ゼロトラストを実現するID管理導入の教科書 » おさえておきたいID管理の用語解説 » ゼロトラスト・セキュリティとは

ゼロトラスト・セキュリティとは

このページでは、ID管理における「ゼロトラスト・セキュリティ」について解説します。

「ゼロトラスト・セキュリティ」とは、「何も信頼しない(Zero Trust)」ことを前提にセキュリティ対策を講じる考え方のことです。具体的には、以下のような対策が挙げられます

  • 通信経路の暗号化
  • 多要素認証によるユーザー認証
  • 操作ログ監視

ゼロトラスト・セキュリティでは、社内ネットワークすらも「信用できないもの」として考え、社内・社外で境界線を分けずにセキュリティ対策を講じます。特別画期的な考え・技術というわけではなく、考え方の転換によって生まれたものなのです。

従来型セキュリティ対策では不十分

これまでのセキュリティ対策は、社外と社内の間や屋内と屋外の間など、守るべきデータやシステムがある内部(信頼できるもの)と外部(信頼できないもの)でネットワークを分け、その境界線のところにプロキシーやファイアウォール、不正侵入検知/防御システムなどを設置して外部からの不正アクセスやサイバー攻撃を阻止するという「境界型セキュリテイ」という方法が一般的でした。

しかし、最近、急速に進むクラウド化やデジタル化により、守るべきデータやシステムがネットワーク内部ではなく外部にもあるということが多くなってきています。また、働き方改革や新型コロナのまん延などにより、リモート勤務やスマホ・タブレットなどの携帯端末を利用した社外の仕事を推進する企業も増えているため、外部からの不正アクセスから内部データを守るという従来の対策では不十分になってきました。

より厳格なセキュリティ対策が必要

そこで登場したのが「ゼロトラスト・セキュリティ」です。「ゼロトラスト・セキュリティ」では、全ての通信が信頼できないものと考えるので、許可されたPCやスマホなどのデバイスが使われているか?利用しているデバイスやアプリケーションがウィルス感染していないか?システムにアクセスしているユーザーは本人か?怪しい操作をしていないか?利用しているネットワークは安全か?など、従来型よりも厳格なセキュリティ対策が必要となります。

ゼロトラスト・セキュリティが求められる背景

ゼロトラスト・セキュリティが求められる背景には、「クラウドサービスの普及」や「テレワークの推進」があります。

従来の働き方の場合、保護すべきデータやシステムはすべてネットワークの内側にありました。ユーザーも社内のネットワークから操作していたので、セキュリティ対策としては、ファイヤーウォールをはじめ、外部からのサイバー攻撃を遮断する方法だけで十分有効でした。

しかし近年では、クラウドサービスで外部ネットワークに機密情報を保存していたり、テレワークで社外のネットワークからアクセスしたりと、ネットワークの境界線があいまいになりつつあります。

このような現状から、内部不正による情報漏洩のリスクなども高まってきています。そのため、ゼロトラスト・セキュリティの考えに基づいたセキュリティ対策を講じることが求められるのです。

クラウドサービスの普及

クラウドサービスが普及する前は、ほとんどの企業のデータ資産は自社内のデータセンターで保管されていました。インターネットの普及によってリモートワークをするケースが徐々に増え、社外から社内へのアクセスが必要になってきたことから、インターネット上のセキュリティを強化する仕組みが必要になり、VPN(Virtual Private Network:仮想専用線)が登場しました。VPNは送受信側に設置した機器間で仮想的なトンネルをつくって通信する仕組みで、第三者に見えない仮想専用線を利用しカプセル化して情報をやり取りできるので、離れた場所からでも安全に社内システムやサーバーにアクセスすることが可能です。

しかし、最近ではクラウドサービスの普及によって、クラウドを導入する企業も多くなり、データだけでなく、基幹システム、ファイルサーバー、メールシステム、スケジュール管理などもクラウド化されるようになってきています。クラウドサービスは社外ネットワークにあるため、「VPNによって社内にアクセスする」というクラウド導入以前に使っていた方法では安全なセキュリティ対策ができなくなってきているのです。

テレワークの推進

テレワークによって社員の業務効率や利便性があがったことは企業にとってもメリットとなっているわけですが、テレワークを行うことでこれまで見えていなかった課題も明らかになってきています。テレワークを実施しているほとんどの企業ではセキュリティ対策として VPNを利用しています。ゲートウェイを経由させることで安全にインターネットに接続できるところなどはテレワークに適しているのですが、本格的にテレワークを推進するためには次のような問題があります。

接続時の輻輳

一般にVPN接続時のセキュリティを確保するために、インターネットに接続する時は本社のサーバーを経由するようになっています。同時に沢山の接続が集中すると輻輳が起きてしまい通信速度が低下します。場合によってはシステムダウンする恐れもあり、業務に支障をきたすことになります。

セキュリティリスク

拠点間同士でセキュアな通信ができるVPNですがセキュリティリスクが無いわけではありません。ユーザー情報の漏えいによる外部からの不正アクセスやPCの脆弱性を利用したVPNゲートウェイへのサイバー攻撃なども発生しています。

通信品質の低下や帯域不足

クラウドサービスの普及により、企業における通信量は急速に増加しています。そのため将来的に契約帯域が足りなくなる、通信クオリティが低下するなどの可能性も考えられます。それらを防ぐには回線をふやしたり、より最適な契約にしたりする必要がありますが、費用の問題で対応できないという企業も出てくるでしょう。

社外コラボレーションの増加

クラウドワービスを利用した他の企業とのコラボレーションやコワークも行われるようになってきています。その場合はクラウドを介した通信を行うのが一般的であり効率的でもあります。しかし、クラウド上にあるストレージを共有するために相手企業の利用するクラウドツールを使用しなければならないこともあります。もし、十分なセキュリティ対策ができていないと情報漏えいやマルウェアに感染するリスクが高くなります。

ゼロトラスト・セキュリティのメリット

社内外の区別なくセキュアなネットワークを構築できる

ゼロトラスト・セキュリティではアクセスするデバイスやアクセス先に関係なくセキュアなネットワークを構築できることが大きな特徴です。社内と社外の区別がなくなり自宅や外出先でも仕事ができるハイブリッド環境によって柔軟な働き方を実現でき、社員のやる気・満足度の向上や生産性アップにもつながります。

厳密な情報管理ができる

ゼロトラスト・セキュリティによってアクセス権限が厳密に制御できるようになり、重要な機密情報の漏えいリスクが減るだけでなく、漏えいした場合の原因も特定しやすくなります。また、情報にアクセスするユーザー権限を細かく制限することで情報の管理精度も向上します。アクセスログも保存されているので利用状況の把握やアクセス解析も簡単にできます。さらに、従来のセキュリティ対策ではファイアウォールやVPNに複雑な設定が必要でしたが、ゼロトラスト・セキュリティならシンプルなセキュリティポリシー設定で厳密な認証を実現することができます。

 安心してクラウドサービスを利用できる

ゼロトラスト・セキュリティでは社外の端末であっても厳密な認証やセキュリティチェックを行い、全てのトラフィックについても通信ログの確認やアクセス認証チェックを行うので、安心してクラウドサービスを利用することができます。

 デジタルトランスフォーメーションを推進できる

デジタル技術の導入(DX:デジタルトランスフォーメーション)は生産性を向上させるために不可欠なものとなっていますが、これまでの「境界型セキュリティ」ではセキュリティリスクが高くDXを推進することができません。ゼロトラスト・セキュリティを導入すれば、安全にクラウドサービスも利用できるので、企業のDXを推進することができます。

 社外とのコラボレーションが増える

ゼロトラスト・セキュリティを導入することでクラウドサービスを利用した業務が増え、社外とのコラボレーションも多くなる可能性があります。企業に新しい価値が生まれ、組織的にも成長することが期待できます。

ゼロトラスト・セキュリティのデメリット

導入には計画と体制整備が必要

ゼロトラスト・セキュリティでは、全てのアクセスについて厳しい認証チェックを行う、ネットワーク上にあるリソースを常時リアルタイムモニタリングする、アクセス制御を動的に行う、全てのログを監視するなど、様々なことが求められるため、長期的な計画と維持・体制の整備が必要となります。そのため、導入するには時間やコストがかかります

ログインに時間がかかる

ゼロトラスト・セキュリティでは多要素認証や2段階認証といった高セキュアな認証が必要となるのでログインに時間がかかります。一度認証しても長時間ログイン状態を保持できないの、認証をしなおさなければならず、手間もかかります。また、アクセスのたびに認証やチェックを行うためシステムパフォーマンスが低下し、業務効率が落ちる可能性もあります

セキュリティリスクがある

ゼロトラスト・セキュリティであっても、完璧なセキュリティ対策ができるわけではありません。いつでもセキュリティリスクがあるということを念頭に置いてサービスやシステムを利用することが重要です。

ゼロトラスト・セキュリティ対策のファーストステップ

ゼロトラスト・セキュリティを実現するための方法は多岐にわたります。ここでは、セキュリティ対策のファースト・ステップとして、ID管理システムをご紹介します。いくつか簡単にピックアップしたので、製品選びの際の参考にしてください。

Azure AD

マイクロソフト社が提供する、クラウド型のAD(Active Directory)です。Azure環境における、各種アプリケーション利用時のユーザー認証・認可を一元管理できる機能が備わっています。ユーザーやグループごとに細かなアクセス制御を設定することもでき、ゼロトラストネットワークの実現にも大きく貢献してくれます。

Keyspider

株式会社アクシオが提供する、クラウド型のID管理システム。ゼロトラストの基本となる「IDライフサイクル管理」を効率的に進められる機能が備わっています。

また、Keyspiderは、日本企業向けのシステムでもあります。人事異動や引継ぎなど、日本特有の人事イベントについても、スムーズなID登録・権限付与・移譲ができるようになります。

Okta

アメリカ・Okta社が提供する、クラウド型のID管理システム。連携できるクラウドサービスが多く、ゼロトラストを前提としたシステムが構築しやすいのが強みです。直感的な操作画面でユーザー・連携アプリ・認証ポリシーを一元管理できることから、管理者にとっても扱いやすいID管理システムだと言えるでしょう。

このページでは、ID管理における「ゼロトラスト・セキュリティ」について解説します。

「ゼロトラスト・セキュリティ」とは、「何も信頼しない(Zero Trust)」ことを前提にセキュリティ対策を講じる考え方のことです。具体的には、以下のような対策が挙げられます

  • 通信経路の暗号化
  • 多要素認証によるユーザー認証
  • 操作ログ監視

ゼロトラスト・セキュリティでは、社内ネットワークすらも「信用できないもの」として考え、社内・社外で境界線を分けずにセキュリティ対策を講じます。特別画期的な考え・技術というわけではなく、考え方の転換によって生まれたものなのです。

従来型セキュリティ対策では不十分

これまでのセキュリティ対策は、社外と社内の間や屋内と屋外の間など、守るべきデータやシステムがある内部(信頼できるもの)と外部(信頼できないもの)でネットワークを分け、その境界線のところにプロキシーやファイアウォール、不正侵入検知/防御システムなどを設置して外部からの不正アクセスやサイバー攻撃を阻止するという「境界型セキュリテイ」という方法が一般的でした。

しかし、最近、急速に進むクラウド化やデジタル化により、守るべきデータやシステムがネットワーク内部ではなく外部にもあるということが多くなってきています。また、働き方改革や新型コロナのまん延などにより、リモート勤務やスマホ・タブレットなどの携帯端末を利用した社外の仕事を推進する企業も増えているため、外部からの不正アクセスから内部データを守るという従来の対策では不十分になってきました。

より厳格なセキュリティ対策が必要

そこで登場したのが「ゼロトラスト・セキュリティ」です。「ゼロトラスト・セキュリティ」では、全ての通信が信頼できないものと考えるので、許可されたPCやスマホなどのデバイスが使われているか?利用しているデバイスやアプリケーションがウィルス感染していないか?システムにアクセスしているユーザーは本人か?怪しい操作をしていないか?利用しているネットワークは安全か?など、従来型よりも厳格なセキュリティ対策が必要となります。

ゼロトラスト・セキュリティが求められる背景

ゼロトラスト・セキュリティが求められる背景には、「クラウドサービスの普及」や「テレワークの推進」があります。

従来の働き方の場合、保護すべきデータやシステムはすべてネットワークの内側にありました。ユーザーも社内のネットワークから操作していたので、セキュリティ対策としては、ファイヤーウォールをはじめ、外部からのサイバー攻撃を遮断する方法だけで十分有効でした。

しかし近年では、クラウドサービスで外部ネットワークに機密情報を保存していたり、テレワークで社外のネットワークからアクセスしたりと、ネットワークの境界線があいまいになりつつあります。

このような現状から、内部不正による情報漏洩のリスクなども高まってきています。そのため、ゼロトラスト・セキュリティの考えに基づいたセキュリティ対策を講じることが求められるのです。

クラウドサービスの普及

クラウドサービスが普及する前は、ほとんどの企業のデータ資産は自社内のデータセンターで保管されていました。インターネットの普及によってリモートワークをするケースが徐々に増え、社外から社内へのアクセスが必要になってきたことから、インターネット上のセキュリティを強化する仕組みが必要になり、VPN(Virtual Private Network:仮想専用線)が登場しました。VPNは送受信側に設置した機器間で仮想的なトンネルをつくって通信する仕組みで、第三者に見えない仮想専用線を利用しカプセル化して情報をやり取りできるので、離れた場所からでも安全に社内システムやサーバーにアクセスすることが可能です。

しかし、最近ではクラウドサービスの普及によって、クラウドを導入する企業も多くなり、データだけでなく、基幹システム、ファイルサーバー、メールシステム、スケジュール管理などもクラウド化されるようになってきています。クラウドサービスは社外ネットワークにあるため、「VPNによって社内にアクセスする」というクラウド導入以前に使っていた方法では安全なセキュリティ対策ができなくなってきているのです。

テレワークの推進

テレワークによって社員の業務効率や利便性があがったことは企業にとってもメリットとなっているわけですが、テレワークを行うことでこれまで見えていなかった課題も明らかになってきています。テレワークを実施しているほとんどの企業ではセキュリティ対策として VPNを利用しています。ゲートウェイを経由させることで安全にインターネットに接続できるところなどはテレワークに適しているのですが、本格的にテレワークを推進するためには次のような問題があります。

接続時の輻輳

一般にVPN接続時のセキュリティを確保するために、インターネットに接続する時は本社のサーバーを経由するようになっています。同時に沢山の接続が集中すると輻輳が起きてしまい通信速度が低下します。場合によってはシステムダウンする恐れもあり、業務に支障をきたすことになります。

セキュリティリスク

拠点間同士でセキュアな通信ができるVPNですがセキュリティリスクが無いわけではありません。ユーザー情報の漏えいによる外部からの不正アクセスやPCの脆弱性を利用したVPNゲートウェイへのサイバー攻撃なども発生しています。

通信品質の低下や帯域不足

クラウドサービスの普及により、企業における通信量は急速に増加しています。そのため将来的に契約帯域が足りなくなる、通信クオリティが低下するなどの可能性も考えられます。それらを防ぐには回線をふやしたり、より最適な契約にしたりする必要がありますが、費用の問題で対応できないという企業も出てくるでしょう。

社外コラボレーションの増加

クラウドワービスを利用した他の企業とのコラボレーションやコワークも行われるようになってきています。その場合はクラウドを介した通信を行うのが一般的であり効率的でもあります。しかし、クラウド上にあるストレージを共有するために相手企業の利用するクラウドツールを使用しなければならないこともあります。もし、十分なセキュリティ対策ができていないと情報漏えいやマルウェアに感染するリスクが高くなります。

ゼロトラスト・セキュリティのメリット

社内外の区別なくセキュアなネットワークを構築できる

ゼロトラスト・セキュリティではアクセスするデバイスやアクセス先に関係なくセキュアなネットワークを構築できることが大きな特徴です。社内と社外の区別がなくなり自宅や外出先でも仕事ができるハイブリッド環境によって柔軟な働き方を実現でき、社員のやる気・満足度の向上や生産性アップにもつながります。

厳密な情報管理ができる

ゼロトラスト・セキュリティによってアクセス権限が厳密に制御できるようになり、重要な機密情報の漏えいリスクが減るだけでなく、漏えいした場合の原因も特定しやすくなります。また、情報にアクセスするユーザー権限を細かく制限することで情報の管理精度も向上します。アクセスログも保存されているので利用状況の把握やアクセス解析も簡単にできます。さらに、従来のセキュリティ対策ではファイアウォールやVPNに複雑な設定が必要でしたが、ゼロトラスト・セキュリティならシンプルなセキュリティポリシー設定で厳密な認証を実現することができます。

 安心してクラウドサービスを利用できる

ゼロトラスト・セキュリティでは社外の端末であっても厳密な認証やセキュリティチェックを行い、全てのトラフィックについても通信ログの確認やアクセス認証チェックを行うので、安心してクラウドサービスを利用することができます。

 デジタルトランスフォーメーションを推進できる

デジタル技術の導入(DX:デジタルトランスフォーメーション)は生産性を向上させるために不可欠なものとなっていますが、これまでの「境界型セキュリティ」ではセキュリティリスクが高くDXを推進することができません。ゼロトラスト・セキュリティを導入すれば、安全にクラウドサービスも利用できるので、企業のDXを推進することができます。

 社外とのコラボレーションが増える

ゼロトラスト・セキュリティを導入することでクラウドサービスを利用した業務が増え、社外とのコラボレーションも多くなる可能性があります。企業に新しい価値が生まれ、組織的にも成長することが期待できます。

ゼロトラスト・セキュリティのデメリット

導入には計画と体制整備が必要

ゼロトラスト・セキュリティでは、全てのアクセスについて厳しい認証チェックを行う、ネットワーク上にあるリソースを常時リアルタイムモニタリングする、アクセス制御を動的に行う、全てのログを監視するなど、様々なことが求められるため、長期的な計画と維持・体制の整備が必要となります。そのため、導入するには時間やコストがかかります

ログインに時間がかかる

ゼロトラスト・セキュリティでは多要素認証や2段階認証といった高セキュアな認証が必要となるのでログインに時間がかかります。一度認証しても長時間ログイン状態を保持できないの、認証をしなおさなければならず、手間もかかります。また、アクセスのたびに認証やチェックを行うためシステムパフォーマンスが低下し、業務効率が落ちる可能性もあります

セキュリティリスクがある

ゼロトラスト・セキュリティであっても、完璧なセキュリティ対策ができるわけではありません。いつでもセキュリティリスクがあるということを念頭に置いてサービスやシステムを利用することが重要です。

ゼロトラスト・セキュリティ対策のファーストステップ

ゼロトラスト・セキュリティを実現するための方法は多岐にわたります。ここでは、セキュリティ対策のファースト・ステップとして、ID管理システムをご紹介します。いくつか簡単にピックアップしたので、製品選びの際の参考にしてください。

Azure AD

マイクロソフト社が提供する、クラウド型のAD(Active Directory)です。Azure環境における、各種アプリケーション利用時のユーザー認証・認可を一元管理できる機能が備わっています。ユーザーやグループごとに細かなアクセス制御を設定することもでき、ゼロトラストネットワークの実現にも大きく貢献してくれます。

Keyspider

株式会社アクシオが提供する、クラウド型のID管理システム。ゼロトラストの基本となる「IDライフサイクル管理」を効率的に進められる機能が備わっています。

また、Keyspiderは、日本企業向けのシステムでもあります。人事異動や引継ぎなど、日本特有の人事イベントについても、スムーズなID登録・権限付与・移譲ができるようになります。

Okta

アメリカ・Okta社が提供する、クラウド型のID管理システム。連携できるクラウドサービスが多く、ゼロトラストを前提としたシステムが構築しやすいのが強みです。直感的な操作画面でユーザー・連携アプリ・認証ポリシーを一元管理できることから、管理者にとっても扱いやすいID管理システムだと言えるでしょう。

<この記事を書いたのは・・・>
mirona

保有資格:第一種情報処理技術者試験、第二種情報処理技術者試験

経歴:データベースを利用したシステムの設計・実装経験を持つ。 さらに、SAMLを使ったActiveDirectoryのシングルサインオンシステムの実証実験でも、設計・実装経験の経験がある。

THREE SELECTION

【ニーズ別】
ゼロトラスト対応の
ID管理システム3選

「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。

ID管理をより
効率化したい

Keyspider

keyspider
画像引用元:株式会社axio https://www.axio.co.jp/products/keyspider/
  • アカウント管理を自動化できる機能数が当サイト内において最も多いID管理システム※ ※2021年3月調査時点
  • DX推進・IT統制を迅速にしたい成長中の中堅企業におすすめ
IDを一元管理
できるようにしたい

Azure AD

Azure AD
画像引用元:マイクロソフト公式 https://azure.microsoft.com/ja-jp/services/active-directory/#overview
  • ガートナー社による評価でリーダーに選出されたID一元管理システム
  • とりあえずID管理を導入したい中小・ベンチャー企業におすすめ
ID・アクセス管理を
一気通貫で強化したい

Okta

Okta
画像引用元:Okta公式 https://www.okta.com/jp/
  • グローバルで14,000社以上の導入実績を持つID管理・統合認証サービス ※2022年1月調査時点
  • 複数拠点でアクセス管理を強化したい大手・グローバル企業におすすめ