セキュリティの
学び場

今回の解説ニュース

ゼロトラストへの取り組み状況について調査報告書が公開されています。ゼロトラストの内容や、導入するメリットとデメリットについて説明します。

ゼロトラストとは、すべてのアクセスを信頼しない前提で考えられたセキュリティの概念です。特定の製品やサービスの名称ではなく、常にアクセスの信頼性を検証することで、セキュリティを担保します。在宅勤務で信頼できないアクセスが現実となり、ゼロトラストに注目が集まっています。

本調査によると、ゼロトラストの導入や検討を進めている金融機関は少数であったと報告されています。その理由として、金融業界は安定性を優先するため、従来の境界型セキュリティがすでに定着していることが挙げられています。

境界型セキュリティとは、ネットワークを大きく内部と外部に分けて、その境界線にセキュリティ製品を設置することで、内部ネットワークを保護する方法です。内部は安全なネットワークとして信頼されているため、運用がシンプルな反面、一度侵入を許してしまうと被害が甚大になる可能性があります。

しかし、一部の金融機関ではゼロトラストの取り組みが進められており、背景にはリモートワークの推進とクラウドサービスの活用がセットで検討されているようです。つまり、新しい働き方にはゼロトラストの概念が必要とされることが考えられます。

ゼロトラスト・アーキテクチャの定義

NIST SP800-207におけるゼロトラスト・アーキテクチャの定義について説明します。

NISTとは、National Institute of Standards and Technologyの略で、米国国立標準技術研究所と訳されます。SP800シリーズはNISTが発行するコンピュータセキュリティ関係のレポートで、様々な組織にとって有益な文章が公開されています。

まず、NIST SP800-207におけるゼロトラストの定義は「ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセスを判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと」とされています。また、ゼロトラスト・アーキテクチャの定義は「ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシー等を含むサイバーセキュリティ計画のこと」とされています。

少し難しいので要約すると、NIST SP800-207では「すべてのアクセスを信頼しないというゼロトラストの概念に基づき、セキュリティ対策を計画すること」をゼロトラスト・アーキテクチャとして定義していると言っても語弊はないかもしれません。

ゼロトラストのメリット・デメリット

ゼロトラストのメリットは多様な働き方に対する柔軟性、デメリットは導入と運用にかかるコストです。メリットとデメリットのそれぞれについて説明します。

現在のコロナ禍や今後の多様な働き方において、従来の境界型セキュリティではユーザの利便性が損なわれたり、十分なセキュリティの確保が困難になる可能性があります。具体的には、VPNルータにアクセスが集中してネットワークが遅くなったり、クラウドサービスの利用において境界型セキュリティの内部に情報資産を集約できなかったりします。ゼロトラストのメリットとして、エンドポイントでセキュリティを担保しますので、ネットワークの接続状況に依存せず、リモートワークの環境のいても一定のセキュリティを確保することが可能です。

ただし、ゼロトラストと境界型セキュリティでは、初期導入にかかるコストはもちろん、運用にかかる工数も大きく異なります。具体的には、ゼロトラストではID管理がセキュリティのインフラとなりますので、今までパソコンをワークグループのみで管理していた小規模な組織にとっては、運用コストが増加する可能性があります。ゼロトラストのデメリットとして、少なからず境界型セキュリティからは運用を見直す必要がありますので、導入を検討する場合は運用とセットで考えることが求められます。

記事でも触れられている通り、ゼロトラストはまだ発展途上ですので、これらのメリットとデメリットを比較した上で、導入を検討していただければ幸いです。