1. ゼロトラストとは？

ゼロトラストとは、性悪説に基づき、自社のあらゆる情報資産は常に脅威にさらされていると考え、あらゆるアクセスは検証されるべきという概念です。

今までは、社内/社外と切り分け、その境界をファイアーウォールで防御さえすれば、自社の情報資産は守られるという考え方が主流でした。しかし、悪意あるマルウェアの脅威が深刻化するとともに、クラウド技術の普及や場所を選ばない働き方が進んだ現在、「社内は安全」という考え方は現実的ではなくなりました。そこで、ゼロトラストという概念により、組織内にセキュリティを強固にする必要が出てきたのです。

関連リンク　ゼロトラストとは？変遷や7つの要件、導入ポイントをわかりやすく解説

2. ゼロトラストの7つの要件

ゼロトラストのソリューションについて、2020年NIST（米国立標準技術研究所）が発表したゼロトラストの7つの原則があります。ゼロトラストが生まれた背景、基本的な考え方、実践の方法がまとめられていますので、ソリューションを考えるヒントにしたいと思います。

すべてのデータソースとコンピューティングサービスをリソースとみなす

会社が保有し、アクセスの対象となるデータソース（データ保管場所）や業務に使うアプリケーション、クラウドサービスすべてと、そこにアクセスできるデバイスをリソースと見なします。

アクセスするデバイスは、会社所有PCのみならず、IoTの小さな機器、スマートフォンなどさまざまです。中には個人が所有するデバイスもあるでしょう。これらもリソースとして見なすべきとされています。

ネットワークの場所に関係なく，すべての通信を保護する

従来のような「社内では安全」という考え方はとらず、社内ネットワークを通じてのアクセスについても、社外ネットワークからのアクセスと同等のセキュリティ要件を課すことを求めるとされています。例えば、社内同士では平文でやり取りしていた情報を暗号化する措置などを行います。

企業リソースへのアクセスをセッション単位で付与する

企業リソースへのアクセスは、全て個別のセッションやリクエストごとに許可されるべきであり、セッション毎に個別に認証や許可を求めています。従来は、一度アクセスが許可されたWebページでも、何かの環境変化のタイミングで、アクセス許可を取り消すことができる仕組みを必要とされます。使い勝手やパフォーマンスを、セキュリティより重視しないという考え方です。

リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する

自社が所有するリソース、所属するメンバーを定義し、さらにメンバーが必要とするリソースへのアクセスを定義します。リソースにアクセスするためには、従来のID/パスワードとクライアント証明書だけではなく、さまざまな属性を検討し、その都度ポリシーに従いアクセスを許可する方法を採るべきとしています。

そのポリシーは、クライアントの識別、デバイスの識別、アクセスしようとする利用者の“振る舞い”のチェック（異常な振る舞いの記録がないか）、ネットワークの場所やサイバー攻撃などの環境的などの属性によって定められるとされています。

すべての資産の整合性とセキュリティ動作を監視し、測定する

リソースへのアクセスを安全かどうか評価する前に、アクセスしようとしているデバイスの信頼性を確認すべきとされています。よって会社所有のデバイスも、個人所有のデバイスも、常に監視し、規定されるセキュリティレベルを保持し続けることが求められます。

すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する

リソースへのアクセスは、いったん認証/認可されたとしても、継続的にしかも厳密に評価され続けるべきだとしています。また、ID、資格情報、およびアクセス管理 (ICAM)や資産管理システム、厳密な認証方法としてすべてのリソースへのアクセスに、多要素認証（MFA : アクセスを許可する際、パスワードに加えて顔や指紋などの生体認証や物理的なキーなどを加えた認証方法）の導入も推奨されています。

資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する

企業は自社の情報資産に対するセキュリティ姿勢、ネットワークトラフィック、アクセスリクエストに関するデータをすべて収集し、分析して得られた知見をもとに、セキュリティポリシーを作成し、自社のセキュリティ体制の改善に努めるべきとされています。組織も成長しますが、サイバーセキュリティの状況も刻一刻と変化しており、常にそのアップデートを行う姿勢でいることが求められるということです。

3. ゼロトラストを実現するフレームワーク

自社にゼロトラストモデルを導入し、ゼロトラストを実現したい人のため、その代表的なフレームワークを紹介していきましょう。

SASE（Secure Access Service Edge）

SASE（セキュアアクセスサービスエッジ : サシーまたはサッシー）は米国の調査会社ガートナーが2019 年に提唱したセキュリティフレームで、多数のクラウドやネットワーク技術を1つのプラットフォームとして提供するものです。そこにはSD-WAN（Software-Defined WAN : ソフトウェア定義のWAN）やZTNA（Zero Trust Network Access :ゼロトラストネットワークアクセス）などの要素技術が含まれています。

ゼロトラスト・アーキテクチャに基づくSASEを導入すると、ネットワーク、セキュリティが一括で提供されるため、セキュリティ管理の一元化が可能となり、運用管理負荷の軽減が期待できます。

SOC（Security Operation Center）

SOC(セキュリティ・オペレーション・センター)は企業内外に設置するセキュリティの専門組織で、自社やクライアントのインフラやシステムを横断的に監視する部門のことです。サイバー攻撃からの監視業務を一元的に、しかも絶え間なく行うことで組織全体でのセキュリティ業務の効率的な運用を実現することが目的です。

自社でSOCを用意しにくい場合は、外部の専門企業に委託する方法もあります。

SOAR(Security Orchestration, Automation and Response)

SOARとはSOCの活動をサポートするツールの1つです。インシデント（セキュリティ事故・事件）への対処自動化、インシデント管理を行う体制、脅威インテリジェンスの３つの要素を組み合わせたソリューションです。

4. ゼロトラストの構成要素

ゼロトラストを構成する要素技術についてはどうなっているのでしょうか？　クラウド、エンドポイント、ネットワーク、認証認可、監視・分析の自動化に分類して、それぞれを見ていきましょう

クラウドセキュリティ

以前に比べて、ビジネスでのクラウドサービスの利用は格段に増えています。クラウド上に、守るべき情報資産が存在するのです。これらを守る要素技術やソリューションを見ていきましょう。

（1）CASB (Cloud Access Security Broker)

CASBは、社員が利用するクラウドサービスへのアクセスの可視化や、不正アクセスの阻止などを一元管理するソリューションです。会社の管理下にないデバイスや、利用を許可していないクラウドサービスから起きる情報漏えいなど「シャドーIT」防止にも貢献します。

（2）CSPM (Cloud Security Posture Management)

CSPM は、IaaSやPaaSとAPI連携することで、クラウド側の設定を自動的に確認し、セキュリティの設定ミスやガイドライン違反を継続的にチェックするソリューションです。実際、クラウドサービスで起きるインシデントの多くは、利用者の設定ミスから起きており、このようなソリューションが必要とされるのです。

（3）CWP (Cloud Workload Protection)

クラウド上の仮想マシンなどのワークロードに対してセキュリティの監視を実施し、保護するソリューションです。複数のクラウドサービス環境を一元管理でき、セキュリティのチェックや検知が自動で行えますので、複数のクラウド環境を管理するセキュリティ管理担当の業務負荷や運用コストの低減を計れます。

エンドポイントセキュリティ

サイバー攻撃から自社の情報資産を守るための大きなポイントは、社員が利用するPCやスマートフォンなどの「エンドポイント」をしっかり監視し、異常を検知したら素早く対応することです。

（1）EDR (Endpoint Detection and Response)

EDRは、パソコンやスマートフォンでの不審なアクセスや動作についてログの取得・不正検知を行いますが、次のEPPのように感染防止を主とするのではなく、万が一感染してしまったときの適切な対応を支援してくれるソリューションです。

（2）EPP (Endpoint Protection Platform)

EPPは、マルウェア感染防止に特化したソリューションで、マルウェアの検知や駆除を行ってPCやスマートフォンをマルウェアから守ります。従来から存在したウイルス対策ソフトもEPPになります。

（3）EMM (Enterprise Mobility Management)

EMMは、社用のスマートフォンを統合的に管理するシステムで、MDM（モバイルデバイス管理）、MAM（モバイルアプリケーション管理）、MCM（モバイルコンテンツ管理）の3つで構成されるソリューションです。

ネットワークセキュリティ

ゼロトラストの考え方では、社内ネットワークにおけるアクセスも信用しません。危険なサイトなどへのアクセスを遮断したり、リアルタイムに接続可否を判断してくれるソリューションを利用し、ネットワークを保護する必要があります。

（1）SDP (Software Defined Perimeter)

ネットワークの境界をソフトウェアによって仮想的・動的に構成する要素技術です。従来使われていたVPN（Virtual Private Network）も仮想ネットワーク技術ですが、あくまで「境界型セキュリティ」の考え方に基づくもので、IDとパスワードひとつで認証しており、ゼロトラストの考え方では脆弱です。VPNに比べ、SDPでは認証タイミングや認証要素の数が遥かに多くなっており、より精密にアクセス制御を行えます。

（2）SWG (Secure Web Gateway)

外部へのネットワーク接続を安全に行うためのクラウド型プロキシ（Proxy）技術です。SWGを生かしたソリューションが持つ代表的な機能としては、「IPアドレスの匿名化」「アンチウイルス」「URLフィルタリング」などがあります。自社の利用者はSWGを経由して外部のネットワークに接続することで，安全でないサイトへのアクセスやマルウェアからネットワークを保護します。

（3）NDR (Network Detection and Response)

NDR (ネットワークにおける検知と対処)は、ネットワーク上の様々なアクセスログをリアルタイムで取得・監視することで、自社のネットワークを「見える化」し、不正アクセスやサイバー攻撃に対して、迅速に検知・対応できるようにするためのソリューションです。SOCを設置している企業であれば、NDRを活用することでSOCスタッフの負担軽減を図れます。

（4）ZTNA (Zero Trust Network Access)

ZTNAは、ユーザーからのアクセスがあるたびに、ユーザーの認証や端末のセキュリティ状態の検証を行い、ユーザーのアクセスを動的に許可するソリューションです。リモートワークが普及するにつれ、従来広く使われてきたVPNを中心としたネットワークの脆弱性が高いことが問題となっています。また、利用増によって「通信が遅くなった」という課題も出ています。それらを解決するのが、クラウドで提供されるZTNAになります。

ユーザー認証・認可

ゼロトラストの考え方では新たな「境界」として「ID（アイデンティティ）」をユーザー認証・認可に活用することに着目し、さまざまな要素技術とソリューションが生まれています。

（1）IDaaS (Identity as a Service)

IDaaSは、ユーザー認証のためアイデンティティを利用することを前提に、ID管理を実現するSaaSであり、社内システムに連携しユーザーの管理やアクセス権の付与も行います。また、複数のクラウドサービスを「シングルサインオン」で安全に利用することも可能にします。

（2）IRM（Information Rights Management）

IRMは、業務で利用する文書ファイルなどを暗号化したり、閲覧権限の管理・制限を行うソリューションです。誰がアクセスしてどういう操作を行ったかの履歴も記録します。インシデントの中でも多いのが、内部からの不正な情報持ち出しです。IRMで暗号化したファイルはIRM管理下でないと閲覧することもできませんし、PC画面をスクリーンショットして持ち出すような行為も防ぐことができます。

（3）IAP (Identity-Aware Proxy）

IAPは、利用者がアクセスするたびにIDの認証を行ってアクセスの制御・制限を行うソリューションで、「アイデンティティ認識型プロキシ」を意味します。プロキシが通信の中継役を担ってセキュリティを担保しますので、セキュリティレベルの向上や不正アクセスなどのリスク軽減を計ることができます。IAPは前述のZTNAに組み込まれて提供されます。

監視・分析の自動化

セキュリティ人材には限りがあります。そこで、監視・分析を自動化してくれる要素技術があります。

（1）UEBA (User and Entity Behavior Analytics)

UEBAは、ネットワーク内におけるユーザーとエンティティ（実体）の動きをモデル化して、通常とは異なる動作、例えば疑わしい振る舞いがあった場合に、サイバー攻撃の可能性や未知のマルウェアの可能性として検知するソリューションです。どうしてそんな振る舞いを感知できるかというと、侵入したハッカーは自社の従業員と同じ振る舞いはしないからです。UEBAは次のSIEMなど別のソリューションと協働できます。

（2）SIEM (Security Information and Event Management)

SIEM（シーム : 統合ログ管理ツール）はあらゆるIT製品のログを一元管理して不正アクセスの監視・検知を行うソリューションです。SIEMは、サイバー攻撃を未然に防ぐことはもちろんですが、素早く異常を検出することで、その後のインシデント対応を迅速に行えることを目的とします。そのために、膨大なログを可視化し、素早い解析を行います。

（3）MDR (Managed Detection and Response)

MDR（脅威検知・対応の一体的代行サービス）は、EDRやNDRの管理運用を代行するソリューションです。サイバー攻撃の検知と対応作業を一体的に代行し、専門家がいなくてもセキュリティ対応を可能にするものです。

5. ゼロトラスト セキュリティ　まとめ

今回の記事ではゼロトラストのおさらいに加え、自社で具体的に実現するためのソリューションや要素技術などを見てきました。ゼロトラストモデルを自社で実現し、セキュリティを強固にするとともに、自由な働き方を支援する体制を作るため、参考にしていただければ幸いです。