「信頼できるものは何もない」という前提に立つゼロトラストモデル。コロナ禍でリモートワークが急速に普及し、従来型のセキュリティー対策の限界が露呈する中で、注目を集めています。本記事では、ゼロトラストの基本的な考え方から、導入のメリット、実装方法まで詳しく解説します。企業のセキュリティー担当者やIT管理者必見の内容です。

ゼロトラストとは、「何も信頼しない」という基本原則に基づいたセキュリティーモデルです。従来の境界型セキュリティーでは、社内ネットワークと外部ネットワークの境界にファイアウォールを設置し、内部は信頼できる環境として扱っていました。

しかし、この考え方には重大な問題点があります。一度境界を突破されると、内部での自由な移動が可能になってしまいます。また、内部からの情報漏えいやマルウェア感染にも対応が困難です。

そこでゼロトラストでは、デバイスの状態、ユーザーの認証状態と権限、アクセス元の場所や時間、アプリケーションの正当性、データの機密性レベルなどを常時検証して、これらの要素を総合的に評価し、アクセスの可否を判断します。

ゼロトラストが注目される背景として、まずクラウドシフトの加速が挙げられます。SaaSの普及によりデータが社外に分散し、従来の境界防御が機能しにくい環境となっています。そのため、クラウドネイティブ（クラウド環境やクラウドの特性を最大限に活用するために、最初からクラウド上での動作を前提として設計・開発されていること）な対策の必要性が高まっています。

さらに、テレワークの普及により、社外からのアクセスが日常的となり、多様なデバイスからの接続が必要になっています。セキュリティーが確保されているリモートワーク環境の実現が求められています。

また、標的型攻撃の増加、内部侵入後の横展開、ランサムウェアの脅威など、サイバー攻撃の高度化などで、新たなセキュリティーリスクへの対応が必要となっています。

「ゼロトラスト」と「ゼロトラストアーキテクチャ」は、密接に関連しながらも異なる概念です。ゼロトラストは、セキュリティーに対する考え方や哲学であり、「何も信頼せず、常に検証する」という基本原則を示します。

一方、ゼロトラストアーキテクチャは、その考え方を実現するための具体的な設計や構造を指します。認証の仕組み、アクセス制御の方法、ネットワークの分割方法など、技術的な実装方法を定義します。

Forrester Researchが提唱する「Zero Trust eXtended (ZTX)」では、データ・セキュリティー、ネットワーク・セキュリティー、ワークロード・セキュリティー、デバイス・セキュリティー、人物（ID）セキュリティー、可視化と分析、自動化とオーケストレーションという7つの要件を定めています。

ネットワーク・セキュリティーは、マイクロセグメンテーションを用いて、ネットワークを細かく分離し、アクセス制御を強化します。ネットワークトラフィックの可視化と監視を行い、異常を検知した場合は自動的に遮断します。さらに、セグメント間の通信を厳密に制御し、すべての通信を暗号化することで、情報の保護を確実なものとします。

デバイス・セキュリティーは、すべてのデバイスを信頼できないものとして扱い、常時監視を行います。デバイスの健全性評価やパッチ適用状況の確認、マルウェア対策の実施状況を継続的に確認します。また、デバイス認証を実施し、エンドポイント保護を徹底することで、不正なアクセスを防止します。

人物（ID）セキュリティーは、企業や組織において、ユーザーのアイデンティティーとアクセス権を安全かつ効率的に管理するための技術とプロセスです。特にサイバーセキュリティーの文脈で、機密情報や資源への不正アクセスを防ぐために重要です。

ワークロード・セキュリティーはアプリケーションとサービスの保護において、コンテナセキュリティーとサーバーレスセキュリティーを実装します。クラウドワークロードの保護とアプリケーション分離を行い、実行環境の安全性を確保します。これにより、アプリケーションレベルでの攻撃を防御します。

データ・セキュリティーはデータの分類と重要度評価を行い、それぞれに適切な保護措置を講じます。保存時と転送時の暗号化を実施し、アクセス制御ポリシーを適用します。さらに、データ漏えい防止策を講じ、データのライフサイクル全体を通じた保護を実現します。

可視化と分析は、リアルタイムモニタリングと行動分析を実施し、脅威インテリジェンスを活用して不正アクセスを検知します。セキュリティー分析を自動化し、インシデント対応の効率化を図ります。これにより、セキュリティー上の問題を早期に発見し、対応することが可能となります。

自動化とオーケストレーションはセキュリティー対応とポリシー適用の自動化を実現し、インシデント対応を効率化します。コンプライアンス確認とセキュリティー更新も自動化することで、人的ミスを減らし、迅速な対応を可能にします。

ゼロトラストにおけるID認証とアクセス制御では、多要素認証を採用することが重要です。パスワードだけでなく、生体認証やワンタイムパスワードを併用し、リスクベースで認証強度を調整します。また、認証状態を継続的に確認することも必要です。

アクセス制御においては、ゼロトラストの考え方に基づき、より厳密な管理が必要となります。

ユーザーに付与される権限は、業務遂行に必要最小限のものに制限されます。この権限は固定的なものではなく、アクセス時の状況や振る舞いに応じて動的に変更されます。たとえば、通常と異なる時間帯や場所からのアクセス、不審な操作パターンが検出された場合には、即座に権限が制限または停止されます。

管理者権限などの特権アクセスについては、さらに厳密な制御が実施されます。権限は必要な期間のみ一時的に付与され、使用後は自動的に失効します。また、特権アクセスの使用時には、操作内容の詳細な記録が自動的に作成され、不正使用の検知や監査の際の証跡として活用されます。

アクセス制御の判断には、ユーザーIDやパスワードだけでなく、デバイスの状態、ネットワーク環境、アクセス元の位置情報、過去の利用パターンなど、多角的な要素が考慮されます。これにより、より柔軟かつ安全なアクセス制御が実現されます。

EndPoint Detection and Response (EDR)は、ゼロトラストの重要な構成要素です。リアルタイムでプロセスの監視、ファイルアクセスの追跡、ネットワーク通信の分析を行います。

また、不審な挙動の検出、自動的な遮断、インシデント調査支援などの機能も提供します。さらに、セキュリティーアップデートの適用、ソフトウェアの管理、コンプライアンスの確保といったパッチ管理も重要な役割です。

ネットワークのセグメンテーションについて、最新のアプローチと実装方法を説明します。

従来の大きなネットワークセグメントを細分化し、アプリケーションやワークロード単位での分離を実現します。これにより、攻撃者が侵入しても横方向への移動を制限し、被害を最小限に抑えることが可能となります。各セグメントは業務要件やリスクレベルに応じて動的に調整され、常に最適な保護状態を維持します。

ネットワークへの接続は、厳密な認証プロセスを経たデバイスのみに許可されます。各セグメント間の通信は詳細な制御ポリシーに基づいて管理され、不要な通信は自動的にブロックされます。さらに、すべてのネットワークトラフィックはリアルタイムで監視され、異常な通信パターンを即座に検知することが可能です。

このような細分化されたセグメント構造により、組織は各業務領域に最適化されたセキュリティーポリシーを適用できます。重要なデータを扱うセグメントには強力な保護措置を実装し、一般的な業務領域には効率性を重視した制御を適用するなど、柔軟な運用が可能となります。

ハイブリッド環境では、統一的なポリシー管理が重要です。クラウドとオンプレミス環境で共通のルールを適用し、一元的な管理コンソールで整合性を確保します。

また、シームレスなアクセス制御も必要です。環境を問わない認証を実現し、統一されたユーザー体験とスムーズな連携を提供します。これにより、ユーザーの利便性を損なうことなく、セキュリティーを確保できます。

すべてのアクセスを検証するゼロトラストの考え方に基づき、EDRによる高度な脅威検知と対応を実施します。データの暗号化、デバイス認証の実装、アプリケーション制御により、エンドポイントの多層防御を実現します。

ウイルス対策ソフトウェアによる既知・未知のマルウェア対策、振る舞い検知による早期発見、被害の局所化を実現します。リモートワイプ機能の導入により、紛失・盗難時の情報漏えいリスクを最小化します。

セキュリティーの確保により、テレワークの際にも場所を問わないアクセス、デバイスの柔軟な選択、生産性の維持が可能になります。VPNによる通信の暗号化、安全な回線の使用、公衆Wi-Fiの利用制限などにより、安全なアクセスを確保します。また、SASE（Secure Access Service Edgeの略で、新しいネットワークセキュリティーモデル）の導入により、社内と同様のセキュリティーレベルを維持します。

BYOD（Bring Your Own Device、従業員が個人所有のデバイスを業務に使用する）への対応では、個人デバイスの安全な利用、セキュリティーポリシーの適用、利便性の確保を実現します。個人デバイスと業務データの分離、MDM（モバイルデバイス管理）による一元管理を実施します。明確なセキュリティーポリシーの策定と、MAM（モバイルアプリケーション管理）によるアプリケーション制御で、安全性と利便性のバランスを確保します。

ゼロトラストモデルでは、包括的なセキュリティー対策を実現します。DLP（Data Loss Prevention）により、機密文書の外部送信ブロックや不正なデータコピーの制限など、情報漏えいを徹底的に防止します。

アクセス制御を一元管理することで、多要素認証の必須化やユーザーの役割に基づいた詳細な権限設定を行い、セキュリティーポリシーを統一的に適用します。

さらに、EMM（エンタープライズモビリティー管理）の導入により、モバイルデバイスの一元管理、業務用アプリケーションの配布制御、社内文書の安全な共有といった包括的な管理を実現します。場所やデバイスを問わない、強固なセキュリティー環境を構築できます。

導入の最初のステップとして、現状評価を行います。資産の把握、リスクの評価、優先順位の決定を行い、導入計画を立てます。

次に、パイロット導入として特定部門での試験運用を行い、効果の検証と課題の洗い出しを進めます。その後、本格展開として段階的な拡大、フィードバックの反映、継続的な改善を実施します。

技術的な課題として、既存システムとの整合性、移行の複雑さ、運用ノウハウの不足が挙げられます。また、組織的な課題として、予算・人材の制約、ユーザーの理解・協力、業務への影響があります。

エンドポイントを保護するには、EDR（Endpoint Detection and Response）を中核に据えた高度な脅威検知と対応を実施します。これにより、マルウェアや不正アクセスなどの脅威をリアルタイムで検出し、迅速な対応が可能となります。また、デバイス認証による厳格なアクセス制御と、アプリケーション制御による情報漏えい防止を組み合わせることで、包括的なエンドポイント保護を実現します。

ネットワークの保護においては、SASEとSDWAN（ (Software-Defined Wide Area Network)の略、広域ネットワークをソフトウェアベースで仮想化・最適化する技術）を活用した最新のセキュリティーアーキテクチャを採用します。SASEはネットワーキングとセキュリティーの機能を統合したクラウドベースのサービスとして提供されます。SDWANはSASEのネットワーキング機能の中核を担い、ソフトウェアによる通信の品質監視とトラフィックの最適化を行います。

これにより、クラウドサービスへの安全なアクセスとネットワークの効率的な管理が可能になります。さらに、マイクロセグメンテーションによってネットワークを論理的に分離し、トラフィックの詳細な制御と監視を行うことで、lateral movementなどの攻撃リスクを最小化します。

クラウド環境を保護するには、CASB（Cloud Access Security Broker、企業のクラウドサービス利用におけるセキュリティーを確保するためのソリューション）を導入してクラウドサービスの利用状況を可視化し、適切なアクセス制御を実施します。

ゼロトラスト関連の製品やサービスを選定する際は、まず自社の課題とニーズを明確にすることが重要です。セキュリティー対策の現状を評価し、優先的に対応すべき領域を特定します。

製品選定では、機能面での要件を満たすことはもちろん、運用管理のしやすさも重要な判断基準となります。管理画面の使いやすさ、設定変更の容易さ、レポート機能の充実度などを確認します。また、他システムとの連携や拡張性も考慮に入れる必要があります。

ベンダーの実績と信頼性の確認も欠かせません。導入実績、特に自社と同じような規模や業種での導入事例を確認します。また、製品のロードマップや開発の継続性、セキュリティーアップデートの提供体制なども重要な評価ポイントです。

サポート体制も慎重に評価すべき要素です。技術サポートの質と量、対応時間帯、日本語でのサポート提供の有無などを確認します。インシデント発生時の緊急対応体制も重要な確認項目となります。

導入支援サービスの活用も検討に値します。多くのベンダーは、初期設定から運用設計まで、包括的な導入支援サービスを提供しています。特に、ゼロトラストへの移行経験が少ない組織では、これらのサービスを活用することで、スムーズな導入と効果的な運用を実現できます。

デジタル化の加速とリモートワークの普及により、従来の境界型セキュリティーでは十分な保護が困難となっています。「信頼できるものは何もない」という前提に立つゼロトラストモデルは、この課題に対する有効な解決策となります。

本稿で解説したように、ゼロトラストの実装には、アイデンティティー万全なセキュリティー体制を構築するのは困難です。

富士フイルムビジネスイノベーションでは、企業のセキュリティー課題に対して包括的なソリューションを提供しています。特に中堅・中小企業向けに、インターネットの出入口やエンドポイントの各端末に対し、多重防御による安全な環境構築をワンストップで支援しています。

IT Expert Servicesなら、IT資産の運用管理をサポートしてくれます。運用状況のレポートにより、常に最新の状況を把握することで、脆弱性に対する対応を強固にし、サイバー攻撃対策の一部を担えます。
また、問い合わせ対応や設定作業の代行も可能です。

ネットワーク対策にはbeatがおすすめです。利点としては、ネットワークセキュリティーをオールインワンで提供し、お客様に代わって稼働状況をリモート監視することで、お客様の管理工数を削減できることがあります。さらにパッチも自動適用されるため、ゲートウェイセキュリティーの脆弱性を狙ったサイバー攻撃からお客様のネットワークを守ります。

今後、AIやクラウドネイティブ技術の進化により、セキュリティー環境はさらに複雑化すると予想されます。ゼロトラストモデルの導入は、もはや選択肢ではなく、デジタル時代における企業の事業継続に不可欠な要素となっています。組織は段階的にゼロトラストを実装し、継続的な改善を行うことで、より強固なセキュリティー体制を構築することができます。