ゼロトラストとは？意味やセキュリティ上のメリット、実現方法を解説

ゼロトラストとは

　ゼロトラストとは、Trust（信頼）をZero（しない）の文字通り「誰も、何も信頼せず、すべてのアクセスを検証する」というセキュリティの考え方です。

　2010年にアメリカの調査会社Forrest Researchによって提唱されました。

　デジタルトランスフォーメーション（DX）やコロナ禍によるテレワークの促進が、ゼロトラストの普及に拍車をかけています。

ゼロトラストが求められる背景

　セキュリティの考え方は、ここ数年間で根本的に変化しました。今まで、企業や組織に採用されるセキュリティモデルは、「境界防御モデル（ペリメータセキュリティモデル）」が一般的でした。

　境界防御モデルは、ネットワークを信頼できる部分（例えば社内ネットワーク）と信頼できない部分（例えばインターネット）と切り分け、この2つの部分の間に「境界」を設けた上で、強固なセキュリティ対策を講じて内部を守るというモデルです。

　しかし昨今では、「内」と「外」の境界があいまいになってきています。

　それは、クラウドサービスの活用により、インターネット越しにサーバ間の通信が増えたことが要因です。テレワークによって、従業員のパソコンがインターネットを介してつながるようになったこともあげられるでしょう。

　物理的に見ても、守るべき情報資産は今までオフィスビル内に留まっていましたが、今は、もはやインターネット全体に分散して点在する形になりつつある状況です。

　このような状況において、境界防御モデルが働かなくなっています。そこで登場した考え方はゼロトラストなのです。

ゼロトラストの基本原則

　「何も信頼しないセキュリティの考え方」と説明されるだけで、ゼロトラストは単なるバズワードに過ぎません。

　ゼロトラストの具体的な方針や原則について、米国国立標準技術研究所（NIST）が「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」を2020年8月に公開しています。その中に、ゼロトラストの7原則が紹介されています。

1. すべてのデータソースとコンピューティングサービスはリソースと見なす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントID・アプリケーション・要求する資産の状態・その他の行動属性や環境属性を含めた動的なポリシーによって決定する
5. 企業は、すべての資産の整合性とセキュリティ動作を監視し測定する
6. すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7. 企業は、資産やネットワークインフラストラクチャ・通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

　NISTより公式的に許可された和訳版は、PwC社により公開されています。NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳│PwC

　NISTのゼロトラスト7原則は理論的で、一般の方から見るととても抽象的な印象を受けるかもしれません。

　ですが、ゼロトラストの考え方の原点とも言えるので、「そもそもわが社が実現しようとしているゼロトラストは何を指しているか？」と迷ったときに参考にすると良いでしょう。

ゼロトラストのメリット

　ゼロトラストは「何も信頼しない」、つまり「何でも疑う」ということであり、信頼関係を重要視する経営と真逆の発想なので、経営者から「本当にゼロトラストはメリットがあるのか？」と疑問視されることも多いでしょう。

　しかし、クラウドやBYOD、リモートワークが盛んに利用される現在では、今までの境界防御モデルに比較して多くのメリットがあります。

セキュリティの向上

 「何も信頼しない」が大原則なので、セキュリティが向上することを容易に想像できます。

　仮に攻撃者が不正に侵入することに成功したとしても、ゼロトラストのモデルではアクセスできる情報は非常に限られるため、情報流出のリスクを最小限に抑えることも可能です。

セキュリティの導入・運用コストの低減

　「何も信頼しない」「何でも疑う」と言われると、複雑な認証システムの構築や煩雑な管理運用業務が必要で、コストがかかるのではないかと思われがちですが、実際には逆です。

　ゼロトラストの概念を取り入れた製品やソリューションは、後述のSASEを含め多くはクラウド上で提供されています。クラウドのメリットを活かし、初期導入も運用もコストを低く抑えることが可能です。

　また、これらの製品・ソリューションは、SSO、生体認証、AIなどさまざまな技術を駆使して、利用者の正当なアクセスに邪魔しない配慮が施されています。ゼロトラストを進めれば、自ずと利用者への負担を最小限に減らせるのもメリットとしてあげられるでしょう。

DXの推進

　「当社のサーバは、内部からしかアクセスできないので、クラウドを導入してクラウド連携をするなんかは無理だよね」というようなことを、IT担当者から聞いたことはありませんか？

　内部と外部を分ける境界防御モデルの場合、クラウドやBYOD、リモートワークなどを導入しにくいため、DXの推進を阻害する要因になりがちです。

　ゼロトラストに転換すれば、逆に一気にDXを加速させることができます。

ゼロトラストの実現方法

　ゼロトラストは、あくまでも考え方や方針であり、製品やソリューションではありませんし、製品の機能でもありません。

　では、ゼロトラストを実現するには、どのようなステップを踏んで、どんな製品やソリューションを利用すれば良いでしょうか？

　ここでは、一般的な企業ネットワークを例として、ネットワークの4つの部分におけるゼロトラストの実現方法を紹介します。

①レガシーイントラネットやデータセンターの場合

　数十年前からよく見られるネットワーク構成は、本社にイントラネットを構築し、規模が大きい場合は、社内もしくは外部にデータセンターを持つ、といったものです。

　このようなレガシーネットワークは、クラウドやリモートワークの推進により徐々に縮小されていますが、まだまだ残っています。

　大企業の場合、今すぐ完全にゼロトラストモデルを適用しようとしても無理なので、今まで構築してきた境界防御モデルに基づいたセキュリティをそのまま運用しながらDXを推進し、徐々にゼロトラストモデルにシフトしていく必要があるでしょう。

　中小企業の場合も、境界防御モデルのセキュリティ製品として、例えばヤマハ製のファイアウォールやVPNを導入するところが多いでしょう。しかしレガシーのIT資産が少ないため、大企業より柔軟性があり、容易にゼロトラストに切り替えできると思われます。

　境界防御モデルの製品は、主に次のものがあります。

• ファイアウォール…外部からの不正アクセスを遮断するための製品。通常、内部ネットワークの入り口に設置される（製品例：Palo Alto PA-220）
  
  
• VPN…外部のセキュアでないネットワーク上にあるデバイスを、あたかも内部ネットワークにあるように仮想ネットワークを提供するデバイスやサービス（製品例：Cisco ASA 5500-X）
  
  
• IDS/IPS…内部ネットワークにある不正侵入を検知し、対処するデバイスやソフトウェア（製品例：Suricata（ソフトウェア））
  
  
• プロキシサーバー…内部ネットワークからインターネット接続を行う際、高速なアクセスや安全な通信などを確保するための中継サーバ（製品例：Squid（ソフトウェア））
  
  
• UTM…統合脅威管理（Unified Threat Management）の略で、ファイアウォールやVPN、IDS/IPSなどの機能を1台のデバイスに統合したもの（製品例：FortiGate 60F）

　これらの製品は境界防御モデルの時代から存在するものですが、必ずしもゼロトラストで利用できないわけではありません。

　ゼロトラストを実現する手法として、SDP（Software-Defined Perimeter）と呼ばれる、ネットワークの内部と外部の境界（perimeter）をソフトウェアによる制御できめ細かく、仮想的、動的に構成する技術があります。

　SDP製品と組み合わせれば、ファイアウォールなどをゼロトラストのモデルでも利用可能です。

②支社・ブランチオフィスの場合

　DXが推進していく中で、支社・ブランチオフィスには、レガシーの本社イントラ・データセンターへのアクセス、Microsoft 365やZoomなどのクラウド上のサービスへのアクセスが求められます。

　境界防御モデルの考え方だと、支社のネットワークトラフィックを全部いったん本社イントラに集約し、本社のインターネット出口でファイアウォールなどによる防御を行うことになります。

　ただし、クラウドサービスを多用する昨今では、このような構成は本社イントラの帯域を圧迫し、支社の使用者からするとネットワーク性能が出ません。

　そこで、今は「SD-WAN」（※）という技術が多く採用されています。

　（※）ソフトウェア定義技術を利用し、拠点間の接続をアプリケーションごとに制御し、ポリシーで管理する技術及び製品（製品例：Aruba EdgeConnect）。

　SD-WANを利用すると、支社側のトラフィックは必要に応じて本社イントラに行くのと、直接インターネットに出るのと動的に分けられます。

　SD-WANを利用すると端末が直接インターネットにアクセスすることがあるので、支社はリモートユーザ・在宅勤務者と同様にゼロトラストの実装が必要になります（詳細は後述します）。

③リモートユーザ・在宅勤務者の場合

　リモートユーザ・在宅勤務者はゼロトラストの概念がもっとも浸透している領域で、多くの製品やソリューションが開発されています。

　以下、代表的なものです。

　これらの製品やソリューションは、若干理解しにくいかもしれませんが、エンドポイントセキュリティ製品はレガシー製品のうちの「アンチウイルス製品」に、ZTNA製品は「VPN製品」に、CASB/SWG製品は「ファイアウォール製品」に、クラウドベース仮想デスクトップは「パソコンそのもの」に近いイメージです。

　なお、製品やソリューションを選ぶときは、実際に評価してから導入することが大事です。

　ゼロトラスト関連のほとんどの製品はクラウドベースで提供されているので、手軽に評価できます。

　特に導入済みの他の製品・ソリューションとの互換性や、運用の容易性を必ず確認しておくようにしましょう。

④クラウドの場合

　ほとんどのクラウドサービスは、ゼロトラストを前提に設計されています。そのため、製品やソリューションを別に導入する必要は基本的にはありません。

　例えば、AWSのクラウドサーバーであるEC2と、AWSのクラウドストレージであるS3両方利用しているとします。

　このとき、同一アカウント内であっても、デフォルトでこのEC2がS3にまったくアクセスできません。

　なお、アクセス権を与えるには、IAM（※）というサービスで設定する必要があります。このように、同一アカウント内、同一環境内でも、すべてのアクセスに権限付与が必要なのはまさにゼロトラスト理念の現れです。

　（※）Identity Access Managementの略称。アイデンティティ、リソース、アクションという3要素できめ細かく権限を定義する機能を持っているサービス・ツールを指す（製品例：AWS IAM、Azure RBAC）

SASEとは？ゼロトラストとの関係は？

　ゼロトラストとよく比較される概念に、SASE（Secure Access Service Edge）があります。

　SASEとは、米Gartner社が2019年8月に提唱した、ネットワーク（WAN）機能とネットワークセキュリティ機能の両方をクラウドベースで提供する構想です。

　ゼロトラストはあくまでも「考え方」や「コンセプト」ではありますが、SASEはソリューション（１個または複数製品の組み合わせ）もしくはフレームワーク（製品やソリューションの実現すべき機能の定義）という違いがあります。

　また、SASEには「ネットワーク（WAN）機能」と「ネットワークセキュリティ機能」が入っていますが、ゼロトラストはネットワークセキュリティにのみ関連しています。

　SASEはWANの部分にフォーカスしていますが、ゼロトラストは特にWAN/LANを意識していないので、企業イントラなどのLANのゼロトラストも対象になっています。

　このように、SASEとゼロトラストは、お互い関連する部分もありますが、まったく別の概念になります。

ゼロトラストを目指しているなら

　ゼロトラストに関連する市場は、まだまだ発展途中であるため、たくさんの製品が出回っていて、標準化もされていない状況が続いています。

　また、様々なネットワーク製品やセキュリティ製品を組み合わせて導入することで実現するコンセプトであるため、管理負荷の増加も考えられます。

　そこで1つ考えられるのはSASEのような、ゼロトラストの一部分をカバーしたソリューションを導入することによる導入負荷や管理負荷の軽減です。

　また、専門家に相談し、会社の規模や現在のネットワークやセキュリティの運用状況に合わせて提案してもらうことも大事でしょう。