コロナにより大手企業だけでなく中小企業でもテレワークの機会が増えました。どこでも仕事ができる便利な働き方ですが、社外にパソコンなどを持ち出す機会が増えるため、セキュリティ対策は必要不可欠です。そうしたなかで、これまでのセキュリティをより強固なものにした「ゼロトラストセキュリティ」が注目されています。
本記事ではゼロトラストセキュリティが一体どのようなものなのかを解説し、今後どのように発展していくのかを紹介します。
ゼロトラストセキュリティ(ゼロトラストネットワーク)とは
ゼロトラストセキュリティのトラストの意味は「信頼」です。その名の通り「信頼できるものは何ひとつない」という考え方を前提にしたセキュリティソリューションです。
2010年にForester Research社のジョン・キンダーバーグ氏によって提唱されました。
社外からのアクセスだけではなく社内からのアクセス、過去の行われた認証や検証であっても信頼せずに、データにアクセスするたびに厳正な認証を行い、セキュリティを担保するものです。
ゼロトラストセキュリティは、データにアクセスするすべてがデータを脅かす存在であると捉え、セキュリティ対策を講じます。
このように、全ての要因から発生するであろう最悪の事態を想定して行うセキュリティ対策を、「ゼロトラストセキュリティ」「ゼロトラストネットワーク」と呼びます。
ゼロトラストセキュリティのメリットとデメリット
ゼロトラストセキュリティには、従来のセキュリティ対策と比較をしてどのようなメリットとデメリットがあるのか簡単に比較をしていきましょう。
メリット1. データ流出リスクの軽減
ゼロトラストセキュリティでは、従来よりも強固なセキュリティシステムの構築が可能です。情報流出のリスクを最小限に抑えるために、データにアクセスできる人間を最小限に限定します。データを取り扱える人間は、認証された正しい端末と正しいユーザーに限定されるため、不正アクセスを見前に防ぐことが期待できます。
メリット2. 管理のしやすさ
ゼロトラストセキュリティでは、アクセスする際にその都度脅威を評価するため、不正アクセスが行われたかどうかを常に管理することが可能になります。シンプルな構造になることで、管理者がアクセスを管理しやすくできるというメリットもあります。
メリット3. クラウドに移行しやすい
ネットワークに左右されないセキュリティシステムのため、クラウドに移行しやすいというメリットがあります。従来のセキュリティシステムでは、クラウドとネットワークシステムを構築し、セキュリティ対策も端末とクラウドに設定する必要がありました。
しかし、ゼロトラストセキュリティはシンプルな構造なので、ユーザーに必要な権限を付与するだけで完了します。権限の設定のしやすさと、細かくスピーディーに設定が行えるため、関係者に対してアクセス権限を簡単に付与することが可能になります。
デメリット1. 導入コストと運用コスト
新たなセキュリティシステムを構築する必要があるため、ゼロトラストセキュリティを構築する際には導入コストがかかります。また、アクセスを許可した端末の行動を常に監視する必要があるため、通常よりもランニングコストもかかってきます。
デメリット2. 利便性の悪さ
全ての端末を信用しないことが前提のため、都度のアクセスで認証が必要になります。また、その他のアクセス制限や添付ファイルの禁止などの制限もあるため、業務を行う際の利便性が悪くなるケースもあります。
ゼロトラストセキュリティの仕組み
ゼロトラストセキュリティの大まかな仕組みを解説していきましょう。
ゼロトラストセキュリティでは、情報にアクセスする全ての端末に対して監視を行います。「アクセス元の端末はアクセスを許可している端末であるか」「セキュリティ対策は適切におこなわれているのか」「アクセスをしたユーザーは権限が付与されているのか」をチェックし、適切なユーザーであればアクセスが許可されます。
挙動が少しでも怪しければデータにアクセスできない環境となるため、セキュリティ的には安全性を保つことが可能になります。
ゼロトラストセキュリティの今後
テレワークやデジタルでのやりとりが当たり前となっている現代では、今後もゼロトラストセキュリティが積極的に導入されることが予想されます。
「政府ICOポータル」では、2020年6月に「境界型セキュリティの限界を示し、ゼロトラストと呼ばれるこれからのセキュリティの考え方」を紹介しています。日本政府が導入することで、より一層様々な企業での導入が期待されるようになります。
(参照:政府ICOポータル「政府情報システムにおけるゼロトラスト適用に向けた考え方」)
実際にゼロトラストセキュリティを取り入れたサービスを提供する企業も登場しています。代表的なものは、Googleが発表した「BeyondCorp Remote Acess」というシステムで、VPNを使うことなく、様々な環境でアクセスができる独自のシステムとなっています。
さらに、PC大手のMicrosoft社では、Microsoft365を導入することで、簡単にゼロトラストセキュリティを導入できるとアピールしています。今後、日本でも当たり前に導入される日はそう遠い話ではないかもしれません。
しかし、日本国内では、まだゼロトラストセキュリティはまだまだ発展途中の分野であり、導入リスクもあります。しかし、今後は様々な製品が登場するでしょう。
まとめ
ゼロトラストセキュリティは、「信頼できるものは何ひとつない」という考え方を前提にしたセキュリティソリューションです。
従来よりも強固なセキュリティ対策として、注目を浴びていますが、メリットだけでなくデメリットも存在します。
しかし、テレワークが普及し、より強固な情報漏えい対策が求められているなかで、近い将来、多くの日本企業のセキュリティがゼロトラストセキュリティへと移行される日も訪れるのではないでしょうか。