従来のセキュリティの場合、「外部ネットワークは信用できないが、社内ネットワークは安全」という考え方に基づいて対策が講じられていました。
一方ゼロトラストの場合、社内ネットワークも安全な場所とは捉えません。

たとえば境界型セキュリティでは、一度認証した利用者や検査したパケットを信頼していたため、セキュリティ製品の監視をかいくぐる攻撃を受けることがありました。

ゼロトラストセキュリティにおいては、「アクセス元の端末にはアクセス許可があるか」「ユーザーはアクセスを許可された者か」などを検証し、情報資産やサーバーなどに対するすべてのアクセスに対して、信用評価や確認を行うのです。

昨今ゼロトラストセキュリティが注目を浴びている背景には、おもに次のような環境の変化があります。

• リモートワークの増加

  2018年に働き方改革関連法案が成立し、出社が難しい人でも仕事と家庭の両立ができるリモートワークに注目が集まりました。その後、新型コロナウイルス感染防止対策の一環として、出勤による人流抑制のためにさらにリモートワークの普及が進みました。

  リモートワーク下では、社外から社内ネットワークへの接続が常態化します。社外と社内の境界が曖昧になり、従来の境界線型セキュリティ対策では通用しなくなりつつあることから、境界に捉われないゼロトラストセキュリティへの関心が高まりつつあるのです。

• 企業におけるクラウドサービス活用の増加

  これまで社内で保持していた情報をクラウドに集約するなど、企業におけるクラウドサービスを活用する機会が増えてきていることも、ゼロトラストが求められる一因です。

  総務省「通信利用動向調査」によると、2020年において、企業の7割近くが何らかのクラウドサービスを利用しているとされています。

  また、クラウドサービス利用の効果について「非常に効果があった」「ある程度効果があった」と回答した企業は合わせて9割近くとなっており、今後もクラウドサービスの利用は増加傾向となることが予想されます。

  ただし、許可していないクラウドに業務用のパソコンでアクセスするなどの行為は、データを盗まれたり改ざんされたりするリスクにつながりかねません。また、リモートワークに限らず、社内からクラウドにアクセスするときも、セキュリティ対策は必須です。
  クラウドサービスの利点を生かしつつ安全に利用するためにも、セキュリティ対策とセットでクラウドサービスを活用する必要があります。

  ※ 参考：令和2年通信利用動向調査｜総務省

• シャドーITや内部不正による情報漏洩などの脅威

  IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2021」では、「内部不正による情報漏洩」が組織において注意すべき脅威の第6位とされています。
  社内外からのアクセスによるマルウェア感染だけでなく、内部不正による情報の持ち出しにも注意しなければなりません。

  しかし、通信内容を暗号化したVPN（Virtual Private Network）などの境界型セキュリティを使っていても、内部不正の場合は対応が困難です。また、企業やシステム管理部門の把握や管理がない状態で社員が独自に外部サービスやデバイスなどを利用する「シャドーIT」も、脅威につながる可能性があります。

  境界型セキュリティやシャドーITは不正アクセスや情報漏洩を引き起こすこともあるため、ゼロトラストでそれらの脅威に備える必要があるのです。

  ※ 参考：情報セキュリティ10大脅威 2021｜IPA 独立行政法人 情報処理推進機構

ゼロトラストセキュリティのソリューションには、EDR（Endpoint Detection and Response）やEPP（Endpoint Protection Platform）などのエンドポイントセキュリティがあり、リモートワークにおける個人所有のPCやモバイル端末などのエンドポイントを監視・保護したり、マルウェアを検知して駆除したりすることが可能です。

EDRは、「いかに早く侵入を検知して対応し、復旧させるか」に重点を置いているソリューションで、エンドポイントのさまざまなログを取得、保存して不審な挙動を感知し、対応をサポートします。

一方、EPPはマルウェアによる攻撃を検知し、分析や調査、修復をサポートするソリューションです。マルウェアからの攻撃を水際で防ぐことを目的としており、EDRと組み合わせて利用されるケースが多くなっています。

SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）などのセキュリティソリューションにより、クラウドサービスなどのログを収集したり、脅威に対する初動対応を自動化したりできます。

SIEMとは、さまざまなデバイス・サービスからセキュリティベントまでリアルタイムに監視、分析する仕組みのことで、SOARは、セキュリティの運用を自動化したり効率化したりする仕組みのことです。

SIEMで得た情報をSOARと連携させることで、インシデント発生時のトリアージや、1次対処などを自動化・効率化できます。

また、セキュリティ運用・監視業務にかかる負荷が軽減できるため、セキュリティ対策における人材不足などの課題解決にも寄与します。

ネットワークを監視して不審な通信を検知したり、不審な通信をするデバイスからの通信を遮断したりする施策です。ネットワークセキュリティでは、前述のSWGのほか、SDP（Software Defined Perimeter）による対策も有効です。

SDPとは、ソフトウェア上に新たな境界を作り、コントローラーが中心となって制御・管理を行う仕組みです。データ通信を行う接続チャネルは、通信が終わった時点で消滅し、新たな接続要求が発生するまで再開しないため、物理的な境界では防ぎきれない脅威からの防御ができます。

これらの対策により、エンドポイントからインターネットへアクセスする際のセキュリティを強化できます。

企業ネットワークに接続しているデバイスを監視し、マルウェア検知や不審な動作の阻止を行います。
また、インシデント発生時にはプロセスを隔離し、侵入したマルウェアの拡散などを防ぎます。施策としては、先述のEDRやEPPなどがあります。

インターネットを経由しないマルウェア感染は、ネットワークの入り口の防御だけでは対処できません。そのため、ネットワーク上のセキュリティだけでなく、エンドポイントを守ることが重要です。

アプリケーションやデータに不審なアクセスがあった場合、それらの検知が必要です。また、不審な通信があった場合は、アプリケーションやデータを隔離しなければいけません。
これらの対策は、CWPP（Cloud Workload Protection Platform）やDLP（Data Loss Prevention）を使って行います。

CWPPとは、クラウドサービスにおけるワークロード（サーバーや稼働中のソフトウェアなど）を保護するソリューションです。またDLPは、ポリシーに違反した動作があった場合、ファイルのアップロード・ダウンロードを禁止するなどして、情報漏洩を防止する施策を指します。

先述のSIEMやSOARのように、各種ログの監視と分析によってリスクを可視化したり、インシデント対応を極力自動化したりする施策もあります。

業務システムやクラウドサービス・Webサイトへのアクセスを24時間365日体制で監視し、自動的に制御することで、よりセキュアな環境の実現が可能となるでしょう。