覚えておきたい情報セキュリティ&ネットワークのキホン(第4回)「ゼロトラストセキュリティ」とは何か?

ネットワークセキュリティ

公開日:2022.03.25

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 テレワークや業務でのクラウド利用が広がったことで、従来型の情報セキュリティ対策では安全の維持が難しくなりつつあります。そこで注目されているのが「ゼロトラストモデル」の情報セキュリティフレームワークです。

 ゼロトラストセキュリティのフレームワークとは何なのでしょうか? そして、ゼロトラストセキュリティは今までの情報セキュリティ対策と何が違うのでしょうか? 本記事では、ゼロトラストセキュリティの概要とフレームワークについて整理します。

ゼロトラストモデルとは?基本的な解説

 ゼロトラストモデルとは、「すべてのアクセス行為が危険である」と定義した情報セキュリティモデルです。

 ゼロトラストは2010年にForrester Research社が提唱していましたが、当時は従来の境界防御型の情報セキュリティ対策が一般的だったため、採用する企業はそこまで多くありませんでした。しかし、テレワークが普及し、社外からでもオフィスと同等のデータにアクセスすることが当たり前となりつつある今、ゼロトラストの重要性が注目されています。

境界防御モデルとは

 従来型の情報セキュリティ対策である「境界防御モデル」は、信用する領域と信用しない領域に境界を明確に定めて情報を守る方法です。社内を「信用できる領域」、社外を「使用できない領域」と定めたうえで、社内と社外のネットワークの境界線上に情報セキュリティ対策をすることによって安全な環境をつくり上げます。例えば、ファイアウォールなどの情報セキュリティ機器を設置し、外部からの不正な通信を遮断する考え方です。

 こうした境界防御モデルは、守りたいデータやシステムが社内のネットワークにあることを前提としています。しかし、テレワークによって社外ネットワークから社内データにアクセスする機会が増えたことで、社内と社外の境界が曖昧になり、境界防御モデルによる情報セキュリティレベルの低下が懸念されるようになりました。

ゼロトラストモデルの特徴

 ゼロトラストモデルは、境界防御のようにネットワークの内外を区別せずに、アクセスするものをすべて疑い、検証することによって脅威を防ぐものです。例えば、ネットワークの内外を問わずデータを暗号化したり、端末すべてのアクセスログを監視したりします。ゼロトラストを採用すれば、もし外部から自社システム内に不正に侵入されたとしても、素早く検知し対処できるようになります。その結果、情報漏えいリスクを最小限に抑えることにつながります。

ゼロトラストフレームワークの主な要素

 では、ゼロトラストを自社に導入するにはどうすればよいのでしょうか。IPA(情報処理推進機構)は、以下4つを検討することが重要と述べています。

認証・認可
 ユーザーが企業内のデータにアクセスする際は、必要最低限の権限のみ付与するようにする。

クラウド利用
 境界防御モデルだけではなく、クラウド利用を想定した情報セキュリティ対策を行う。

端末セキュリティ
 テレワーク用パソコンやスマートフォンなど、社外で利用する端末がサイバー攻撃の踏み台とならないように情報セキュリティ対策を行う。

ログ管理
 サイバー攻撃の経路分析や影響範囲の調査に、アクセスログの収集・分析ができるようにする。

ゼロトラストフレームワークを支えるソリューション…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆= NTT西日本

【MT】

あわせて読みたい記事

「ネットワークセキュリティ」人気記事ランキング

連載バックナンバー

覚えておきたい情報セキュリティ&ネットワークのキホン

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信期間

配信期間:2023年9月15日(金)~2024年8月30日(金)

セキュリティ関連

【経済産業省サイバーセキュリティ課登壇】 サイバー攻撃に対して中小企業が取るべき対策とは

  • 新着記事

配信期間

2023年5月31日(水)~2023年12月26日(火)

法改正関連

税理士登壇!インボイス制度の解説