このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
【 2分でわかる】ゼロトラストとは?定義やポイントを簡単解説!
ゼロトラストブログ vol. 04

【 2分でわかる】
ゼロトラストとは?定義やポイントを簡単解説!

2024 2/16
昨今お客さまのITインフラ構想支援 (ITインフラコンサルティング) を実施していると、次世代のネットワークや最新のセキュリティトレンドで出てくるキーワードの一つである「ゼロトラスト」の導入を希望されるお客さまがいらっしゃいます。
今回はこの「ゼロトラスト」について、どのようなものなのか?どうやって導入していけばよいのか?をゼロトラスト推進部の千原がご紹介します。
本記事をご覧いただくことで「ゼロトラスト」の全容をつかみ、企業にとって重要な情報資産やシステムをどのように守っていくか、ご検討いただく一助となれば幸いです。

「ゼロトラスト」ってなに?

ゼロトラスト」とは端的に言い換えると、「全ての通信信頼しない」となります。
つまり、全ての通信見過ごすことなく主体的確認し、検証していくことが本質です。企業が持つ情報資産に対してどのようなアクセス通信であっても、社内外通信属性を問わずに信頼を疑う (信頼ゼロベースで考える) ことが起源です。

昨今クラウドサービス普及により、企業内保有されていた情報資産企業ネットワーク外で管理されるケースも珍しくありません。新型コロナウイルス流行し、働き方が大きく変化したことで、会社だけでなく自宅など、社外から社内ネットワークへのアクセスも多くなりました。これに伴い、今まで境界内部でしか通信していなかったものが、境界外部から内部への通信が増えることとなり、境界範囲曖昧になっています。

加えて、企業を狙った組織的かつ高度サイバー攻撃も増え、重要情報資産を守ることが難しくなってきているのです。
このような状況で、企業情報資産を守る術として登場したのが、「ゼロトラスト」という概念です。

「境界型セキュリティ」は、社内環境でファイアウォールを設置し、「ゼロトラスト型セキュリティ」は社内外問わずすべてのアクセスを監視します。

2021年5月にアメリカ合衆国大統領バイデン氏も、ホワイトハウスシステムゼロトラスト移行すると発表しています。


ゼロトラストの原理原則

~ Verify and Never Trust ~ (翻訳) 確認してから信頼する

  •  社内社外ネットワーク区別してはいけない
  •  アクセス必要最小限厳密適応する
  •  検証して信頼しないことを前提とする
  •  全てのトラフィック・パケット検査し、ログを取る
  •  データをどう保護するか、という内側から外側に向けたセキュリティ設計アプローチをとる

「守るべき情報資産はどこにでもあり、どこからでもアクセスする」「脅威はどこにでもあり、社内社外関係ない。常に安全性確認するべき」という考え方により、上記原理原則が成り立っています。

しかし、ゼロトラストモデルは、一つのソリューション導入することで達成できるわけではありません。
ゼロトラストはあくまで高度セキュリティ環境実現するための概念であり、通信はゼロトラストネットワークアクセス (ZTNA) 、エンドポイントではEDRなど、お客さまの環境適応させて複数コンポーネント (要素) を組み合わせていくことが不可欠です。

また、従来のITインフラにおけるセキュリティ思想変化させ実現していく必要があります。
つまり、今までの境界防御 (ファイアウォールやUTM (統合脅威管理 など) よりも視座を高め、仕組みや設計思想としてゼロトラストを捉えることが重要です。


ゼロトラストの実現方法

では、社内ITインフラシステムゼロトラスト化していくにあたって、必要構成をご紹介します。

ゼロトラストは、複数の構成要素 (=コンポーネント) から構成

インターネット/クラウド/社内システムのセキュアな通信を実現するネットワーク、CASB/ZTNA/SDP/IAMによるアクセスの監視、利用端末のセキュリティ強化の3つのコンポーネントで構成


まず、重要な考え方は、ID管理 (注1) におけるアイデンティティ認証認可にあると言っても過言ではありません。アクセス元であるアイデンティティを常にアクセスごとに確認し、アクセス先への権限最小権限付与する仕組みを作っていくことが重要です。情報システム部がID管理設計したアクセス権限ロールを用いて、自動厳密アクセス権設定実現できる仕組みこそがゼロトラスト基盤となります。

次に、エンドポイント (端末) 防御ネットワーク防御を行うコンポーネント (ゼロトラスト構成要素) の導入です。企業にとっての重要資産がどこにあり、どの情報を守るのか、どの通信対象とするのかを定め、必要コンポーネント導入する必要があります。

最後に、監視機能です。防御する仕組みができても、攻撃を受けた際の早期発見対応必要であり、時間経過するにつれて企業へのダメージが増えていきます。全ての通信不審デバイス動作を常に確認しながら、即座検知対応する仕組みを作ることで、ランサムウェア攻撃 (注2) でのラテラルムーブメント (注3)影響拡大機密情報の漏えいなど、企業へのダメージを防ぐことができ、侵入されても最小限被害に抑えることができます。

  • 注1) ID管理とは、システム利用時必要となる各アカウントログイン情報管理すること。
  • 注2) ランサムウェア攻撃とは、デバイス自体デバイス保存された情報使用不可とすることで、身代金などを要求する攻撃のこと。
  • 注3) ラテラルムーブメントとは、攻撃者対象ネットワーク防御突破後、他のネットワークへの侵入範囲拡大させる過程のこと。

ゼロトラスト導入を検討するうえで重要なポイント

最後次期ITインフラを考えるうえで、ゼロトラスト最終目的ではないことを解説します。

企業は、次期ITインフラへの期待解決したいIT課題中期IT戦略コンセプトなどを掲げますが、ゼロトラストはそれらを解決する手段にすぎません。ゼロトラスト化を進めるにあたり、企業業務DXや効率化をどこまで目指すのか、現在課題に対して何を解決したいのか、情報資産の何を守りたいのかを明確にし、その手段としてゼロトラスト導入次期ITインフラを作ることが重要と考えています。

ゼロトラストは、現在のITセキュリティにおける一つの考え方ですが、全ての企業にとって必要なものとは限らず、目的利用方法により取り組むべき内容程度はさまざまです。施策を取り入れた場合費用対効果考慮し、最善方法次期ITインフラを考えていくことが企業セキュリティでは必要となります。

プロフィール画像

執筆者プロフィール

千原 陽輔 (ちはら ようすけ)

約11年中央省庁における情報LANシステムをSE/運用のリーダーとして担当。

複数の構築PMや運用責任者を通してセキュリティ、ネットワーク、IT運用を第一線で経験し、2023年1月にKDDIへ入社。現在はゼロトラストを中心としたITインフラのコンサルティングを担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ