ニューノーマル処方箋（第34回）すべての通信を信用しない「ゼロトラスト」とは何なのか

　【2】のデバイス統制・保護とは、たとえ従業員がノートパソコンやスマートフォンなどのデバイスを社外に持ち出して働いていたとしても、管理者がその端末をコントロールできるようにすることを指します。

　具体的には、従業員に貸与している業務用ノートパソコンやスマートフォンの中に、あらかじめMDM（モバイルデバイス管理/Mobile Device Management）をインストールしておくことで、従業員がデバイスを紛失した際に、端末にロックを掛けたり、端末内のデータを消去したりすることで、情報漏えいの発生を未然に防げます。加えて、端末に搭載されている、業務と関係のない機能を制限することもできます。

　この他、EDR（イーディーアール、Endpoint Detection and Response）も、デバイス統制・保護を可能にするツールです。EDRはファイル操作など端末のあらゆる挙動を監視し、不審な挙動を発見した場合、管理者にアラートを出します。既知／未知いずれの攻撃についても検知が可能です。

ゼロトラストで、セキュリティレベルは従来より格段に高まる

　【3】のネットワークセキュリティは、すべての通信に対し、必要なセキュリティ対策を行うことをさします。例えば、SWG（セキュア・ウェブ・ゲートウェイ、Secure Web Gateway）やCASB（キャスビー、Cloud Access Security Broker）による、不審なWebコンテンツへのアクセス制限やマルウエアの検出もこれに含まれます。

　【4】のデータ漏えい防止とは、サイバー攻撃者や内部犯行者による機密情報の持ち出し、および人為的なうっかりミスによる情報漏えいを防ぐことです。DLP（データ損失防止、Data Loss Prevention）ツールによる、社内機密ファイルのダウンロード／アップロードの禁止、外部記憶媒体へのコピー禁止、メール転送禁止などが当てはまります。

　最後の【5】が、ログの収集・分析です。社内のIT環境を構成する機器からログを収集・分析することで、サイバー攻撃の早期検知や対応を行います。ログの収集と分析は、SIEM（シーム、Security Information and Event Management）というシステムを利用します。

　ここまで挙げてきたように、ひと口に「ゼロトラスト」といっても、それを構成するためのシステムやソリューションは多岐にわたります。IDaaSだけ、EDRだけを導入しても、ゼロトラストが成立するわけではありません。そのため、これらの機器を導入するコストと時間や手間がかかる点はデメリットといえそうです。

　資料によると、ゼロトラストは「全てを信用しない」というよりも、「全てを確認した上で認証・認可を行う」という考え方に近いとしています。ゼロトラストは、ファイアウォールのように社内と社外の境界線で守るのではなく、デバイスやネットワークなどさまざまな層で通信を確認するため、セキュリティレベルは従来の境界型セキュリティと比べ、格段に高められます。ちなみに資料では、【1】のID統制と、【2】デバイス統制については、特に優先的に取り組むべきとしています。

　資料ではこの他にも、従来の境界型セキュリティからゼロトラストへ移行する際の手順やマインドも紹介しています。テレワークやクラウドサービスを利用しているにもかかわらず、まだゼロトラストに移行できていない企業は、ぜひこの資料を参考に、ゼロトラストを推し進めてみてはいかがでしょうか。