「ゼロトラスト」徹底解説!概念からアプローチまで

テレワークの急速な拡大を背景に、あらゆる場所・時間・デバイスから安全に仕事ができる環境が求められています。そこで注目されるのが、新たなセキュリティモデル「ゼロトラスト」ですが、その本質は意外に知られていません。情シス担当者が本当に知るべきゼロトラストの概念と実現方法を解説します。

目次
  1. ワークスタイルの変化とITインフラ
  2. テレワーク時代に向けたIT投資の方向性
  3. テレワーク時代に求められるゼロトラストとは

ワークスタイルの変化とITインフラ

新型コロナウイルスの感染が拡大する中、企業のテレワーク活用は一気に拡大しました。この経験を踏まえて「仕事=オフィス」という前提を今一度捉え直し、テレワークを恒久的な業務手段として位置付けようとする動きが広がっています。

また、企業内の業務システムは、DX(デジタルトランスフォーメーション)の流れもあり、今後5年~10年で「クラウドシフト」が更に加速していくでしょう。企業内にあった業務システムがクラウドサービス上で稼働することになるため、ネットワークに負荷がかかります。従業員がストレスなく仕事に集中するためには、ITインフラの整備が不可欠です。更に、いつでも・どこでも仕事ができるようになると、オフィスの外で利用するデバイスの紛失やウイルス感染などによる情報漏えい対策も必要になります。

このように、テレワークやクラウドシフトによって生産性を向上する手段が拡大していく一方、情報システム部門の重要性は増していきます。従来のネットワーク・セキュリティの考え方を見直す必要にも迫られるでしょう。

IIJが実現する「ゼロトラスト」のアプローチを解説!
無料ガイドブックをダウンロード

テレワーク時代に向けたIT投資の方向性

テレワークが急速に拡大する中、情報システム部門はどのような課題に直面し、今後どのようなIT投資計画を考えているのでしょうか。IIJが緊急事態宣言後に実施したアンケート調査の一部をご紹介します。

アフターコロナに向けたIT投資の方向性として、「今後同様の状況が発生した際に現在のITシステムで乗り越えられそうか」という問いに対して、「まったく問題ない」「問題ない」を併せた回答は3割程度にとどまっています。また「今後IT投資を強化したい要素」としては、テレワーク環境に関する項目が上位を占めました。

Q. 今後、同様の状況が発生した際に現在のITシステムで乗り越えられそうですか

Q. 今回の対応をふまえ、今後IT投資を強化したい要素をすべて選択ください

回答の背景には、「緊急措置としてテレワークに踏み切ったものの、セキュリティレベルはこれまでどおり維持したい」「オフィスに一極集中せずに、どこからでも安全に業務ができるような手段や環境が欲しい」と望むお客様の現状が見て取れます。

業務に必要なリソースやアプリケーションにいつでも・どこからでもアクセスでき、企業活動が継続できること。しかも、管理者も従業員も安全・安心に仕事に専念できること。これらの実現に欠かせないキーワードとなるのが、「ゼロトラスト」です。

IIJが実現する「ゼロトラスト」のアプローチを解説!
無料ガイドブックをダウンロード

テレワーク時代に求められるゼロトラストとは

ゼロトラストの概念は、アメリカの調査会社であるForrester Research社が2010年に提唱しました。「社内ネットワークは安全である」という前提のもとで境界を防御するセキュリティ対策ではなく、「すべて信頼できない」ことを前提とする考え方です。

その後、技術規格の標準化を支援する米国標準技術研究所(NIST)により様々な議論が重ねられ、2020年8月に「NIST Special Publication 800-207」(以下、SP 800-207)Final版が公開されました。これは「信条」という形で記載されており、すべてを満たさなければいけないわけではなく、「進むべき方向性」として捉えるべきものです。

境界型防御とゼロトラストモデルの違い

SP 800-207には「実現には様々な実装形態がある」と記述されており、実装手段そのものを定義しているわけではありません。ポイントは以下のとおりです。

  • すべてを信頼しない前提にしたとき、どのようにアクセス元を信頼するべきか
  • ポリシーの定義ポイント、実行ポイントを1カ所に決める
  • アクセス許可ポリシーは、周辺システムから得られる様々な情報を用いて動的に定義・実行する

現在、ゼロトラストは一種のバズワード的に使用され、「ゼロトラスト対応」を謳った製品やソリューションも数多く登場しています。しかし中には、誤解を招くケースもあるようです。

例えば、製品が得意とする特定領域(IDaaS、EDR/MDM、CASB、仮想ブラウザ、FW/UTMやWebプロキシなど)に着目して、”これがゼロトラストである”と紹介するケース。どのような立場・方法でゼロトラストの信条を実現しているのか、本質を見極める必要があるでしょう。

また、従来の境界防御型セキュリティを否定するメッセージも散見されます。SP 800-207には、「従来の境界防御型がなくなるわけではない」といった記述があります。境界防御型と共にゼロトラストを実現する視点も求められます。

では具体的に、どのようなアプローチが可能なのでしょうか。 IIJでは、デジタルな仕事空間である「デジタルワークプレース」を守るセキュリティとして、複数のマネージドサービスを組み合わせる形でゼロトラストにアプローチしています。ゼロトラストモデルに欠かせない要素とは何か、その実現方法とは。ホワイトペーパーで詳しく解説します。

IIJが実現するゼロトラストとは。無料ダウンロードして読む

「ポストパンデミック、企業ITはどこへ向かうのか?」(PDF:8ページ)

注目のキーワード「ゼロトラスト」と共に読み解くデジタルワークプレースの完全ガイドブック