ゼロトラストには、従来のセキュリティーモデルと比較して、いくつかのメリットとデメリットがあります。それぞれの詳細をみていきます。

ゼロトラストはアクセスを最小限に制限し、認証と検証を徹底的に行うため、セキュリティーレベルが向上します。これにより、不正アクセスやデータ漏洩のリスクを低減できます。

ゼロトラストでは、ユーザー、デバイス、アプリケーションなど、あらゆる要素に対して個別のアクセス権限が設定できます。これにより、権限のないユーザーや不正なデバイスからのアクセスを防ぐことができます。

ゼロトラストは、ユーザーがどこからでも安全にアクセスできるようにするため、クラウドやモバイルデバイスなど、さまざまな環境に対応しています。また、新しいアプリケーションやデバイスが追加された場合でも、権限を統合することができます。

ゼロトラストを導入することで、ユーザー、デバイス、アプリケーションなどが異なるアクセスであっても統一されたセキュリティーポリシーで運用することができます。これにより、企業はコンプライアンスのリスクを最小限に抑えることができます。

ゼロトラストにもデメリットはあります。企業としてどこまで許容できるのか、事前に把握しておきましょう。

ゼロトラストモデルの導入には、新しいハードウェアやソフトウェアの導入、複雑な設定、運用者およびユーザーに対する教育などが伴うため、初期のコストが高くなることがあります。

ゼロトラストは厳格なアクセス制御を提供するため、運用が煩雑になる可能性があります。正確なセキュリティーポリシー設定とユーザー管理が求められます。

既存のシステムからゼロトラストへの移行に時間を要することがあります。ハードウェア・ソフトウェア導入のリードタイムだけでなく、組織風土や利用プロセスの見直しなども発生します。

過度なセキュリティー対策により、ユーザーの利便性が低下する可能性があります、十分に事前のヒアリングとテストおよび改善を図り、ユーザーの利用しやすい環境を整える必要があります。

基本的なゼロトラストの考え方は、「デバイスの場所や情報資産がどこにあろうとも、すべての通信をクラウドおよびエンドポイントで防御」することです。エンドポイントにはエージェントを、途中経路であるクラウドには認証や制御機能を、それぞれ提供することで、ゼロトラストモデルに沿った柔軟性のある強固なセキュリティー対策が実現されます。

ゼロトラストの標準構成と機能を見ていきます。
ゼロトラストには、「運用・監視」、「クラウド制御」、「認証」、「ネットワーク」、「端末防御」の5つの区分があり、さらに細かな各機能により構成されています。一つずつご紹介します。

• MSS（Managed Security Services）
  外部のセキュリティー専門企業が、組織のセキュリティーシステムの運用・監視を行うサービス
• CSIRT（Computer Security Incident Response Team）
  セキュリティーインシデントの予防や、インシデント発生時の調査・分析および復旧を行う専門組織
• SOC（Security Operation Center）
  セキュリティーシステム・デバイスを監視し、サイバー攻撃の検出・特定・防御を行う専門組織
• SWG（Secure Web Gateway）
  Web通信を監視・分析し、不審サイトへアクセスする前に通信を制御するソリューション
• CASB（Cloud Access Security Broker）
  クラウドサービスへのアクセス可視化や、セキュリティーポリシーに基づきアクセス制御を行うソリューション
• IDaaS（Identity as a Service）
  複数のWeb・システムで使用するID・パスワードを一元管理する、クラウドサービス
• SDP（Software Defined Perimeter）
  ソフトウェアによって、動的にネットワーク境界を構成し、ユーザー単位で認証する技術
• SD-WAN（Software Defined WAN）
  WAN（Wide Area Network）の通信を、ソフトウェアによって適切にコントロール、可視化する技術
• LBO（Local Breakout）
  各拠点からのインターネット向け通信の一部を、データセンターやVPN経由を通さず直接アクセスさせる技術
  SD-WANの機能の一部として使われています。
• NGFW（Next Generation Firewall）
  通信の宛先（IPアドレス）だけでなく、アプリケーションの種類を見て通信を制御するソリューション
• NDR（Network Detection and Response）
  企業内のネットワークでやり取りされる通信の内容を監視して、異常な通信を検知するソリューション
• EDR（Endpoint Detection and Response）
  パソコンやサーバーなどのエンドポイントデバイスの状況を監視して、不審な挙動を検知するソリューション
• EPP（Endpoint Protection Platform）
  パソコンやサーバーなどのエンドポイントデバイス上で、マルウェアを検知し駆除するソリューション

これら機能に対応した製品・サービスを組み合わせて、最適なセキュリティー対策を検討していくことになります。

前述の通り、ゼロトラストには様々な機能があり、直ちにすべてを導入できるものではなく時間を要します。一般的な導入・移行のステップをご紹介します。

社内環境はそのままに、リモートを意識した形態です。リモートから閉域網経由で社内システムやクラウドサービスにアクセスさせます。コロナ禍の直後に多く見られた形態で、まずはテレワークが出来るようにしたものですが、今もこの状態の企業は多いと思います。閉域網にアクセスが集中するため、インターネット回線やVPNの増強、インターネットからの脅威への対策など、課題も多い構成です。

閉域網が輻輳しはじめ、通信の遅延などが見え始めます。通信量の増加に対応するため、社内だけでなくリモートからも、クラウドサービスへのアクセスが直接できるよう構成を変更します。SWGやCASBなどのソリューションを用いてクラウドへのアクセスを制御するとともに、EPPやEDRを用いてPC上のマルウェアの駆除や不審な挙動を検知する仕組みを強化します。
さらには、セキュリティーシステムの状態を見える化が求められるようになり、CSIRTやSOCなどの専門チームの立ち上げが必要になってきます。専門的なノウハウ・スキルが十分で無いうちは、外部のセキュリティー専門ベンダーに業務を委託するのも一つの方法です。

ゼロトラストの最終形態になります。リモートからクラウドサービスおよび社内システムへのアクセスは、すべてインターネット経由のクラウド制御に一本化します。閉域網のVPN装置が不要になり、機器の脆弱性対応や管理の手間が削減されます。さらに社内からクラウドサービスおよび社内システムへのアクセスも、インターネット経由のクラウド制御へと、徐々に移行します。これにより、すべてのデバイスからのアクセスはクラウドへ集約され、統一のセキュリティーポリシーによって一元管理・防御されることになります。

ゼロトラストは、高いセキュリティーレベルによるリスク低減効果と、柔軟なアクセスを提供することが出来る一方、運用の煩雑さや、多くの機能が必要であることも分かりました。
ゼロトラストを実現するにあたって最も重要なのは、まずは自社のセキュリティーポリシーを定め、自社に必要な機能を揃えるということです。しかし、企業ごとにポリシーが異なることや、ソリューションの選択肢も多岐に亘ることから、自社だけで導入を進めるのは非常に困難を伴います。
外部のセキュリティーベンダに相談しながら導入検討することをお勧めします。

当社では、ゼロトラストを構成する、「運用・監視」、「クラウド制御」、「認証」、「ネットワーク」、「端末防御」の各機能のご提供を行っています。特に「運用・監視」については、長年に亘り三菱電機株式会社のセキュリティー運用を手掛けてきたノウハウを基に、当社内に運用監視・ヘルプデスクのオペレーターが常駐するSOCや、セキュリティーアナリスト・エキスパートが駐在するCFC（Cyber Fusion Center）を立ち上げ、お客様に代わってセキュリティーシステムを24時間365日見守っています。ぜひお気軽にご相談ください。