「ゼロトラスト」とはそもそも一体何か?

「ゼロトラスト」という言葉を聞いたことがあるでしょうか? セキュリティ界隈においてここ数年取り沙汰されることが多くなったキーワードで、そのままの意に取れば「何も信頼しない」という意味になります。では「何も信頼しない」セキュリティとは、一体どういうことなのでしょうか? そもそも、ここで言う「信頼する」とは、一体何を指しているのでしょうか?

ゼロトラストの「トラスト」、つまり「信頼」とは、簡単に言うと「この環境は安全だから、セキュリティ対策を緩くしても大丈夫」、すなわち「特定の環境をセキュリティ上の観点から“信頼”している」という意味です。企業の社内ネットワークと外部のインターネットの間には、ファイアウォールをはじめさまざまなセキュリティツールが設置されており、サイバー攻撃の脅威から社内環境を守っています。そのためユーザーの立場から見ると、「社内ネットワークに接続する限りは、PCのセキュリティ対策をガチガチに固める必要はない」と考えることができます(もちろん「100%安全」ということはあり得ませんが……)。逆にいえば、会社の外のネットワーク、つまりインターネットは「信頼していない環境」だと表現できます。

これまでのセキュリティモデルは、このように「信頼できる内部ネットワーク」と「信頼できないインターネット」という2つの相対する環境を想定し、その間の防御壁をいかに堅牢に築き上げるかという点に重きを置いてきました。しかし近年、こうした古典的なセキュリティモデルが通用しないケースが増えてきました。その最大の要因が、「クラウドの普及」です。

Office 365やSalesforce.com、サイボウズなど、今やビジネスの現場でクラウド型の業務アプリケーションを使うことはすっかり当たり前になりました。また近年では、企業の基幹システムをクラウド環境上に構築する企業も増えてきました。この場合、ユーザーはシステムを利用するために社内ネットワークからいったん出て、外部のクラウドサービスに接続することになります。つまり、信頼する内部ネットワーク内で閉じていたシステム利用の形態が崩れ、信頼しない外部ネットワークをまたぐ格好になってきたわけです。

加えて、最近は働き方改革のトレンドもあり、ユーザーが社外の環境で仕事をする機会が増えてきました。例えば自宅やカフェなどから、ノートPCやスマートフォンを使ってクラウドサービスに直接接続して業務を行うようなケースでは、社内ネットワークには一切アクセスしません。こうなると、これまでの「信頼するネットワーク」と「信頼しないインターネット」の間に防御壁を構築する方法が、一切通用しなくなってしまうわけです。

エンドポイントセキュリティ対策の強化が何より大切

では、こうした新たなICTの利用形態が一般的になってきた今日において、真に有効なセキュリティモデルとは一体どのようなものなのでしょうか? ここで提唱されるようになったのが、「ゼロトラスト」モデルなのです。

ゼロトラストモデルの考え方では、「信頼できる安全なネットワーク」という概念はありません。端末から一歩ネットワークへ出たとたん、そこは既に「信頼できないネットワーク」だと見なさなければなりません。そこで必要とされるのが、端末上のセキュリティ対策の強化です。これまでのように、「アンチウイルスソフトさえ入れておけば大丈夫」といった程度のセキュリティ意識のまま、端末を社外ネットワークに接続してしまうと、深刻なセキュリティリスクを抱え込むことになります。

これまでファイアウォールやIDS/IPS、サンドボックス型製品など、社内ネットワークに設置されていたさまざまなセキュリティ製品でふるいに掛けられていた脅威が、すべて端末に直接降ってくることになります。こうした大量の脅威は、アンチウイルスソフト程度の対策では到底防げるものではありません。特に未知の脅威に関しては、アンチウイルスソフトでは検知が期待できないため、「感染し放題」になってしまいます。

そこでゼロトラストのセキュリティモデルでは、何よりPCやサーバーといったエンドポイント端末のセキュリティ対策が重要になってきます。ここで真っ先に検討したいのが、EDR(Endpoint Detection and Response)製品の導入です。EDRは、ファイルのパターンマッチングでマルウェアを検知する従来のアンチウイルスソフトのやり方とは異なり、エンドポイント上の振る舞いを分析し、その内容から不審な挙動を検知するというものです。そのため、たとえ未知の脅威であっても高い精度で検知できる上、万が一感染を検知した後の対応作業を支援するための機能もさまざま備えています。

実際には、まずはアンチウイルスソフトで既知の脅威をブロックし、そこをすり抜けてくる未知の脅威をEDRで検知・除去するという「2段階方式」で、エンドポイントのセキュリティ対策を構成するのがお勧めです。今後、業務システムのクラウド化がさらに進展し、東京オリンピック・パラリンピックやパンデミック対策のためにリモートワークのニーズが増えるにつれ、ゼロトラストモデルへの対応を迫られる企業が増えてくることでしょう。そうした事態に備える上でも、本稿で述べたエンドポイントセキュリティ対策の重要性とEDRの有効性について、ぜひ頭の片隅に留めておくことをお勧めします。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット