Skip to content Skip to navigation Skip to footer

ゼロトラストネットワークと従来のセキュリティを分かりやすく比較

 

ゼロトラストネットワークとは「なにも信頼しない」という概念に基づいたセキュリティ対策です。2010年にアメリカで提唱された概念であり、ゼロトラストアーキテクチャとも呼ばれます。当記事では従来のセキュリティとゼロトラストネットワークの違いを、分かりやすく比較します。

 

目次


 

ゼロトラストネットワークの必要性を3つ紹介

セキュリティ対策において、「社外だから危険・社内だから安全」と判断する時代は終わりました。従来の考え方であれば、社内ネットワークはインターネットに接続しなければコンピューターウイルスに感染しないため安全と捉えていました。しかし、これからの時代は社内ネットワークも含めて「なにも信頼できない」とする考えが必要です。その理由を3つ紹介します。

 

①リモートワークを推進する時代である 

リモートワークの推進に伴い、情報セキュリティのリスクも増加します。なぜなら、会社から貸与されるパソコンやタブレットを、社外へ持ち出す頻度が増えるためです。
従来まで安全と考えられていた社内から機密情報の入った端末が社外に持ち出され、フリーWi-Fiなど外部ネットワークに接続されることになるため、漏洩する危険があります。

 

②内部からの情報漏洩が多発している

内部の人間による不正行為や人為的なミスにより、情報漏洩が発生するケースがあります。まず、内部の人間であればIDとパスワードを使い、ファイルとフォルダへアクセス可能です。ファイアウォール等で、外部からのアクセスを制限しても、内部の人間による不正行為に対しては効果がありません。

また、意図した不正行為ではなくても、機密情報が入ったUSBメモリを持ち出し紛失する、など人為的なミスで情報漏洩が発生するケースがあります。会社の外へ出てしまえば、社内のセキュリティシステムで守れません。 

 

③サイバー攻撃の手段が発達している

マルウェア対策ソフトだけで、未知のマルウェアに対策することは困難です。サイバー攻撃の手口は日々巧妙化しており、不正アクセスやウイルス感染を防ぐことは不可能と言われるほどです。対策としてパソコン内のプログラムを常に監視し、被害拡大を防ぐ方法があります。ファイルやフォルダに対する、不正アクセス検知と攻撃の疑いへの早急な感知が重要です。管理者への迅速な通報と被害状況の把握が、早期対応につながります。

 

従来の境界型セキュリティとは考え方が違う

従来の境界型セキュリティは、社内へ安全圏を作ることに重点が置かれました。現在はクラウドにデータを置き、社外でデータを管理する企業が増えているため、外部データも常に異常の有無を監視し、対策を講じる必要があります。

 

ファイアウォールは内部ネットワークが危険である

ファイアウォールは、外部ネットワークと内部ネットワークの間に境界を作る仕組みです。境界の内側は安全であるとの考えに基づいています。従来ウイルス・不正アクセスの脅威は、外部ネットワークから来るとされていました。しかし、一度でもマルウェアが添付されたメールがすり抜けてしまえば、内部のマルウェア感染には効果がありません。

また、外部からの感染に対策しても、不正に流出した社内のIDとパスワードを使用したログインには、ファイアウォールは無力です。ゼロトラストネットワークは、社内のパソコンや人間でも信用しないシステムです。

 

VPNは侵入されると被害が大きい 

悪意のある第三者が不正な手段で手に入れた正しい認証情報を使用すると、VPNは正規のユーザーと認識します。過去にはVPNの認証情報が流出し、警視庁や大学が不正アクセスの被害に遭いました。これは、VPN機器に脆弱性がありサイバー攻撃を受けたためです。

 

ゼロトラストネットワークのメリット・デメリットを紹介

ゼロトラストネットワークは、内部ネットワークであろうと外部ネットワークであろうと無関係に、常に正しいアクセスかどうかを検証し続けます。両方を等しく監視する仕組みの、メリットとデメリットを紹介します。

 

ゼロトラストネットワークのメリット

ゼロトラストネットワークは、デバイスの動向を常時監視し、万が一デバイスがウイルスに感染しても早期発見が可能です。ゼロトラストネットワークを導入すれば、リモートワークを社内と同レベルのセキュリティ下で行えるようになるため、オフィス外でデバイスを使用してもセキュリティをキープできます。

また、情報漏洩や内部からのデータ流出リスクの軽減が可能です。毎回認証を実施するためIDやデバイスが異なると、本人確認ができないため、データを抜きだされてもアクセスを制限できます。

 

ゼロトラストネットワークのデメリット

ゼロトラストネットワークは、ログの監視や本人確認の多様化など運用する箇所が多いため、導入に際して初期費用がかかります。費用を抑えるためには、セキュリティについてコストをかけるべき領域とそれ以外の領域を精査し、導入するシステムを選択する方法があります。

また、ゼロトラストネットワークは全てを信頼しないため、同僚が代わりに作業しようとしてもアクセスが制限され業務に支障が出てしまう恐れがあります。個人情報や機密情報を扱わず作業分担を頻繁に行う部署などゼロトラストネットワークが不要な箇所は、業務効率を優先してセキュリティを緩くするなど柔軟な対応も必要です。

 

ゼロトラストネットワークを38.5%の企業が導入

ゼロトラストネットワークは既に多くの企業で導入されています。PwC Japanグループの調査(2021年度)によると、338社の日本企業のうち38.5 %が実装済みであることがわかりました。

ゼロトラストネットワークを実装した業種は上位から情報通信産業、製造業、金融業・保険業です。実装に取り組んでいる企業は、リモートワークの推進をきっかけに、従業員向けシステムにゼロトラストネットワークの概念を取り入れています。

 

ゼロトラストネットワークを実装する5つのステップ

チェイス・カニンガム博士は導入の枠組み、ZTX(ゼロトラストエクステンデッド)を発表しました。博士は、ゼロトラストネットワークの考えを世界に広めた人物です。

ZTXの中から実装に至る5つのステップを紹介します。

 

①デバイスのセキュリティを強化する

まず、タブレット・パソコンはハッカーの攻撃における標的となりやすいため、インターネットへアクセスするタブレット・パソコンのセキュリティを強化します。

例えば、スマートフォン紛失時に、アプリ利用制限やリモートコントロールで不正アクセスを抑制できます。ファイアウォールやVPNで内部ネットワークへの壁を構築しても、端末の監視は不可欠です。

 

②ネットワークへのアクセスを制限する

次に、ユーザーがアクセス可能なネットワークを制限します。例えば本人が操作する端末でも、セキュリティパッチが最新でなければブロックします。適切な端末と認証されれば内部ネットワークへアクセスできるため、セキュリティ面の負担なく、リモートワークに取り組めます。同時にVPNを経由することなくアクセス可能であり、通信速度の遅滞が解消されます。

 

③アイデンティティの認証を増やす

次に、パスワードとIDのみに頼らない多要素認証を実施します。多認証要素の例としてワンタイムパスワードがあります。信頼性は確保できますがアクセスに手間のかかる点がネックです。ゼロトラストネットワークは一度許可したユーザーでも、アクセスの都度に自動で認証を受けます。そのため不正アクセスや内部情報持ち出しへの抑止効果があります。

 

④データセキュリティを堅牢にする

次に、社内外の脅威に対応するために堅牢なデータセキュリティを構築します。データセキュリティを堅牢にすれば、内部の人間による情報漏洩、不正ログインによるデータ流出を防ぐことができます。

ファイル自体にアクセスを制限すれば、部外者がデータを入手しても閲覧できません。内部からの情報漏洩に対しては、データのコピーや送信をブロック・検知して対策可能です。

 

⑤可視化と分析で迅速な対応をする

全てのセキュリティシステムでログを監視すると、情報漏洩にいち早く対応できます。許可の無いアクセスやデバイスの挙動を感知し、管理者に通知することで被害を最小限に抑えられます。

例として攻撃の予兆をリアルタイムで分析が可能です。社員のアクセスログを監視することは、端末のウイルス感染や情報漏洩の防止に有効です。社内で許可していないクラウドにデータを預ける等、シャドーITの痕跡を発見できます。

 

ゼロトラストネットワークへの移行がおすすめ

従来までの境界型セキュリティだけでは問題点が多く、巧妙化するサイバー攻撃や内部からの情報漏洩への対処には限界があります。業務の場所や対応する脅威の種類を選ばない、ゼロトラストネットワークへの移行がおすすめです。