覚えておきたい情報セキュリティ&ネットワークのキホン（第22回）ゼロトラストとは？VPNとの違いや導入のポイントについて解説

　ゼロトラストが浸透してきた背景は、主に4つあります。

　1つ目は、クラウドサービスの普及です。従来の考え方では「信用できた」社内ネットワークだけでは情報資産を保管することが難しくなっており、クラウドサービスを利用するケースが増えています。これは、社内の情報資産が外部と連携することを意味します。

　2つ目は、テレワーク・リモートワークなど業務スタイルの変化です。家庭のWi-Fiや公衆無線LANなどを介してインターネットにアクセスしたり、企業の情報管理者の目の届かないところでパソコンやスマートフォンを使ったりと、以前ほど企業が主体的にリスクコントロールできる環境ではなくなっています。

　3つ目は、サイバー攻撃の増加、巧妙化です。企業や関係者を装った電子メールをきっかけに感染する「Emotet」と呼ばれるファイルレスマルウエアの問題は深刻化しています。また、パソコン内のファイルを不正に暗号化して身代金を要求するランサムウエアの被害もたびたびニュースになっています。現在も多種多様なマルウエアが生まれ、既存のマルウエア対策では防御が難しくなりつつあります。

　4つ目は、内部からの情報漏えいの増加です。内部不正だけでなく、デバイスやUSBメモリの紛失、信頼性の低いWebサイトの閲覧、機密情報の誤送付、OSのアップデートを怠った脆弱な状態での使用、退職者が扱っていた情報の放置など、情報漏えいにつながる行為は数え切れません。

　このような背景を踏まえると、今は、社内ネットワークと外部ネットワークの境界において、情報セキュリティ対策を行うことに限界があることを感じていただけるでしょう。

ゼロトラストとVPNとの違い

　昨今の情報セキュリティ対策の1つに、VPN（Virtual Private Network）接続があります。これは、インターネット回線や通信事業者の回線網といったIP（Internet Protocol）ベースのネットワークに仮想の専用線を設定し、特定の人や組織のみが利用できるようにしたものです。データの送信者と受信者の間に仮想的なトンネルをつくる「トンネリング」や、やり取りするデータに不正ができないようにする「暗号化」、そして送信者と受信者の「承認」を設定して情報セキュリティの強度を高めます。

　社外にいる状態でパソコンやスマートフォンなどからもアクセスできるところから、テレワーク・リモートワークにも適した情報セキュリティ対策ではあるものの、VPN接続は外部からのアクセスによって社内ネットワークに侵入されないようにする境界型セキュリティです。万が一にも社内ネットワークに侵入を許してしまうと、その後は無防備で被害が拡大してしまう恐れがあります。

　このように、ゼロトラストとVPNでは、考え方や脆弱性に大きな違いがあるのです。

ゼロトラストとVPNの考え方の違い

　次に、ゼロトラストとVPNの考え方の違いについて細かく見ていきましょう。「守るべき情報」「情報に関する脅威」については、ゼロトラストの場合は「社内ネットワークと外部ネットワークの両方にある」と考えます。一方のVPNについては、「社内ネットワークにある」とします。ユーザーの利用場所についての想定、アクセス制限についての考え方も、「守るべき情報」や「脅威」に関する考え方にのっとって、下記の表のように異なります。

ゼロトラストネットワークの仕組み

　ここからは、より詳しくゼロトラストネットワークの特徴を紹介します。ゼロトラストネットワークの特徴の1つが、アクセス認証です。通常のアクセス認証は、いくつかのチェック項目をクリアして安全と認められたユーザーに対して、操作や処理が許可されます。しかし、ゼロトラストネットワークにおいては、次のような観点で情報セキュリティレベルをチェックします。

・インストールされている情報セキュリティ対策ツールが最新かどうか
・社内で登録されている端末であるかどうか
・マルウエアに感染していないか
・外部に漏えいしているIDを使用していないか

　ゼロトラストネットワークでは、このようにネットワークを分割し、各ネットワークの境界において情報セキュリティ対策を施し、脅威への対策を講じます。

　この他、IDやパスワード以外に、指紋などの情報を登録しておき生体認証も取り入れながら多要素認証を行ったり、ユーザーがアプリケーションやサービスにアクセスするたびに、該当するユーザー（ID）およびデバイスに対する認証を実施してアクセス権限があるか否かを検証したりするなど、認証をより厳重にする方法を取り入れることもあります。

ゼロトラストのメリット

情報セキュリティの向上
　ゼロトラストの一番のメリットは、社外だけではなく社内のアクセスを制限することで、データの流出や情報漏えいのリスクを低減して、情報資産が守れることです。また、すべてのアクセスを管理することで、万が一、情報漏えいなどのインシデントが起きた場合には、原因特定をしやすくなり被害をできるだけ抑えることができます。

社内ネットワークに直接アクセスできる
　すべてのアクセスに対して認証を行って可否を判断するため、事前に社内のサーバーにVPN接続してから情報をやりとりする必要がありません。社外にいても、パソコンやスマートフォンなどから直接、社内ネットワークにアクセスできるため、テレワーク・リモートワークにも向いています。

ゼロトラストのデメリット

ゼロトラストを実現するめのセキュリティ対策に費用がかかる
　導入の際には、既存の情報セキュリティ対策を見直す必要があるため、検討～導入までに時間がかかります。また、ゼロトラストの導入や運用にあたっては費用もかかります。自社にとって本当に必要か、費用対効果はどのくらいになるのかを考えなければなりません。

生産性に影響が出てくる可能性あり
　ゼロトラストは「すべてのアクセスを信用しない」という概念のため、すべての作業にゼロトラストを導入すると、毎回認証作業が必要となり、生産性に影響が出る可能性があります。また、すべてのアクセスをリアルタイムで監視するなど、情報管理者の負担が大きくなり、人的リソースを割かなければいけないケースもあるので、導入には見極めが必要です。

ゼロトラストの導入のポイント

　前述のように、ゼロトラストを実現するためには費用や情報管理者の労力がかかったり、業務の生産性においてマイナスが発生する恐れがあったりとデメリットもあるため、慌てて社内の情報セキュリティを変更すると悪影響が出る可能性があります。

　ゼロトラストは、あくまで情報セキュリティの設計指針です。ゼロトラストの導入にあたっては、自社の働き方、業務内容、さらには、将来的に社内外問わずIT環境をどのように守っていくかなどについて検討する必要があります。また、現在、VPN接続などを採用している場合は、従来の情報セキュリティ対策とどのように併用していくのかも考えましょう。

まとめ

　サイバー攻撃が巧妙化し情報ネットワークの脅威が収まらない中、テレワーク・リモートワークが浸透し、これまでのように「業務は社内で行う」という考えが変化しはじめています。そして、クラウドサービスなど、外部での情報管理も進化を続けています。社内と外部の境界線で情報セキュリティ対策を行うだけでは万全と言えなくなりつつある今、ゼロトラストの考え方をベースに次世代の情報セキュリティ対策を考えてみましょう。

※掲載している情報は、記事執筆時点のものです