ゼロトラストネットワーク

ゼロトラストネットワークとは？

アプリやデータへのアクセスを許可、または継続する前に、組織内外のすべての利用者が、安全対策や体制について確認され、認証される必要があります。ゼロトラストは、従来の企業の境界が存在しないと仮定しており、オンプレミス、クラウド、またはその両方が混在する環境で、資産や従業員がどこにいても対応可能です。

多くの企業がゼロトラストの定義を独自に試みていますが、信頼できる各種ガイドラインが、ゼロトラストを貴社の業務に合わせる際の参考となります。

ゼロトラストネットワークのメリット

以下に、ゼロトラスト体制を導入するメリットを紹介します:

• 強化された安全性。例えば、企業への攻撃は標的以外の場所から行われることが多く、攻撃者は承認済みの利用者のアクセスを悪用して、組織内を横断し、重要な資産に近づくケースが見受けられます。
• 分散インフラの管理が容易に。データ、アプリ、資産が複数のクラウドやハイブリッド環境に散在することでネットワーク基盤は複雑化しており、利用者が多様な場所から作業を行うため、確固たる境界を定義するのは難しくなっています。境界に依存する方法は、企業ごとに異なる複雑な問題に対する時代遅れの解決策です。
• 安全管理のシンプル化。従来、企業は多層防御で攻撃を防ごうとしていましたが、その結果、攻撃者が狙える隙間が生じる恐れがありました。ゼロトラスト体制では、ネットワーク全体で一貫した安全管理が実現されます。

ゼロトラストはどのように機能する？

ゼロトラスト体制を実現する仕組みは様々ですが、概ね以下の5つの能力に基づいています:

• 利用者やアプリ、ソフトウェアのログなどから通常の行動パターンを測定し、認証情報や業務上の必要性に応じて基準を策定する。
• デバイスの設定に応じ、ソフトウェアやハードウェアの健全性チェックを含む認証と検証、及び資産の識別を行う。
• ネットワークへのアクセスや利用の異常を検知し、企業内の資産やアクセスしてくるデバイスの状態を常に確認する。
• セキュリティ事象が発生した際、リスクの緩和と対応を実施する。例えば、リスクが確認されたネットワーク領域を隔離する。
• ネットワークの細分化技術を活用して機密性の高い資産を守り、必要な認証済みアプリがアクセスできるようにする。ロールベースのアクセス制御により、特に機微な資産へのアクセスを制限することも可能です。

ゼロトラストの基本的なセキュリティ原則

1. 継続的な監視と確認

ゼロトラストネットワークは、脅威が企業内外に存在するという前提に基づき、どの利用者やデバイスも自動的には信頼しません。利用者の認証情報や権限、デバイスの状態、セキュリティ情報は常に確認され、一度認証されても、ログインやセッションは切れるため、継続的な再確認が必要です。

2. マイクロセグメンテーション

ゼロトラスト体制では、マイクロセグメンテーションも活用されます。これは、セキュリティ境界を小さな領域に分割し、組織内の各部分が個別のアクセス権を持つようにする手法です。例えば、単一のサーバーファーム内にあるデータも、マイクロセグメンテーションを用いれば、複数の独立した安全なゾーンに分けられます。個別認証がなければ、あるゾーンにアクセスできる利用者やアプリは他のゾーンにアクセスできません。

3. デバイスアクセス制御

ゼロトラストでは、利用者のアクセス制御に加え、デバイスに対する厳格な管理も必要です。システムは、接続を試みる各デバイスを監視し、全デバイスが認証され、改ざんされていないかを常に確認します。その結果、企業の攻撃対象範囲は縮小されます。

4. 多要素認証 (MFA)

ゼロトラストセキュリティでは、多要素認証（MFA）が重視されます。MFAとは、利用者の確認にパスワードだけでなく複数の証拠を要求する仕組みです。FacebookやGoogleなどで採用されている二要素認証（2FA）は、その一例です。これらのサービスでは、パスワードに加え、スマートフォンなどに送られるコードの入力が求められ、利用者の身元が確実に確認されます。

5. 最小権限

最小権限の原則は、ゼロトラストセキュリティの基本方針のひとつです。利用者には、必要最低限のアクセス権のみを付与し、機微な資産への不必要なアクセスを防ぎます。たとえば、将軍が兵士に制限された情報のみを伝えるようなものです。

最小権限の適用には、利用者権限の厳重な管理が求められます。VPNにログインすると、企業全体のネットワークにアクセスできるため、最小権限管理には適していません。

Zero Trust Network Access (ZTNA)とは？

企業がゼロトラストセキュリティを実現する根幹技術は、Zero Trust Network Access (ZTNA)です。ZTNAは、ソフトウェア定義境界（SDP）など、多くのシステムとサービスに対し、デバイスと必要な資産との間で安全な暗号化通信を強制することで守ります。

ゼロトラストネットワークの導入方法

企業にゼロトラストネットワーク戦略を導入する方法は、次の4通りです。

アプリ間のデータフローを追跡し、攻撃対象を特定します。トラフィックの流れを把握し、組織内の変化に反映させるのは容易ではありません。また、どのアプリやその環境がアクセスを必要としているかも分析する必要があります。

戦略を定義する。

トラフィックを監視することで、デフォルト拒否のルールを備えたゼロトラスト戦略を設定できます。各アプリの周囲にマイクロセグメンテーションを設け、限定されたアクセスの流れを把握することから始めましょう。

実装前に戦略のテストを行うことが望ましいです。組織に影響を与えず、違反時にアラートを発生させることでシミュレーションを実施します。これにより、戦略の調整が可能になり、認証済み資産での障害やアクセス問題のリスクを下げられます。

実行する

戦略の十分なテストを経て、ネットワークの停止やアクセス障害が発生しないと確認できたら、実際に運用に移します。ゼロトラスト体制での利用者トラフィックの可視化のため、ポリシー違反のアラートを継続的に監視し、文脈情報を追加して、暗号化された東西方向の通信もチェックしてください。

注意深く監視する

ゼロトラストネットワークの運用には多大な労力が必要です。主要なアプリや部門に導入した後も、継続して監視と対応を行い、戦略を洗練させることが求められます。従来の暗黙の信頼に依存する環境では、インシデントの調査や対応にかかる工数が次第に増大するのに対し、ゼロトラスト体制ではその負担が軽減されます。