ゼロトラストセキュリティ | ゼロトラストネットワークとは?

ゼロトラストとは、すでにネットワーク境界の内側にいるユーザーを含む、どのユーザーも信頼できないことを前提として厳格なアクセス制御を維持するという原則に基づいたセキュリティモデルのことです。

Share facebook icon linkedin icon twitter icon email icon

ゼロトラストセキュリティ

学習目的

この記事を読み終えると、以下のことができます。

  • ゼロトラストセキュリティを定義する
  • ゼロトラストの背後にある技術と原則を概説する

ゼロトラストセキュリティとは?

ゼロトラストセキュリティとは、ネットワーク境界の内側にいるか外側にいるかに関係なく、プライベートネットワーク上のリソースにアクセスしようとするすべての人物とデバイスの厳格なID検証を必要とするITセキュリティモデルのことです。ゼロトラストに関連付けられている特定の技術はありません。複数の原則と技術を組み込んだネットワークセキュリティへの包括的なアプローチです。

従来のITネットワークセキュリティは、「城と堀」の概念に基づいていました。「城と堀」のセキュリティでは、ネットワークの外側からアクセスすることは困難ですが、ネットワークの内側にいるユーザーは自動的に信頼されます。このアプローチの問題は、攻撃者がいったんネットワークにアクセスできると、内側にあるすべてのものを自由にコントロールできてしまいます。

「城と堀」セキュリティシステムのこの脆弱性は、企業が一箇所にデータを保存しなくなっていることで一層高まっています。今日、情報は複数のクラウドベンダーに分散していることが多いため、ネットワーク全体に対して1つのセキュリティ管理策を持つことがより困難になっています。

Castle-and-Moat security model, users within the VPN are trusted

ゼロトラストセキュリティは、ネットワークの内側にるか外側にいるかに関係なく、どのユーザーも信頼できないことを前提としていて、ネットワーク上のリソースにアクセスしようとする全員の検証を必要とします。このように新たなセキュリティレイヤーを追加することで、データ漏えいを防ぐことができるとされています。IBMが実施した最近の調査によると、1つのデータ漏えい事象にかかる平均コストは300万ドル以上だとされています。そうした金額を考慮すると、多くの企業がゼロトラストセキュリティポリシーを採用することを熱望しているのもうなずけます。

ゼロトラストセキュリティの背後にある主な原則と技術

ゼロトラストセキュリティの背後にある考え方は、ネットワークの内側と外側の両方に攻撃者はいるので、どのユーザーもデバイスも自動的に信頼できないことを前提としています。

ゼロトラストセキュリティのもう1つの原則は、最小限のアクセスです。これは、必要なだけのアクセスをユーザーに許可することを意味します。陸軍大将が兵士に知る必要がある情報のみを提供するのと同じです。そうることで、各ユーザーがネットワークの機密性の高い部分にアクセスするのを最小限に抑えることができます。

また、ゼロトラストセキュリティはマイクロセグメンテーションを利用します。マイクロセグメンテーションとは、ネットワークの個々の部分へのアクセスを個々に管理するために、セキュリティ境界を小さなゾーンに細かく切り分ける(セグメンテーションする)ことを言います。たとえば、マイクロセグメンテーションを利用する1つのデータセンターに常駐するファイルを持つネットワークには、数十の個々のセキュアゾーンが含まれている場合があります。そうしたゾーンの1つにアクセスできる人物またはプログラムは、別の承認なしにほかのどのゾーンにもアクセスすることはできません。

多要素認証(MFA)もゼロトラストセキュリティのコアバリューです。MFAとは、ユーザーを認証するのに複数の認証要素を必要とするものです。単にパスワードを入力するだけではアクセスはできません。MFAの一般的なタイプである二要素認証(2FA)は、FacebookやGoogleといった人気のあるオンラインプラットフォームで使用されています。そうしたサービスで2FAを有効にしているユーザーは、パスワードを入力することに加えて、携帯電話などの別のデバイスに送信されるコードも入力しなければなりません。そのように、本人であることを証明する2つの情報を提供します。

ゼロトラストセキュリティでは、ユーザーアクセスを管理することに加えて、デバイスのアクセスについても厳格に管理する必要があります。ゼロトラストシステムは、いくつのデバイスがネットワークにアクセスしようとしているのかを監視して、すべてのデバイスが承認されることを確認しなければなりません。そうすることで、ネットワークの攻撃表面をさらに縮小することができます。

ゼロトラストセキュリティの歴史

「ゼロトラスト」という用語は、2010年にForrester Research Inc.のアナリストが概念のモデルを最初に発表したときに作ったものです。後にGoogleが自社ネットワーク内でゼロトラストセキュリティを実装したと発表し、テクノロジーコミュニティ内にて採用への関心が高まりました。

ゼロトラストセキュリティを実装する方法

これまで、ゼロトラストには、上記の中核となる概念や技術に焦点を当てた、セキュリティエンジニアによる詳細な実装が必要でした。ところが、Cloudflare Accessの導入のおかげで、今では、どの企業も各自のネットワークにゼロトラストセキュリティを素早く簡単に実装できるようになりました。