たった1分前に行われた認証すら信用できない、ゼロトラストセキュリティの利点とは：働き方改革時代の「ゼロトラスト」セキュリティ（2）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、新たなセキュリティモデルである「ゼロトラストセキュリティ」の特徴について。

[仲上竜太，株式会社ラック]

　デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。初回となった前回は、デジタル化が進む社会で求められる、データを活用する企業や組織の考え方「デジタルトラスト」と、既存のセキュリティモデルの限界を紹介しました。

　今回は、その解決策といえる新たなセキュリティモデル「ゼロトラストセキュリティ」の特徴を詳しく説明します。

デジタルがもたらした働き方の新たな日常

　新型コロナウイルス感染症（COVID-19）の世界的流行により、この数週間で世間の姿は大きく変わり、人同士の物理的な接触が制限される事態となりました。これまでオフィスワーカーにとって日常であった、満員電車にゆられて出勤し、会議室でテーブルを囲んで議論することも既に懐かしく、今ではPCの画面に映る人たちとの会話が日常風景です。

　ここ数年で急激に進んだ働き方改革と、デジタルツールの進化による多様な働き方の実現は、想定外の危機的状況を迎えて真価を発揮しています。まずは、この未曽有の事態の収束が最優先ですが、事態が収束した後の世界に思いをはせると、これまで予測していた以上にデジタルとフィジカルの価値の融合が進んだ世界が広がっていると想像します。5Gや新たな衛星通信などネットワークの進化も着実に進んでいます。デジタルを通じた人と人との関わり合いが、ますます大きな役割を果たす時代になっていくでしょう。

　デジタルの世界と現実世界の融合が進むとともに、情報セキュリティに対する意識にも変化が起こっています。

デジタル化が進む社会に沿ったセキュリティモデル

　一般的に企業や組織では、ネットワークの「内側」と「外側」を境界によって区別し、「外側から来るサイバー攻撃から、いかに内側を防御するか」というセキュリティモデルが採用されてきました。

　しかし、「ペリメタモデル（境界モデル）」と呼ばれるこの様式では、侵入された後の境界内部での攻撃に対して脆弱（ぜいじゃく）であることが課題となっています。クラウドサービスの浸透や、モバイル回線、VPN経由など従業員のネットワーク環境の多様化が進み、内部へ接続する経路も増大しています。

　「ゼロトラストセキュリティ」は、このようにペリメタモデルが従来抱えていた問題を解決する新たなセキュリティモデルとして注目を集めています。

「信頼しない」が基本のゼロトラストセキュリティ

　ゼロトラストセキュリティは、その名の通りゼロトラスト。つまり「トラストしない＝信頼しない」という考え方のセキュリティモデルです。

　利用者を、IDやパスワードによって本人かどうか認証し、正規のユーザーとして信頼し続ける従来のペリメタモデルとは大きく異なります。ゼロトラストセキュリティにとっては、本人の認証は、あくまでアクセスの安全性を保証する要素の一つでしかなく、たった1分前に行われた認証すら信用できない情報として利用しません。

　認証やネットワークの内側といった、これまでのセキュリティにおいて「安全の土台」としていた環境や状態を信頼せず、データやシステムへのアクセスのたびに常に確認を行うのがゼロトラストセキュリティの大きな特徴です。

「信頼しない」しかし平等な、ゼロトラストセキュリティ

　ゼロトラストセキュリティの大きな特徴である「信頼しない」ですが、一見すると単に認証が強化され、確認回数が増えるだけのように感じられるかもしれません。この「信頼しない」「毎回確認する」がもたらす圧倒的なメリットが、現在進むデジタルによる働き方改革が抱える問題を解決に導くでしょう。強力な確認によって、ネットワークの内側と外側の差をなくすことができます。

　ゼロトラストセキュリティでは、データやサービスに到達するネットワークの内側と外側といった経路上の違いは重要視しません。データやサービスは、インターネット上に設置されたサーバやクラウド形態で提供され、アクセスしてくる利用者を常に監視、確認して許可を行います。

　利用者は、使用する端末（PCやスマートフォン）をインターネットにつなぎさえすれば、システムやデータを使用する際に、自動的にゼロトラストセキュリティの認証サービスによって確認が行われ、データへアクセスできます。データを利用する上でのネットワークの外側と内側の区別が不要になるため、社内ネットワークやVPNなどを使って、これまで「内側」のネットワークにデータをおいて守るという考え方も不要となります。

　現在、テレワークが常態化したため、設計以上の同時接続が発生し、VPN機器の負荷上昇による業務効率が低下したり、組織が管理できない自宅や外出先のネットワークからの接続によるマルウェアの侵入・拡散のリスクが高まったりしています。

　大半の企業や組織が、従来型のペリメタモデルのセキュリティ対策によって保護された「内部ネットワーク」を設定し、その中に従業員以外が触ることのできないデータやシステムを格納しています。

　万が一、VPNを突破して接続してきた利用者が不正ユーザーだったとしても、正しい情報で認証されてしまうと、気が付くことはおよそ不可能でしょう。

　ゼロトラストセキュリティでは、重要なデータは社内にもクラウド上にもあるため、ネットワークを内側や外側で区別せずに、全てのデータが経由するネットワークはインターネットにつながる経路でしかないと考えます。この割り切った考え方は、ゼロトラストセキュリティをいち早く実現したGoogleの経営方針から生まれたコンセプトであるといえます。

Googleが望んだゼロトラストセキュリティ

　ご存じの通りGoogleは、検索エンジンとインターネット広告をコア事業にしながら、YouTubeのような動画配信サービスやAI、ロボット企業など幅広くさまざまなデジタルテクノロジー企業の買収と統合を進めています。企業買収や企業統合を行う際に課題となるのがネットワークシステムの統合です。

　買収先のネットワーク構成を、自分たちの内部ネットワークの仕様に合わせることは、多くの費用と時間を伴います。

　しかし、ゼロトラストセキュリティに基づく考え方であれば、ネットワークはインターネットにさえ接続できていればよいため、内部ネットワークの統合を行うよりもはるかに少ない労力でシステムの統合が実現できます。Googleが実現したゼロトラストセキュリティモデル、ゼロトラストアーキテクチャの取り組みは、「BeyondCorp」として公表されています。

　日本においても、急激に増加したリモートワークや、企業同士のシステム統合といった今後起こり得るネットワーク環境の変化を視野に入れた場合、ゼロトラストセキュリティの採用はますます魅力を放つ存在となりそうです。

次回は、ゼロトラストセキュリティによる安全なアクセスの実現について

　働き方改革やデジタルテクノロジーの進化によって新たに注目を集めるゼロトラストセキュリティ。次回は、ゼロトラストセキュリティによる安全なアクセスの実現について、より詳しく紹介します。

筆者紹介

仲上竜太

株式会社ラック SSS事業統括部次世代デジタルペネトレーション技術開発部 部長

進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラスナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。