Zero Trust
読み方: ゼロ トラスト
Zero Trustとは
Zero Trustは、2010年に米国の調査会社であるForrester Research社によって提唱された概念です。社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方を指しています。
Zero Trustの特徴
・セキュリティモデルの転換
従来のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分け、その境界線で対策を講じるというものでした。一方、Zero Trustでは、その境界線にファイアウォールやプロキシー、IDS/IPSなどのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断するというセキュリティモデルになっています。
・ユーザー認証と認可
Zero Trustでは、ユーザーがアプリケーションやサービスにアクセスする前に、常にユーザーの認証とアクセス権限の認可を行っています。
・アプリケーションの可視性と分離
Zero Trustでは、アプリケーションごとにアクセス権限を設定し、アプリケーションの通信パターンを監視し、アプリケーションが必要なリソースにのみアクセスできるようにします。
・マルチファクタ認証(MFA)の使用
MFAとは、ユーザーがログインする際に、パスワードなどの認証情報に加えて、別の認証要素を要求する仕組みです。MFAを導入することで、ユーザーの認証情報が盗まれても、第三者が不正アクセスを行うことを防止できます。
・セキュリティ監視
ネットワーク内のすべてのアクティビティを監視し、異常なアクセスや攻撃を特定することができます。
Zero Trustの原則
・デフォルトの状態では、すべてのエンティティを信頼しない
・最小限の権限アクセスを適用する
・継続的なセキュリティモニタリングが行われている
活用のメリットとデメリット
■メリット
・クラウドサービスも安心して利用できる
境界線が曖昧になり、セキュリティ対策が施せなかったクラウドサービスも、Zero Trustでは有効に機能します。境界線を設けないため、クラウドサービスだけではなく、社内環境も守れるようにセキュリティを構築できます。
・働く場所に依存せず、安全に業務を遂行できる
Zero Trustネットワークは許可された端末だけがアクセスできます。そのため、自宅やサテライトオフィス、喫茶店など場所を問わずどこでも安心してアクセスできます。
・企業内ネットワークのリスク軽減
Zero Trustモデルを導入し、そのためのソリューションを整備することにより、どんなアクセスも信用せず、厳格に認証を行うため、企業のセキュリティレベルの水準が格段に向上します。
また、万一内部に不正侵入された場合も、Zero Trustモデルはアクセス単位で認証を行うため、被害を最小限に抑えることが可能になります。
・インシデント発生から検出までの時間短縮
Zero Trustでは、基本的にセキュリティ事故・事件(インシデント)の検知や、その後の対処を自動化するソリューションを導入します。それによって、システム部門の業務負荷軽減やセキュリティ運用効率化を実現できるメリットがあります。また万一のインシデント発生の場合も、検出までの時間短縮がはかれ、対応に素早く手を打てるようになります。
■デメリット
・利便性・快適性が損なわれる可能性がある
セキュリティレベルが向上する代わりに、多段階認証(多要素認証)やアクセス制限などによる業務の利便性低下の可能性があります。
・導入時のハードルが高い・維持にコストがかかる
比較的新しい考え方であるが故に、Zero Trustに関する各ベンダーのソリューションが発展途上で導入のハードルが高いです。またソリューションを導入すれば今まで必要なかったコストが発生し、維持するにもランニングコストなど、それなりの費用がかかります。
現場の声
従来の境界型のセキュリティモデルではリモートワークやBYODといった働き方には対応しづらく帯域が細く脆弱な踏み台経由でアクセスが必要になるなど色々不便な点も多いので、Zero Trustのようなエンドポイントセキュリティを重視する考え方でより快適な働き方が出来るのではないかと期待しています。
<執筆・監修>
アルサーガパートナーズ株式会社 DX技術用語集制作チーム
(2023年4月時点)