コラム ゼロトラストモデルの構成要素とは？海外拠点で多様化するIT環境に求められる最適なセキュリティ技術を解説

近年、セキュリティを論じる場面でよく耳にする「ゼロトラスト」とは、どのようなものでしょうか。まずは、ゼロトラストの特徴と構成要素について解説します。

「ゼロトラスト」とは、 Forrester Research 社が 2010 年に提唱した新しいセキュリティの概念（※1）で、その名のとおり「信頼しない」ことを基本原則としたものです。従来のセキュリティモデルでは、一度認証されたユーザーは内部ネットワークにおいて信頼されるという考え方が一般的でした。しかし、その結果、一度内部に侵入した攻撃者が自由に動き回れる問題が浮き彫りになりました。ゼロトラストは、こうした問題に対処するために生まれた新しいセキュリティの考え方です。社内ネットワークやインターネットといったネットワークの境界にとらわれず、過去に行われた認証や検証を一切信頼せずに、データへアクセスするたびに厳密な認証を実施し、データそのもののセキュリティを保証します。このゼロトラストモデルにより、データやリソースへの不適切なアクセスを防ぎ、攻撃者がネットワーク内部で自由に動き回ることを封じられます。組織のセキュリティ体制全体が強化され、情報漏えいやデータ侵害から保護されます。

ゼロトラストモデルは、信頼されたネットワーク内部ですべてのアクセスを検証し、リスクを最小化するためのセキュリティフレームワークです。その中心的な概念は「信頼しない、常に検証する」であり、さまざまな構成要素を持っています。NIST （米国立標準技術研究所）によると、ゼロトラストにおける基本原則（※2）は下記のとおりです。

• データソースとコンピュータサービスは、全てリソースと見なす
• 「ネットワークの場所」に関係なく、通信は全て保護される
• 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
• リソースへのアクセスは動的なポリシーによって決定される
• 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
• リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
• 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する 
  

ゼロトラストの構成要素は、この基本原則に準拠したものでなければなりません。ゼロトラストの構成要素は下記のとおりです。

①   エンドポイント（デバイス）
②   ネットワーク
③   クラウド
④   アイデンティティ（ID）
⑤   ワークロード
⑥   可視化と分析
⑦   自動化

ゼロトラストの構成要素は、この基本原則に準拠したものでなければなりません。ゼロトラストの構成要素は下記のとおりです。

ゼロトラストについては下記の記事でも取り上げていますので、参考にしてみてください。
※関連記事：「SASE（サシー）」が運用の鍵を握る！？第2回/全6回

ゼロトラストの構成要素は多岐にわたり、それぞれ個別にセキュリティ対策を施す必要があります。ここでは、ゼロトラスト構成要素を掘り下げて解説します。

エンドポイントとは、ネットワークに接続されるデバイスのことです。ゼロトラストでは、信頼できるデバイスからのアクセスのみを許可する必要があります。エンドポイントのセキュリティを確保するための技術には下記のようなものがあります。

• EPP (Endpoint Protection Platform)
• EDR（Endpoint Detection and Response）

EPP は、 PC やスマートフォンなどのエンドポイントをマルウェアから保護するためのソリューションです。一般的に、アンチウィルスソフトやウィルス対策ソフトと呼ばれます。

EDR は、エンドポイント上で不審な挙動を監視し、リアルタイムに検出、迅速に対応するためのソリューションです。マルウェア感染後を想定し、マルウェアによる不審な挙動を検知・対処します。EDRは、EPPでは防ぎきれない未知のマルウェアへの有効な対抗策となります。

ゼロトラストにおいて、全ての通信は検証・保護される必要があります。ネットワークのセキュリティを確保するための技術は下記のとおりです。

• SWG (Secure Web Gateway)
• SDP (Software Defined Perimeter)

SWG は、ユーザーが社外ネットワークへのアクセスをセキュアに行うためのプロキシ（Proxy）です。ユーザーのトラフィックをリモートサーバー（クラウドなど）にリダイレクトして分析・フィルタリングすることで、セキュリティポリシーに基づくアクセス制御を実現します。

SDP は、ネットワークの境界（Perimeter）をソフトウェアによって仮想的に実現する技術です。従来のファイヤーウォールのような物理的な境界では防ぎきれない脅威からの保護が可能となります。

クラウドサービスへのアクセスは厳格に制御され、動的なポリシーに基づいて許可される必要があります。クラウドのセキュリティを確保するための主な技術は下記の2つです。この2つはそれぞれ異なるセキュリティ保護を担うため要件に応じて選択することが望ましいですが、両方導入することで効果が最大化されます。

• CASB (Cloud Access Security Broker)
• CSPM (Cloud Security Posture Management)

CASB は、企業のオンプレミス環境とクラウドサービスとの間に位置するセキュリティゲートウェイとしての機能を提供するソリューションです。企業のセキュリティポリシーに基づいてクラウドへの適切なアクセス制御を実現します。

CASBは、金融、医療、官公庁など、コンプライアンスが重要で機微な情報を取扱う業種におすすめです。セキュリティとプライバシーを確立するためにクラウドサービスへの厳格なアクセス制御と不正アクセス監視を行う場合に向いているソリューションです。

CSPM は、クラウド上の各種システムの「現在の状態」を確認し、設定ミスや脆弱性などを検証してセキュリティを担保するソリューションです。クラウド環境におけるアカウント、リソースに対するセキュリティ設定の監視、評価を行います。

CSPMは、クラウドセキュリティのベストプラクティスのひとつとして、クラウドサービスを利用する全ての企業や自治体などで有効なソリューションです。特に、セキュリティインシデントの発生が大きな影響を及ぼす大企業や大きな自治体などで有効と言えます。

アイデンティティ（ID）とは、ユーザーIDのことです。IDは毎回認証される必要があります。アイデンティティのセキュリティを確保するための技術には下記のようなものがあります。

• IAM（Identity and Access Management）

IAM は、 ID の管理及び認証・認可を指す言葉です。ユーザーやデバイスなどの ID を一元管理し、 ID ごとに定められた権限に従って社内リソースへのアクセスを制御します。

ワークロードとは、サーバーやクラウド環境で実行される、仮想マシン、Webアプリケーション、データベースなどのアプリケーションやサービスです。ワークロードのセキュリティを確保するための代表的な技術は下記のとおりです。

• CWPP（Cloud Workload Protection Platform）

CWPP は、クラウド上の仮想化された環境やコンテナを含むワークロードのセキュリティを保護するためのソリューションです。ワークロード上の脅威検出、セキュリティポリシー違反の検出などにより、データ漏洩や不正アクセスのリスクを軽減します。

ゼロトラストでは、全てのアクセスと挙動が可視化され、その情報を分析してセキュリティを高めることが重要です。可視化と分析のための技術としては下記が挙げられます。

• SIEM (Security Information and Event Management)
  
• CASB (Cloud Access Security Broker)

SIEM は、アプリケーションやシステムにおけるセキュリティ関連の情報やイベントを集中的に収集、分析、および管理するためのソリューションです。リアルタイムでの監視や長期的なログデータの可視化・分析が可能です。

CASB は、組織のユーザーがクラウドサービスを使用する際の行動やトランザクションを可視化し、不正や危険な動きを検出する機能も備えています。クラウド環境におけるデータの移動やアクセスを可視化し、セキュリティポリシーの適用や異常なアクセスの検出を行えます。

自動化とは、ゼロトラストモデルの鍵となる構成要素で、セキュリティ確保のタスクを自動実行することです。自動化により、人間が行う作業を軽減し、より正確かつ効率的なセキュリティ運用を実現できます。ゼロトラストにおける自動化の技術には下記のようなものがあります。

• SIEM (Security Information and Event Management)
• SOAR（Security Orchestration, Automation, and Response）

SIEMは、自動化の機能も提供します。リアルタイムのデータ分析を行い、異常な動作や脅威を自動的に検出する仕組みを持っています。異常が検出された場合、自動的に通知を送ることも可能です。

SIEMは、セキュリティインシデントの監視や検出、対応、報告に特化し、さらに分析まで行う高度なセキュリティオペレーションを必要とする場合に向いています。特に厳しいコンプライアンス要件を持つ金融、医療、官公庁などにおすすめです。

SOARは、複数のセキュリティ製品やソリューション間での情報の連携を強化するオーケストレーション、一連のセキュリティタスクやワークフローの自動化が可能です。手動タスクを削減し、オペレーションの迅速性と正確性を向上させることができます。

SIEMがセキュリティインシデントの監視、検出、対応、分析に焦点を当てていることに対して、SOARはセキュリティインシデントへの即時の対応とオペレーションの効率化を目的としています。SIEMとSOARを組み合わせてセキュリティ強化と効率化を目指すことは業種を問わず全ての企業にとって有効です。

セキュリティの技術は絶えず進化しており、ゼロトラストモデルも例外ではありません。今後、海外拠点で新たに求められる次世代ゼロトラストの要件について解説します。

ゼロトラストは、グローバルのサイバーセキュリティ市場全体において重要な位置付けにあり、劇的に成長しています。企業のクラウドの採用、DXの実現、リモートワークの普及、そして複雑化するサイバー攻撃などの脅威により、ゼロトラストモデルの需要は今後も伸び続けるでしょう。

市場調査会社のReport Oceanのレポート（※3）によれば、グローバルにおけるゼロトラストセキュリティの市場規模は2021年～2027年の間に、17.4％以上の安定した成長が予想されており、金額に換算すると約602.5億米ドルに拡大する見込みです。ゼロトラストセキュリティ市場は、グローバルで成長を続ける領域といえます。

次世代のゼロトラストは、下記のような新たな要件への対応が必要になると考えられます。

AI や機械学習の進歩により、異常検知や対応の自動化が技術的に可能となりました。自動化とAIの活用は、セキュリティ運用の効率化と脅威への迅速な対応を実現するために、今後ますます重要になると考えられます。自動化により、セキュリティポリシーの適用、異常検知、対応プロセスの実施など、さまざまなセキュリティ関連タスクの効率化につながります。また、AIにより、ネットワークトラフィックのパターンやユーザーの行動を学習し、膨大なデータから異常な動きや新たな脅威を迅速に検出・分析できます。自動化と AI の相乗効果により、グローバルで複雑化・悪質化するサイバー攻撃への適切な対策が可能となるでしょう。

プライバシー保護の強化は特に重要です。ゼロトラストモデルでは、アクセス制御や認証プロセスにおいて個人を特定できる情報が用いられます。これらの機密情報が適切に保護され、不正アクセスやデータ漏えいを防ぐことがますます重要となります。具体的には、データの暗号化や、データのアクセスログの管理、データの匿名化などが必要となるでしょう。

また、 EU一般データ保護規則（GDPR）など、世界的にもプライバシーに関する法規制が強化されており、ゼロトラストモデルを採用する企業や組織もこれらの法規制を遵守しなければなりません。こうしたグローバルの動向により、海外拠点の企業活動に影響が出ることも予想されます。

ゼロトラストの新たな要件に対応するためには、技術だけではなく、海外の拠点を含む組織全体での理解と取り組みが必要不可欠です。たとえば、海外では拠点によってセキュリティの考え方や文化が異なり、対応レベルもまちまちになるケースがあります。そのため、海外の各拠点におけるセキュリティポリシーの内容や重要性に関する統一的な教育とトレーニングの実施、定期的なセキュリティ監査などを実施し、絶えず意識改善とセキュリティレベルの維持に取り組む必要があります。

また、サイバーセキュリティは、絶えず進化する脅威に対応できるよう常に最新の状況を把握し、技術や方針を更新していく必要があります。具体的には、脅威インテリジェンスからの最新の脅威情報などの収集と分析や、定期的なセキュリティパッチ精査などを実施し、セキュリティの継続的な向上と新たな脅威への対応能力を確保することが重要です。

本記事では、ゼロトラストの構成要素、および海外拠点において今後求められるゼロトラストの要件について解説しました。KDDIでは、海外拠点においてゼロトラストを実現するサポートを行っています。「効率的なセキュリティ対策を実施したいけれど方法がわからない」とお困りの方は、ぜひ一度KDDIにご相談ください。次回は、ゼロトラストで防ぐことのできる脅威についてご紹介します。