「ゼロトラスト」とは?概念からアプローチまで徹底解説!

テレワークの急速な拡大を背景に、あらゆる場所・時間・デバイスから安全に仕事ができる環境が求められています。そこで注目されるのが、新たなセキュリティモデル「ゼロトラスト」ですが、その本質は意外に知られていません。情シス担当者が本当に知るべきゼロトラストの概念と実現方法を解説します。

目次
  1. ゼロトラストとは?
  2. ワークスタイルの変化とITインフラ
  3. テレワーク時代に向けたIT投資の方向性
  4. ゼロトラストの仕組み・実装のポイント
  5. メリット・デメリット
  6. テレワーク時代に求められるゼロトラストとは

ゼロトラストとは?

ゼロトラストの概念は、アメリカの調査会社であるForrester Research社が2010年に提唱しました。「社内ネットワークは安全である」という前提のもとで境界を防御するセキュリティ対策ではなく、「すべて信頼できない」ことを前提とする考え方です。

では、なぜゼロトラストが注目されているのか。その背景の1つに、急速に広がるワークスタイルの変化があります。

ワークスタイルの変化とITインフラ

新型コロナウイルスの感染が拡大する中、企業のテレワーク活用は一気に拡大しました。この経験を踏まえて「仕事=オフィス」という前提を今一度捉え直し、テレワークを恒久的な業務手段として位置付けようとする動きが広がっています。

また、企業内の業務システムは、DX(デジタルトランスフォーメーション)の流れもあり、今後5年~10年で「クラウドシフト」が更に加速していくでしょう。企業内にあった業務システムがクラウドサービス上で稼働することになるため、ネットワークに負荷がかかります。従業員がストレスなく仕事に集中するためには、ITインフラの整備が不可欠です。更に、いつでも・どこでも仕事ができるようになると、オフィスの外で利用するデバイスの紛失やウイルス感染などによる情報漏えい対策も必要になります。

このように、テレワークやクラウドシフトによって生産性を向上する手段が拡大していく一方、情報システム部門の重要性は増していきます。従来のネットワーク・セキュリティの考え方を見直す必要にも迫られるでしょう。

IIJが実現する「ゼロトラスト」のアプローチを解説!
無料ガイドブック
ダウンロード(無料)

テレワーク時代に向けたIT投資の方向性

テレワークが急速に拡大する中、情報システム部門はどのような課題に直面し、今後どのようなIT投資計画を考えているのでしょうか。IIJが緊急事態宣言後に実施したアンケート調査の一部をご紹介します。

アフターコロナに向けたIT投資の方向性として、「今後強化したい要素」としては、テレワーク環境に関する項目が上位を占めました。

Q. 今回の対応をふまえ、今後IT投資を強化したい要素をすべて選択ください

回答の背景には、「緊急措置としてテレワークに踏み切ったものの、セキュリティレベルはこれまでどおり維持したい」「オフィスに一極集中せずに、どこからでも安全に業務ができるような手段や環境が欲しい」と望むお客様の現状が見て取れます。

業務に必要なリソースやアプリケーションにいつでも・どこからでもアクセスでき、企業活動が継続できること。しかも、管理者も従業員も安全・安心に仕事に専念できること。これらの実現に欠かせないキーワードとなるのが、「ゼロトラスト」です。

IIJが実現する「ゼロトラスト」のアプローチを解説!
無料ガイドブックをダウンロード

ゼロトラストの仕組み・実装のポイント

前述の通り、ゼロトラストの概念は、2010年に提唱されました。その後、技術規格の標準化を支援する米国標準技術研究所(NIST)により様々な議論が重ねられ、2020年8月に「NIST Special Publication 800-207」(以下、SP 800-207)Final版が公開されました。これは「信条」という形で記載されており、すべてを満たさなければいけないわけではなく、「進むべき方向性」として捉えるべきものです。

ゼロトラストモデルの仕組みと、従来の境界型防御との違いは以下のとおりです。

境界型防御とゼロトラストモデルの違い

SP 800-207には「実現には様々な実装形態がある」と記述されており、実装手段そのものを定義しているわけではありません。ポイントは以下のとおりです。

  • すべてを信頼しない前提にしたとき、どのようにアクセス元を信頼するべきか
  • ポリシーの定義ポイント、実行ポイントを1カ所に決める
  • アクセス許可ポリシーは、周辺システムから得られる様々な情報を用いて動的に定義・実行する

メリット・デメリット

ゼロトラストのメリット・デメリットとしては、それぞれ以下のような点が挙げられます。

メリット デメリット
システム導入/運用目線
  • 企業リソースを積極的にクラウド化した場合においても、これまで同様のセキュリティレベルの維持が可能となる
  • 制御ポイントが明確になることから、利用者やトラフィック量の変化に対する投資対象も明確となり、システム投資に対する計画が立てやすくなる
  • 従業員の「場所に依存しない働き方」実現により、遠隔地の従業員を活用することが可能となり、会社の生産力向上に繋がる
  • 実現手段が多岐に渡るため、従業員の役割/区分に応じたセキュリティの制御レベルをあらかじめ明確にしておく必要がある
従業員目線
  • あらゆる場所からアクセスしても、セキュリティのチェックポイントを経由した利用形態となるため、「場所に依存しない働き方(どこからでも安全に業務)」が可能となる
  • 非正社員など、セキュリティ上の観点でテレワークが認められなかったことが多かったこれまでの状況に対して、管理者が認めた業務についてテレワーク可能となる
  • セキュリティの制御レベルが明確になるまでは、ゼロトラストの導入直後は一時的に不便(セキュリティレベルが極端に厳しい)になることがある

テレワーク時代に求められるゼロトラストとは

現在、ゼロトラストは一種のバズワード的に使用され、「ゼロトラスト対応」を謳った製品やソリューションも数多く登場しています。しかし中には、誤解を招くケースもあるようです。

例えば、製品が得意とする特定領域(IDaaS、EDR/MDM、CASB、仮想ブラウザ、FW/UTMやWebプロキシなど)に着目して、”これがゼロトラストである”と紹介するケース。どのような立場・方法でゼロトラストの信条を実現しているのか、本質を見極める必要があるでしょう。

また、従来の境界防御型セキュリティを否定するメッセージも散見されます。SP 800-207には、「従来の境界防御型がなくなるわけではない」といった記述があります。境界防御型と共にゼロトラストを実現する視点も求められます。

では具体的に、どのようなアプローチが可能なのでしょうか。 IIJでは、デジタルな仕事空間である「デジタルワークプレース」を守るセキュリティとして、複数のマネージドサービスを組み合わせる形でゼロトラストにアプローチしています。ゼロトラストモデルに欠かせない要素とは何か、その実現方法とは。ホワイトペーパーで詳しく解説します。