアップ記事トップへ

セキュリティエンジニアの求人・転職一覧