サイバー攻撃は年々多様化・高度化しており、2021年は日本人の約1,620万人がサイバー犯罪の被害に遭い、日本の1年間の被害額はおよそ320億円に上るとアメリカの大手セキュリティ会社・ノートンライフロックが発表している。

ハイブリッドワークの推進やクラウドの利用など、これからのワークスタイルにネットワークは欠かせない。そのため、ネットワークセキュリティの安全性を高めることは喫緊の課題だ。

従来、ネットワークのセキュリティは「境界型防御」が主流だった。オフィスなど組織の内のネットワークと、外のネットワークの境界にファイアウォールを設け、信頼できないアクセスはそこで遮断するというものである。

しかし、IDとパスワードを盗んで外部から組織内ネットワークに侵入したり、ブラウザーなどの脆弱（ぜいじゃく）性を悪用したりして攻撃を仕掛けてくるケースは2000年代から徐々に増えつつあった。こういった攻撃は、ファイアウォールだけで侵入を防ぐことが難しい。また、一度組織内のネットワークに侵入されると、社内のデータやソフトウェアにも簡単にアクセスされてしまう。

これを解決するものとして期待されているのが「ゼロトラストセキュリティ」だ。ゼロトラストというのは、2010年にアメリカのForrester Research社が提唱した考え方で、「たとえ境界内部であっても無条件に信⽤せず、全てにおいて確認し認証・認可を⾏う」というものだ。つまり、外部ネットワークからはもちろん、たとえ組織内ネットワークであっても、ソフトウェアの立ち上げやデータへのアクセス時には本人確認やアクセス権限の確認を必要とする。

米国国立標準技術研究所（NIST）は、『NIST SP800-207』で以下の7点をゼロトラストの基本的な考え方として述べている。

1.全てのデータソースとコンピューティングサービスをリソースとみなす
2.ネットワークの場所に関係なく、全ての通信を保護する
3.企業リソースへのアクセスをセッション単位で付与する
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、そのほかの⾏動属性や環境属性を含めた動的ポリシーにより決定する
5.全ての資産の整合性とセキュリティ動作を監視し、測定する
6.全てのリソースの認証と認可を⾏い、アクセスが許可される前に厳格に実施する
7.資産、ネットワークのインフラストラクチャー、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する

「ゼロトラストモデル」の詳細はこちら！

ゼロトラストの概念が理解できても、実装すると何から始めればいいのか戸惑う企業も少なくない。まずは、ゼロトラストで重視すべき技術要素を押さえておくといいだろう。

認証と認可

ゼロトラストで最重要視される技術が「認証と認可」だ。両者は混同されることもあるため、いま一度しっかり確認をしておこう。

■認証（Authentication）：システム、データ、ソフトウェア、クラウドサービスなどにアクセスする人が誰であるかを確認することを指す。
■認可（Authorization）：そのアクセスを許可することを言う。

本人であることが認証されても、システムやソフトウェアなどで認可しない限り、それを利用することはできない。

ゼロトラストで用いられる認証・認可方式には、シングルサインオンと多要素認証がある。シングルサインオンは、一つのIDでポータル画面などにログインすれば、複数のシステム、ソフトウェアなどにアクセスできるという仕組み。一方で多要素認証は、二つ以上の要素を用いて認証を行う仕組みだ。SMSで認証コードを送信し、それを入力したり、スマートフォンのアプリで認証したりといった方法がある。

認証・認可にはIDaaS（Identity as a Service）サービスを導入することで実現可能。代表的なものに、Microsoft Azure Active Directory、Google Cloud Identity、Okta Identity Cloudなどがある。

ネットワークセキュリティ

ゼロトラストセキュリティを実現するためのセキュリティフレームをSASE（Secure Access Service Edge）と呼ぶ。SASEはGartner社が2019年に提唱。新たなリスクに対応するセキュリティ機能と、インフラネットワークの要素を取り込んだものだ。
「SASE」の詳細はこちら！

SASEを構成するのは、ZTNA（Zero Trust Network Architect）などのリモートアクセス機能や、SD-WAN（Software-Defined WAN）といったソフトウェア定義のWAN、CASB（Cloud Access Security Broker）などクラウドサービスの可視化・統制機能、SWG（Secure Web Gateway）をはじめとする外部への安全な接続を提供するサービスなどだ。

エンドポイントセキュリティ

ユーザーの扱う端末のセキュリティ対策を行うエンドポイントセキュリティ。ゼロトラストセキュリティにおいても、これは重要な対策となる。

アンチウイルスソフトであるEPP（Endpoint Protection Platform）、侵入したマルウェアを検知・拡散防止・除去するEDR（Endpoint Detection and Response）、エンドユーザーの端末やネットワーク上にあるデータを常時監視し、情報漏えいを防ぐDLP（Data Loss Prevention）などの技術がエンドポイントセキュリティにあたる。

ゼロトラストセキュリティは多くのソリューションで構成され、各ソリューションは日進月歩で進化している。必ずしもこれとこれを取り入れればゼロトラストを実装した、とはならないし、ゼロトラストを実現するために導入が必須なソリューションはこれだ、と言い切ることもできない。

必要なのは、顧客の現在の導入システムを確認し、ゴールとしてどこまでのゼロトラストセキュリティを目指すのかというロードマップの作成だ。できるだけ多くのソリューションを組み合わせることで安全性が高くなることは言うまでもないが、お客様の予算によっては理想どおりに進まないこともあるだろう。その場合は、特にセキュリティを高める必要があるポイントを絞り、それに合うソリューションを薦めることも手段の一つである。

ゼロトラストセキュリティの導入は目的ではなく、ネットワークを介したリスクを減らすための手段であることを念頭に置くことも大切だ。