ゼロトラストとは?わかりやすい解説とおすすめ製品・書籍

ゼロトラストとは?わかりやすい解説とおすすめ製品・書籍

印刷用ページ

巧妙化するサイバー攻撃に対する対策の中で近年注目集めているのが「ゼロトラストセキュリティ」です。金融庁からゼロトラストセキュリティに関する調査報告書が公表されるなど金融業界においても注目を集めています。本稿では、ゼロトラストセキュリティの概要からメリット、関連書籍や金融機関をはじめとする各社の最新事例などわかりやすく解説します。

  1. ゼロトラストとは
    (1)ゼロトラストの定義
    (2)ゼロトラストセキュリティ
    (3)ゼロトラストネットワーク
    (4)VPNなどの従来型のセキュリティとの違い
  2. ゼロトラストが注目される背景
    (1)テレワークとクラウド利用の増加
    (2)DXの推進
  3. ゼロトラストのメリット
    (1)セキュリティリスクの低減
    (2)セキュリティ構築がクラウドで完結する
  4. ゼロトラストセキュリティを実現するためのソリューションの種類
  5. 各社のゼロトラスト製品
    (1)NTT コミュニケーションズ
    (2)富士通
    (3)日立
    (4)ソフトバンク
    (5)マイクロソフト
    (6)Google
    (7)シスコシステムズ
  6. ゼロトラスト関連の書籍
    (1)すべてわかるゼロトラスト大全
    (2)ゼロトラストネットワーク
    (3)ゼロトラスト Googleが選んだ最強のセキュリティー
    (4)ゼロトラストネットワーク[実践]入門
  7. ゼロトラストの活用事例4選
    (1)事例1:PayPay銀行
    (2)事例2:北國銀行
    (3)事例3:auカブコム証券
    (4)事例4:ZOZO
  8. まとめ

ゼロトラストとは

ゼロトラストの定義

ゼロトラストとは「あらゆるトラフィックを何も信用しない」という考え方を前提に、対策を行うセキュリティモデルです。

従来では社内LANなどの代表される「内側」のネットワークと、インターネットなどの「外側」にネットワークが分けられ、「内側のネットワークは信用ができる、外側は危険である」という考え方が主流でした。しかしインターネットを活用したクラウド利用や、テレワークによる働き方の変化などにより、社内外から同じ情報にアクセスする機会が増えてきています。

そのため、これまでのネットワークの概念であった「内側」と「外側」に分けず、すべてのネットワークからのアクセスの信用評価を行うことで、社内にある情報資産を守ろうとする考え方であるゼロトラストが広がってきています。

一方で2021年6月に金融庁が発表した、「ゼロトラストの現状調査と事例分析に関する調査報告書」によれば、「一部の金融機関では、ゼロトラスト・アーキテクチャに関する具体的な検討や導入を進めているが、金融機関全体としては少ない状況である。」というのが現状です。

背景には金融機関が他業界よりもIT利活用が進んでいた業界のため、既存のITシステムやセキュリティの考え方が浸透しており、変化が難しいことを挙げています。ゼロトラストが浸透していない金融機関ですが、一部の金融機関ではテレワークの推進などを理由として、ゼロトラストの導入・検討を進めています。

参照:「ゼロトラストの現状調査と事例分析に関する調査報告書」

ゼロトラストセキュリティ

ゼロトラストセキュリティとは、先述したゼロトラストの概念に基づく次世代のセキュリティモデルのことです。基本的な考え方として「検証し、決して信用しない(Verify but never trust)」を前提としています。

社外からのアクセスはもちろんのこと、社内からのアクセスも決して信用せずに信用評価を都度行うことが根幹にあります。そのためユーザー認証やログ監視など、徹底的なセキュリティ対策を講じてセキュリティリスクを減らすことが目的です。

PwCが発表した「経済犯罪実態調査2020」によれば、経済犯罪・不正被害にあった日本企業の内、組織内部者によるものが53%であったとしています。

具体的には顧客情報の漏えい、個人情報の漏えい、営業情報の漏えいなどです。もはや外部からではなく、内部からのアクセスもきちんと注意しなければいけない時代に突入してきました。

そのためこうした外部だけでなく、内部からのアクセスも検証ができる、ゼロトラストセキュリティのニーズが高まってきています。

参照:経済犯罪実態調査2020 ―グローバル翻訳版・日本分析版―

ゼロトラストネットワーク

ゼロトラストネットワークとは、ゼロトラストセキュリティを実現したネットワークのことです。ゼロトラストの考え方は「すべてのトラフィックは信用ができない」という点です。

そのためすべてのトラフィックを信用しなければ重要な情報を開くことはできません。関わっているすべての端末や通信のログを取得し、確認するために作られたネットワークがゼロトラストネットワークになります。

VPNなどの従来型のセキュリティとの違い

従来、社外のネットワークからアクセスするためには、VPNという「あらかじめ決められた社員しか利用ができないネットワーク」を利用して接続していました。

しかしVPNでの接続は「一度接続してしまえば安全とみなし、正規の利用者として認証する」というものです。そのため悪意のあるユーザーが利用してしまうと、その後の安全性の検証がされず、簡単に重要な情報までアクセスできてしまうという課題を抱えていました。

先述したようにゼロトラストの考え方は、「あらゆるトラフィックを何も信用しない」というものです。たとえVPNからの接続であっても、すべての通信が安全かを常に検証します。

こうした従来型のセキュリティの考え方である「一度安全とみなした場合は、その後も安全である」とは異なり、「あらゆるトラフィックを何も信用しない」という考え方が大きな違いです。