MENU
  • サービス
  • 導入事例
  • 会社概要
  • ニュース
  • 資料請求
  • メールマガジン
    • アーカイブ
  • リクルート
  • お問い合わせ
  • お役立ちサイト
  • note
株式会社 レイ・イージス ・ジャパン
  • サービス
  • 導入事例
  • 会社概要
  • ニュース
  • 資料請求
  • メールマガジン
    • アーカイブ
  • リクルート
  • お問い合わせ
  • お役立ちサイト
  • note
  • サービス
  • 導入事例
  • 会社概要
  • ニュース
  • 資料請求
  • メールマガジン
  • リクルート
  • お問い合わせ
  • お役立ちサイト
  • note
株式会社 レイ・イージス ・ジャパン
  • サービス
  • 導入事例
  • 会社概要
  • ニュース
  • 資料請求
  • メールマガジン
    • アーカイブ
  • リクルート
  • お問い合わせ
  • お役立ちサイト
  • note
  1. ホーム
  2. ブログ
  3. アーカイブ(メルマガ)
  4. 第七回 ゼロトラストとは?

第七回 ゼロトラストとは?

2025 4/18
CASB EDR IDaaS NIST SASE VPN セキュリティ対策 ゼロトラスト ゼロトラストセキュリティ 境界型セキュリティ

概念、歴史、実現ソリューション、導入の注意点まで徹底解説

1.はじめに:ゼロトラストとは

今回はゼロトラストについて少し書いてみることにしました。

ゼロトラストは「決して信用せず、常に確認せよ」というコンセプトとともに最近セキュリティ業界ではよく聞かれるようになりました。政府機関であるデジタル庁、金融庁、IPAなどもゼロトラストについてのガイドラインなどを発表していますので、自分自身の頭の整理を兼ねて、今回はゼロトラストについて少し書いてみようと思います。

<< 参考 >>
・ゼロトラストアーキテクチャ 適用方針(デジタル庁)
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630_resources_standard_guidelines_guidelines_04.pdf

・ゼロトラスト移行のすゝめ「1.2 ゼロトラスト構成への移行に関する実態調査から見えること」(IPA)
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002ko3-att/000099778.pdf

・「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について(金融庁)
https://www.fsa.go.jp/common/about/research/20210630.html

リモートワークやクラウドの利用などがコロナ禍、DXの推進などもあって定着してきたようですが、従来型のセキュリティ(境界防御型)については以下のような問題が指摘されています。
・個人端末の利用などによる内部からのリスクには対応できていない
・社内外の境界が曖昧になり、モバイルデバイスやクラウドサービスの利用が増える中で、内部・外部の境界があいまいになってきている
・サイバー攻撃の高度化や頻度の増加、特にセキュリティ対策が不十分なVPNの使用

それらを解決するものとしてゼロトラストセキュリティやゼロトラストアーキテクチャという言葉がとりざたされるようになってきたと理解していますが、ゼロトラストとは、相互接続されるネットワーク、クラウドサービス、リモート環境、モバイル端末、IoTなどにあるIT機器を単純に信用せずに常に検証して接続してゆこうという考え方ですね。

従来は企業内のネットワークとそれにVPN経由で接続される機器は信用するという考え方でしたが、ゼロトラストという考え方では、場所に関係なくデバイスのIDと整合性の確認を含む相互認証を行い、これとユーザー認証を組み合わせることによってはじめて、アプリケーションとサービスへのアクセスを承認するという考え方になっています。つまり、ゼロトラストとは、社内からの通信、いつも使っているデバイスからのであっても暗黙に信頼せず、常にアクセスの信頼性を検証することで企業の情報資産や IT 資産を保護するというセキュリティの考え方であるということができます。

2.ゼロトラストの歴史

前回はゼロトラストという考え方について書きました。

今回はゼロトラストの歴史から書いてみます。

少し歴史をおさらいしてみると、「ゼロトラスト」という言葉は、1994年4月にStephen Paul Marshが、英国のUniversity of Stirling大学に提出したコンピュータセキュリティに関する博士論文で使われた造語でした。その後、組織の持つネットワークの境界での静的な防御には限界があるとの考えが2003~2004年頃に示され、ネットワークの境界線をなくすという非境界化の考えが現れ、2009年には、GoogleがBeyond Corpと呼ばれる、今でいうゼロトラストアーキテクチャを導入したと言われています。ゼロトラストモデルという言葉は、2010年にForrester ResearchのアナリストであるJohn Kindervagにより唱えられ、以降、クラウドサービスの利用拡大やリモートワークの普及によって、このような考え方を取り入れたセキュリティモデルへの関心が高まり、ゼロトラストという言葉が広く使用されるようになってきました。用語や概念の統一については、2020 年 8 月に米国国立標準技術研究所(NIST)が、『Zero Trust Architecture(NIST SP800-207)』を発行して標準化に向けて前に進み始め、現在に至るといったところですね。

このSP 800-207「Zero Trust Architecture」において、ゼロトラストは「ネットワークが危険にさらされていると見なされる状況で、情報システムやサービスにおいて正確なかつ最小特権リクエスト毎のアクセスを許可する際の不確実性を減らすために設計された概念とアイデアの集合体」として定義されていますが、原則としては次のようなものが含まれています。

  1. すべてのデータソースとコンピューティングサービスをリソースとみなす
  2. ネットワークの場所に関係なく、すべての通信を保護する
  3. 企業リソースへのアクセスをセッション単位で付与する
  4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシーにより決定する
  5. すべての資産の整合性とセキュリティ動作を監視し、測定する
  6. すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
  7. 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する

3.ゼロトラストの原則と実現ソリューション

いままでゼロトラストの概念的な話をしてきましたが、ゼロトラストを実現するためのソリューションとして、以下のような要素を持った様々なツールやサービスなどが生まれ、使われるようになってきたことは皆様ご存知の通りと思います。

  • デバイス認証や多要素認証などによるアカウント管理
  • 不審な通信を検知・遮断するネットワークセキュリティ
  • デバイスやプログラムなどを監視し、不審な挙動があれば停止・隔離するエンドポイントセキュリティ
  • アプリケーションやデータを監視し、不審な挙動があれば停止・隔離するアプリケーション保護
  • 上記各項目のログの分析および可視化・自動化
  • アクセス制御の強化: ユーザーやデバイスが適切な権限を持っていることを確認し、不正なアクセスを防ぐ
  • データの保護: 重要なデータを特定し、適切な保護策を適用する

ベンダーやサービス提供会社の立場によって、色々なものがゼロトラストの名のもとに紹介されていますが、よく聞くものとしてはIDaaS(ID as a Service)、SASE(Secure Access Service Edge)、CASB(Cloud Access Security Broker)、SOAR(Security Orchestration, Automation and Response)、IAM(Identity and Access Management)、SIEM(Security Information and Event Management)、EDR(Endpoint Detection and Response)、DLP(Data Loss Prevention)など色々ありますが、これらをうまく組み合わせることでゼロトラスト型のネットワークを構築しましょうというのが総論的な話になります。

また、ゼロトラストでは、強固なセキュリティ、アクセスの自由度、容易な設定といったところでメリットがあると言われますが、実現に向けては全体のデザインに時間をかけ、上に並べたようなソリューションを思い付きで導入するのではなく、じっくりと全体イメージを描いたうえで計画的に導入する必要があります。また、メリットだけではなく、導入・運用に手間とコストがかかる、担当者の負担が増えがち、エンドユーザの利便性を損ねるといった可能性にも配慮する必要があります。

4.ゼロトラスト導入における注意点とレイ・イージス・ジャパンの提案

さて、ゼロトラストの続きです。これらがレイ・イージス・ジャパンにとってどんな意味があるかということになりますが、境界型セキュリティの代表格であるVPNについては、使い方によってはゼロトラストを構成する要素にもなりうるとは思いますが、最近のセキュリティ事故の多くがVPNの設定不備やメンテナンスの放置(バージョンアップもしていないなど)に起因するものが多いことは皆様もご存知の通りですね。IPAから出されている情報セキュリティ白書2024によると、2023年度のランサムウェアの侵入経路として63.5%がVPN経由であったという報告もあります。

VPNをやめて一足飛びに新しい仕組みを導入しようという方にとってはどうでもよいことになるかもしれませんが、弊社ではこのVPNを危険な状態のままにしておくことに危惧を感じております。当面VPNを使用される方は、最低でもプラットフォーム診断、念入りにいくのであればペネトレーションテストなどを行って脆弱性を極力なくすことに努めていただきたいと考えています。弊社ではVPNに対しては、プラットフォーム診断と本格的なペネトレーションテストの中間的な、コストパフォーマンスの良いファストペネトレーションテストを用意していますので、ご検討いただければと考えています。

また、ゼロトラストに移行するからと言って、社内で使っている(クラウド上に構築したものを含めて)システムの脆弱性に目をつぶってよいということはありません。特に外部に公開されていないシステムについては、弊社の経験では公開されているシステムと比較して10倍以上の脆弱性が発見されることがよくあります。ゼロトラストの構築と同時に、これらの内部システムの脆弱性についてもきちんと調査を行い、安全性の高いシステムにしておかないと何をやっているか分からないことになってしまいますので、こちらもお忘れないようにお願いします。

さらに、ゼロトラストを構成するソリューションにも含まれるSOCサービスやEDRなども取り扱っておりますので、ご興味のある方は是非お問い合わせいただけますようお願いいたします。

最後に少しだけ宣伝させていただいたところで、今回のお役立ち情報はここまでとさせていただきます。また何か面白い話が思いつきましたら改めてご案内させていただきます。

今回は長文になってしまいましたが、ここまでお付き合いいただきましてありがとうございました。

以上

SOCを見てみる
EDRを見てみる
ブログ アーカイブ(メルマガ)
CASB EDR IDaaS NIST SASE VPN セキュリティ対策 ゼロトラスト ゼロトラストセキュリティ 境界型セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

メルマガ申し込み
お問合せフォーム
資料請求

キーワード検索(サイト内)

関連記事

  • 第六回 ASM(アタックサーフェスマネジメント)とは?
  • 第五回 APIセキュリティの重要性と対策とは
  • 第四回 SOCサービスの進化と理想形 – 現場からの考察(全5回)
  • 第三回 最近のサイバーセキュリティインシデント:医療から教育までの教訓(全4回)
  • 第二回 現代のサイバー脅威とその対策:ランサムウェアとマルウェアの理解(全5回)
  • 第一回 Webセキュリティ診断・対策 完全ガイド(全5回)

メルマガ申し込み
お問合せフォーム
資料請求
  • 個人情報保護方針
  • 情報セキュリティ方針
  • リクルート
  • 会社情報

© 株式会社 レイ・イージス ・ジャパン

  • メニュー
  • 個人情報保護方針
  • 情報セキュリティ方針
  • リクルート
  • 会社情報