当サイトでは、サービス向上、アクセス状況計測、広告配信などのためにクッキーを使用しています。個人情報保護について

Japan

BluStellar(ブルーステラ)

製品・ソリューション

  • セキュリティ

    NECは、「正しくつくる」「正常をつづける」「攻撃からまもる」の3つの軸で、お客様のビジネスの信頼性向上・生産性向上・事業拡大につながるご支援をしていきます。

関連リンク

業種・業務

関連リンク

企業情報

関連リンク

関連リンク

関連リンク

サイト内の現在位置

ゼロトラスト──“何も信頼しない”セキュリティとは?

~DX時代のサイバーセキュリティ経営に欠かせない選択肢~

近年、サイバーセキュリティの世界で「ゼロトラスト」という新たなセキュリティモデルが話題に上っています。サイバー攻撃の手口は高度化・巧妙化の一途をたどっており、社外からのアタックに限らず、従業員の不注意によって組織内部から情報が漏えいする事故も後を絶ちません。こうした内外のセキュリティリスクに対抗する上で、ゼロトラストは有効な選択肢であると言われています。

“何も信頼しない”セキュリティ?

サイバーセキュリティ対策は企業における重要な経営課題の1つです。国も企業経営者の意識向上を図るために「サイバーセキュリティ経営」と題して、経営者向けにサイバーセキュリティ対策を進める上で認識すべき事項をまとめています。

それが、経済産業省と独立行政法人情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」です。2023年3月に公開された「Ver3.0」ではゼロトラストについても言及しており、ゼロトラストは今や企業経営者も押さえておくべきセキュリティ対策のキーワードと言えます。

ゼロトラストが注目されるようになった背景には、DX進展にともない活用が広がったクラウドサービスや多様化するデバイスの存在に加え、コロナ禍により加速したリモートワークの普及があります。

従来のセキュリティ対策は、社内と社外のネットワークの境界にファイアウォールをはじめとするさまざまな防御壁を設け、外部からの侵入を防ぐ「境界型防御」が中心でした。しかし近年、社内ネットワークの外から直接インターネットに接続するニーズが急増し、セキュリティゲートウェイによって外部からのアクセスを制御する境界型防御では、安全性を担保しきれなくなってきました。

こうした状況から、「すべてのアクセスは潜在的にリスクをはらんでいる」と見なし、境界型防御とは異なる厳格な認証やアクセス制御を行う必要が生じてきました。この考え方に基づくセキュリティモデルこそが“何も信頼しない”というゼロトラストなのです。

ゼロトラストを実現するための「7つの要件」

ゼロトラストセキュリティモデルを実現するためには、次の7つの要件を踏まえた上で導入すべき製品・サービスを検討するのが望ましいとされています。

  • デバイスセキュリティ
    従来の境界型防御の環境とは異なり、デバイスがインターネットと直接接続する環境においてはサイバー攻撃の脅威がデバイスに直接到達する可能性が格段に高まります。そのため、まずはデバイス上の防御態勢を固めると同時に、不正なデバイスや脆弱なデバイスが組織内に存在していないかどうか確認する必要があります。
  • ネットワークセキュリティ
    セキュリティゲートウェイを介さずにインターネットと直接つながる環境においては、ユーザーのインターネットアクセスやクラウド利用を制御・監視できる新たな仕組みが求められます。
  • アイデンティティセキュリティ
    すべてのアクセスを厳格に認証・制御するゼロトラストにおいては、アクセス制御の基盤となるID管理の仕組みも重要です。従来のように社内ネットワーク内に構築したディレクトリを参照する方式ではなく、インターネットに直接アクセスすることを前提とした新たなID管理の基盤を整備すべきです。
  • ワークロードセキュリティ
    特にゼロトラストにおいてはクラウドアプリケーションのワークロード上にリスクが存在していないか、重点的な監視が求められます。具体的には自社のユーザーによる不正な利用や情報流出が発生していないか、セキュリティ上の脆弱性が存在しないかといった点を監視する必要があります。
  • データセキュリティ
    社外からユーザーがインターネットに直接アクセスする環境においては、外部からの攻撃だけでなく内部からの情報流出リスクも高まります。自社で守るべきデータ資産を見極め保護するデータの優先順位をつけた上で、業務の利便性とのバランスを考慮しながらデータを守るための対策を打ちます。
  • 可視化と分析
    適切なセキュリティ施策を講じるためには、自社の強みと弱みを知ることが第一です。そのためにもユーザーのクラウド利用状況や各種セキュリティ・ネットワーク製品のログなどを集約・分析した上で、管理者が状況を一目で把握できる仕組みが不可欠です。
  • 自動化
    セキュリティに関する膨大な量の情報を集約し可視化できたとしても、その内容を管理者が1つひとつチェックしリスクに速やかに対処するのは極めて困難です。そのため、セキュリティリスクの検知や対処をシステムである程度自動化することが望ましいでしょう。

ゼロトラストを構成するセキュリティ技術

ゼロトラストのセキュリティモデルを実際に構築するために、以上の各要件をそれぞれ満たす製品・サービスを個別に選定し、組み合わせていくことになります。製品・サービスが備える様々なセキュリティ技術から、ゼロトラストに関係する代表的なものをピックアップします。

  • EDR(Endpoint Detection and Response)
    「デバイスセキュリティ」を担う技術の1つで、PCやサーバといったエンドポイント端末を常時監視し、マルウェアが不審な挙動を示したら即座に検知する技術です。
  • NGAV(Next Generation Antivirus)
    その名の通り「次世代のアンチウイルス」を指し、EDRと同じくデバイスセキュリティを担う技術です。従来のパターンマッチング方式によるウイルス検知技術に加え「振る舞い検知」をはじめとする最新の技術を組み合わせ、ゼロデイ攻撃などを防ぎます。
  • SWG(Secure Web Gateway)
    「ネットワークセキュリティ」の機能を提供する技術の1つで、インターネットアクセスを監視・制御する仕組みを提供します。社内ネットワークからのアクセスだけではなく社外環境からのアクセスも監視・制御できるため、ゼロトラストを構成する重要な要素の1つと位置づけられています。
  • CASB(Cloud Access Security Broker)
    「ワークロードセキュリティ」を構成する技術の1つで、ユーザーによるクラウドサービスの利用状況を監視し、不正利用や情報流出などが発生しないよう制御するための仕組みを提供します。
  • IDaaS(Identity as a Service)
    ID管理の機能をクラウドサービスとして提供するもので、「アイデンティティセキュリティ」を実現するためのソリューションです。

ゼロトラスト対応を掲げる製品・サービスにはさまざまなものがあり、上記のほかにも日進月歩で次々と新たな技術が登場しています。現時点では「これさえ入れておけばゼロトラストは万全」という製品は存在しないため、常に最新の技術動向に目を配り自社の環境に適切な製品・サービスを選択することが肝要です。

広範なセキュリティ領域をカバーするパートナーの存在

ゼロトラストの実現は1つの製品・サービスを導入しただけでは完結せず、複数のソリューションを組み合わせて利用する必要があります。そのため導入と運用にある程度の手間やコストが掛かることも事実です。

また、先述の「サイバーセキュリティ経営ガイドライン」では、ゼロトラストに基づく対策を講じる際には認証等を強化するよう求めていますが、場合によっては認証の回数が増えるなどユーザーの利便性に影響が及ぶことも考えられます。そこで、ゼロトラストの実現には経営トップが導入する対策の必要性を十分認識し、リーダーシップを発揮して全社レベルで取り組んでいかなければなりません。

ゼロトラストのセキュリティモデルを構築・運用するにはセキュリティやネットワークに関する広範な知識やスキルが求められます。すべてを自社だけでまかなうのが難しい場合は、外部のパートナー企業の支援を活用するのが現実的と言えます。

NECでは、ゼロトラストのさまざまな要件に即した製品・サービスを提供しています。ゼロトラストの実現を目指す上では、「あらゆる領域を網羅した総合的なソリューションを提供できるか」という観点で、パートナーを選ぶことが大切です。

関連リンク

DXキーワード解説

資料ダウンロード・お問い合わせ

Escキーで閉じる 閉じる