1. ゼロトラストとは？

ゼロトラストとは「決して信頼せず、必ず確認せよ」というセキュリティの考え方です。ここではゼロトラストの概念が生まれた背景や、定義について解説します。

ゼロトラストの歴史と変遷

ゼロトラストと言う言葉が登場したのは、1994年4月、スティーブン・ポール・マーシュ氏がスターリング大学のコンピュータセキュリティに関する博士論文です。その時点では、現在のようなクラウドコンピューティングが普及してはいませんでした。仕事はあくまで会社で行うものであり、社外とファイアウォールでしっかり遮断しておけば大丈夫という考え方が主流でした。

その後ネット環境が進化することにより、新しいセキュリティの考え方が必要になって来ました。2010年にフォレスター・リサーチ社のアナリストであるジョーン・キンデンバーグ氏により、企業においてより厳格なサイバーセキュリティプログラムとアクセス制御を表す「ゼロトラストモデル」が提唱されたのです。

そこから約10年が経過し、コロナ禍を経てテレワークが当たり前となり、もはや仕事は会社内でするものとは限らなくなりました。また、ネットワークにアクセスするデバイスもPCだけではなく、スマートフォン、タブレットなど多岐にわたります。以前のセキュリティでは大切な情報資産が守れなくなったことから、改めてゼロトラストの必要性が叫ばれるようになったのです。

2010年に提唱されたゼロトラストの考え方は進化し、2018年にフォレスター・リサーチ社のチェイス・カニンガム博士が「ゼロトラスト・エクステンデッド・エコシステム（ZTX）」の第1版を発表しました。ここで博士はゼロトラスト化に必要な構成要素と機能を示したのです。

また2018年にはNIST（アメリカ国立標準技術研究所）もゼロトラストの概念を体系立てて標準化し（ZTA：ゼロトラスト・アーキテクチャ）、米国のガートナー社もSASE（Secure Access Service Edge：サシー）というゼロトラストの実現方法を提唱しています。

（1）ゼロトラストモデル

ゼロトラストモデルが提唱されるまで、セキュリティ対策では「境界型防御（境界型セキュリティ）」が主流でした。これは“Trust but Verify（信ぜよ、されど確認せよ）”という言わば性善説に基づくもので、社内と社外のネットワークの境界線上にセキュリティ対策を施す方法でした。

これに対して、ゼロトラストモデルでは“Verify and Never Trust（決して信頼せず、必ず確認せよ）”という性悪説の考え方です。社内と社外を区別することなく、守るべき情報資産にアクセスするものは全て信用しないで検証することが大前提です。

（2）ゼロトラスト・アーキテクチャ（ZTA）

2018年、NIST（アメリカ国立標準技術研究所）は、ゼロトラスト（以下、ZT）は、ZTの概念を利用して産業や企業の基盤と業務の流れをゼロトラスト・アーキテクチャ（ZTA）と規定しました。ゼロトラストは、単体のソリューション製品で解決できるものではなく、ZTAという設計思想を持って、各企業や組織で取り組まなくてはならないことです。

（3）ゼロトラスト・エクステンデッド・エコシステム（ZTX）

2018年、フォレスター・リサーチ社のチェイス・カニンガム博士が「ゼロトラスト・エクステンデッド・エコシステム（ZTX）」を発表し、ゼロトラストを概念からより具体的なフレームワークに落とし込むために、以下の7つの要件を定義しました。

ゼロトラスト・アーキテクチャ（ZTA）としての定義

• ネットワークセキュリティ
• デバイスセキュリティ
• アイデンティティセキュリティ
• ワークロードセキュリティ
• データセキュリティ
• 可視化と分析
• 自動化

境界型セキュリティとの違い

社内と社外のようにネットワークの境界の監視を強化して、セキュリティリスクを担保するのが「境界型セキュリティ」と呼ばれている方法です。ゼロトラストは境界だけを守るのではなく、「何も信用せず」に、あらゆる情報資産に対する検証を行うという違いがあります。

SASEとの違い

テレワークなどでクラウドサービスの利用が増えたことにより、そのセキュリティ課題を解決しようというのが「SASE（サシー：Secure Access Service Edge）」というフレームワークです。

SASE は、SD-WANなどの「ネットワーク機能」とSWG（Secure Web Gateway）やCASB（Cloud Access Security Broker）などの「セキュリティ機能」をまとめてクラウド上で提供(ソリューション)しようという考え方です。ゼロトラストが概念であるのに対して、SASEはゼロトラストを具体的に進めるサービス内容と言っていいでしょう。

2. ゼロトラストの7つの要件

それでは、ゼロトラスト導入のフレームワーク、「ゼロトラスト・エクステンデッド・エコシステム（ZTX）」について見ていきましょう。

ネットワークセキュリティ

企業ごとのネットワーク設計に合わせ、不正侵入検知・不正侵入防止・ファイアウォール等のセキュリティ対策を行うことです。端末などのエンドポイント、ネットワークの入り口、ゲートウェイを保護する他、通信経路上を流れるデータが盗み見されないような対策も含め、ネットワーク全体を適切に保護する施策が必要です。

デバイスセキュリティ

企業の情報にアクセスするデバイスの識別と承認を行います。またデバイス自体のマルウェア感染リスクを考慮し、セキュリティソフトによる対策を行います。スマートフォンなどのモバイルデバイスはもちろん、ネットに接続した複合機、ルータ、IoT機器などもすべて保護対象と考え、万一の時はすぐ遮断できるようにしておく必要があります。

アイデンティティセキュリティ

アイデンティティセキュリティは、ネットワークにアクセスを行うあらゆる利用者のデジタルアイデンティティ（eメールアドレス、ログイン認証情報、PINナンバー等の固有識別子で構成されるもの）に対して認証・認可を行うことです。デジタルアイデンティティは常に更新して不正使用されないよう、適切に運用されねばなりません。これによって企業内の情報資産へのアクセス権を常に必要最低限にとどめて、情報漏洩リスクを抑えます。

ワークロードセキュリティ

ワークロード（workload）は、CPU使用率やメモリ使用率、ネットワーク使用率などの総称あるいはこれらの総体で、コンピュータの持つ資源が、最大容量に対してどのくらいの割合で発揮・利用されているかを表すものです。

現在、クラウドサービスを利用する事業者が増えていますが、利用中のすべてのIaaSやPaaS環境を自社セキュリティ部門で把握するのは困難です。しかし放置すると不正アクセスにつながる可能性があります。そこで、ワークロードを管理し、適切に社内システムが稼働しているかを把握します。

データセキュリティ

企業が保有するあらゆる情報資産を分類し、データ自体を保護し、それがどこに存在しても守るという姿勢で、保存場所の決定、アクセス権、暗号化などのセキュリティ対策を行います。とくに企業にとって重要な情報資産と考えられる機密データについては、強い権限を持つ管理者にもアクセスさせない厳格さも検討します。

可視化と分析

ログを一元管理し、分析を行えるよう体制を整備して、システムとインフラの可視化を実現します。すべてのセキュリティプロセスを“見える化”することにより、例えば許可されていないサービスやデバイス(シャドーIT)を社員が使ったときなどはアラートが上がるなど、日々予兆を検知して、早めに対策を打てます。

自動化

組織全体のネットワークシステムについて、手動での設定・分析を避けるためシステム管理を自動化、攻撃者からの脅威発見と対処を素早く行えるようにします。セキュリティ管理者がログを全部追いかけていると、脅威を捉えきれない状態になり、セキュリティ事故につながってしまいます。

組織全体のネットワークにおいてゼロトラストモデルの各ソリューションを自動化して集中管理し、アラートだけでなくその後の処理もある程度自動化することが求められます。

3. ゼロトラスト注目の背景

どうしてゼロトラストがこれほど関心を持たれるようになったのでしょうか？　これまでにも多少述べてきましたが、ここでは3つのポイントに整理して、注目されるようになった背景を説明します。

クラウドサービスの普及

世界的にDX（デジタルトランスフォーメーション）が進み、会社の業務システムが「クラウドシフト」したことが大きなポイントのひとつです。

現在、世界中でスマートフォンやSaaSの活用が増えており、企業活動もそれを前提としたものとなっています。従来、企業の情報資産は企業内ネットワークのみで管理されていましたが、重要な情報資産が外部のクラウドサーバーにも保存されるようになってきており、従来型のセキュリティ対策では対応できなくなってきています。

リモートワークの拡大

新型コロナウィルスの感染拡大も、世界的にゼロトラストが推進されるようになった大きなポイントです。各社はリモートワークを余儀なくされました。よって外部のVPN（仮想専用線）やWi-Fi経由で社内の情報資産にアクセスされるような機会が増えたのです。

現在、リモートワークは定着し、今後も取り入れる企業は多いとみられ、ゼロトラストの考え方はますます必須となりました。

サイバー攻撃の世界的増加

インターネットの普及に伴って、サイバー攻撃・犯罪の件数も年々増加傾向にあります。企業だけでなく政府やインフラ、病院などの公的機関を狙ったサイバー攻撃・犯罪も増えており、従来のセキュリティ対策に比べてより強固で安全な対策が求められていることもポイントです。

また外部からの攻撃だけではありません。内部からの不正な情報持ち出しなども増加しています。もはや、社内にあっても情報資産が安全に保管されているとは確信できません。だからこそすべてを疑い、必ず確認するというゼロトラストモデルが必要なのです。

4. ゼロトラスト導入のメリット

企業がゼロトラストを導入するメリットを解説します。

企業内ネットワークのリスク軽減

ゼロトラストモデルを導入し、そのためのソリューションを整備することにより、どんなアクセスも信用せず、厳格に認証を行うため、企業のセキュリティレベルの水準が格段に向上するというメリットが考えられます。

また、万一内部に不正侵入された場合も、ゼロトラストモデルはアクセス単位で認証を行うため、被害を最小限に抑えることが可能になります。

リモートワークの促進

従来の境界型防御モデルでは、リモートワークを行う上でのセキュリティが担保しづらく、適切なセキュリティ対策には大きな費用や手間がかかりました。ゼロトラストモデルの導入により、リモートワークにおけるセキュリティを担保しやすくなるというメリットが考えられます。

インシデント発生から検出までの時間短縮

ゼロトラストでは、基本的にセキュリティ事故・事件（インシデント）の検知や、その後の対処を自動化するソリューションを導入します。それによって、システム部門の業務負荷軽減やセキュリティ運用効率化を実現できるメリットがあります。また万一のインシデント発生の場合も、検出までの時間短縮がはかれ、対応に素早く手を打てるようになります。

5. ゼロトラスト導入の検討ポイント

前述のようにゼロトラスト自体は概念の言葉であり、これを導入したらすぐ実現するというものではありません。そこでIPA（情報処理推進機構）が公開しているホワイトペーパーを参考にしたいと思います。

参照URL　IPA「ゼロトラスト移行のすゝめ」

IPAによる導入ガイドライン

2022年7月、IPA（情報処理推進機構）ではゼロトラストに関する企業向けのホワイトペーパー「ゼロトラスト移行のすゝめ」を公開しています。その中で企業がゼロトラスト構成への移行に何が必要か、どういう手順で進めるべきかが記載されています。

具体的検討ポイント

IPAの資料を参考に、導入を進める上での検討ポイントを見てみます。

（1）業務の現状分析（As-is 分析）とありたい姿の検討

業務の現状分析（As-is 分析）と“ありたい姿”の検討は、組織のゼロトラスト移⾏の⽬的を⾒定めるための重要なフェーズです。検討の際には、全体的なセキュリティの観点はもちろん、既存 IT 環境（ネットワーク環境や情報資産、物理的な執務箇所の把握など）や利用者の利便性（事業部へのヒアリングなど）、運⽤負荷（負荷が⼤きい業務や対応が難しい業務など）などの視点での課題を洗い出した上で、“ありたい姿”を描くべきとされています

（2）グランドデザイン作成

“ありたい姿”を実現するために必要なソリューションは何か検討し、将来的に “理想のあるべき姿”(To-be 構成)を明確にするためグランドデザインを作成します。To-be 構成 に必要な各ソリューションと、 As-is 分析で見えた課題の対応関係をマッピングした上でロードマップも作成します。この取り組みにより、組織の目指す姿の可視化ができ、何にどれぐらいコストが必要なのかが具体化できるとされています。

（3）投資判断

ゼロトラスト構成に移行することで、既存の環境よりもセキュリティレベルは向上しますが、それに向けた投資の承認を得るため、経営者に向けて投資判断を仰がなくてはなりません。投資の承認を得る際にはセキュリティ観点の効果と合わせて、「利用者の利便性向上」や「運用の効率化」などを総合的に盛り込んで説明をすることが重要です。

例えば、「セキュリティレベル向上観点」では、以下のようなものです。

• ランサムウェアなどに代表される標的型攻撃
• セキュアなリモートアクセス手法の確立
• 内部不正による情報漏洩対策

「利用者の利便性向上観点」は以下のようなものが考えられます。

• テレワークセキュリティのレベルが向上
• ID・パスワードの入力や管理の負担軽減

「運用効率化観点」は以下です。

• デバイスのキッティング作業の効率化
• ID管理の負担軽減

またどの程度の出費が発生するのか、いつ、どのような効果が得られるのかという情報を示すべきとされています。

（4）環境構築

ゼロトラスト構成の代表的なソリューションの環境構築における、その流れやポイントを抜粋します。

ID 統制 (IDaaS)

信頼できる ID ソースの確認とIDaaS （複数のサービスのIDやパスワードをクラウドで一元管理するソリューション）との連携を行います。

デバイス統制 (MDM)

管理すべき端末の洗い出しを行い、MDM（モバイル端末管理ソリューション）での管理を行います。

WEB セキュリティ・シャドーIT 対策(CASB・SWG)

SaaS サービスの利用状況を可視化し、悪性コンテンツへのアクセスを制限します。

データ漏洩防⽌(DLP/IRM)

自社組織における機密情報の定義を行い、検知ルールの作成や必要となる制御を検討します。

エンドポイント保護(EDR)

エンドポイントを保護するために、最新の「脅威インテリジェンス」に基づいて検知・対応を行う製品を選定することが大事になります。

オンプレミス環境へのリモートアクセス(IAP)

IAP の導⼊は、接続対象システムの確認から始めます。組織のニーズに応じた製品選定が大切です。また、IAP を利用したリモートアクセスを実行するには、接続したいシステムと疎通可能な場所にコネクタを配置する必要があります。

ログの収集・分析(SIEM)

ログ分析を行う目的を明確化します。また法令遵守やストレージの有効活用のために、ログの保存期間を決める必要があります。そして目的に合った検知ルールの検討、作成を行います。たとえばアラートについては、必要なアラートを見極めた上で、組織にあったチューニングが重要とされています。

（5）検証・改善

ゼロトラスト環境は、構築したらそれで終わりではありません。セキュリティ強度を求めすぎた結果、利用者の利便性低下につながってしまうと業務がはかどりません。セキュリティ強度と利用者の利便性のバランスの取れたゼロトラスト環境を維持するためには、利用者の声に耳を傾けて、改善を続ける必要があるとされています。

6. セロトラストとは　まとめ

今回の記事では、ゼロトラストについて知っておくべき基本的な内容とその変遷について見てきました。ゼロトラストの考え方の必要性とその背景を理解していただいたことと考えます。

ゼロトラストの考え方を基に、どうやって自社のセキュリティ環境を強固にしたらいいのか。今度は考え方でなく、具体的な実行方法を検討する段階に進みましょう。