従来のセキュリティ対策というと、社内ネットワークと外部ネットワークとの境界に、ファイアウォールやIPS（Intrusion Prevention System：不正侵入防止システム）などを設置する「境界型セキュリティ」が主流だった。

境界型セキュリティは外部からのサイバー攻撃には効果があるものの、一度でも悪意のある者が社内ネットワークに侵入すると、自由自在に社内ネットワークにアクセスできるようになってしまう。

近年のサイバー攻撃は高度化・複雑化が進み、境界型セキュリティでは社内のデータを守り切ることに限界が来ている。そんな状況でアメリカの市場調査会社であるフォレスター・リサーチ社のアナリストが新しいセキュリティの概念として提唱したのが「ゼロトラスト」である。

ゼロトラストはその言葉のとおり、「何も信用しない」ことを前提にしてシステムを設計する考え方だ。あくまでもセキュリティ対策を構築するに当たっての考え方であって、具体的な技術を指すものではない。

誰がどこからネットワークにアクセスしたとしても、疑わしき人物として本人確認を行い、信頼できると判断された場合のみアクセスを許可する。「ゼロトラストに取り組む」と決めても、実装の方法は業界や企業のセキュリティ課題によって多種多様なものになる。

ゼロトラストの実装方法が定まっていないとはいえ、提唱されている構成要素は存在する。NIST（National Institute of Standards and Technology：米国国立標準技術研究所）が提唱している、ゼロトラストのアクセス制御システムの論理構成を以下で紹介しよう。

この論理構成を踏まえて、ゼロトラストでは、「認証・認可」、「クラウド利用」、「デバイスセキュリティ」、「ログ管理」にポイントを置いてセキュリティシステムの構成を考える。中でも代表的なソリューションには以下のようなものがある。

ゼロトラストを実現するには、いくつかのソリューションを組み合わせてセキュリティシステムを構築することになる。上記で挙げたシステムに該当する製品の一部を紹介する。

EDR（Endpoint Detection and Response）

EDR（Endpoint Detection and Response）は、エンドポイントの脅威を検知し、リアルタイムで対応するセキュリティソリューションである。異常な挙動を分析し、迅速なインシデント対応を可能にすることで、企業のセキュリティ強化に貢献する。

代表的な製品として『SKYSEA Client View』が挙げられる。エンドポイントセキュリティでサイバー攻撃の対策を行う同製品は、社内ポリシーに沿って、不適切な操作を制限し、日々のPCの挙動をログとして管理することで、情報漏えいリスクの早期発見が可能である。その他にもサブ機能として、テレワークの労働時間、業務状況の可視化も支援する。

関連記事：新時代の働き方にも対応できる エンドポイントセキュリティ対策

IDaaS（Identity as a Service）

クラウド上の複数のアプリ、サービスに登録されているIDやパスワードなどの認証情報を一元管理できるソリューションの総称である。シングルサインオン（SSO）や多要素認証（MFA）を活用し、安全かつ効率的なアクセス管理を実現し、不正アクセスや情報漏えいのリスクを低減する。

代表的な製品として『StartIn』が挙げられる。ワンタイムパスワード認証、生体認証に加え、独自の認証方式を搭載する。ログイン状況やアカウントロック数、認証成功数・失敗数を表示し、利用状況を可視化する。

関連記事：デジタルアーツStartIn
関連記事：多要素認証（MFA）で強化できるセキュリティ

その他

その他にID管理に適した『Microsoft Entra』もおすすめだ。同製品はID管理とネットワークアクセスの製品群であり、ゼロトラストに基づいたセキュリティ構築を支援する。

ゼロトラストの導入は、単なる技術の選定ではなく、企業全体のセキュリティ意識と運用の変革を伴うものである。従来の境界型セキュリティでは防ぎ切れない近年の高度化したサイバー攻撃に対応するためにも、「何も信用しない」という前提に基づいた対策が求められる。

本記事で紹介した各種ソリューションを参考に、既に利用しているシステムとの相性なども考えて効果的なセキュリティを導入していきたい。