ゼロトラストとは？〜新たなITセキュリティの導入でどんなことができるの？〜

ゼロトラストとは？

ゼロトラストとは、zero（ゼロ） + trust（信用）を組み合わせた造語であり、現在新しいITセキュリティとして注目されています。

ゼロトラストは従来のセキュリティモデルとは異なり、信頼性を前提とせずにネットワーク内外のすべてのリソースに対して厳格なアクセス制御を行うという特徴があります。

特に最近では新型コロナウイルスの蔓延により、自宅（社外）から業務を行うテレワークがよく行われるようになったことを背景に、ますますその重要性が認められつつあります。 このゼロトラストについて、どのような種類のアプローチがあり、どのような応用例があるのかを紹介していきます。

ゼロトラスト実現へのアプローチ

ゼロトラストの実装に向けた具体的な技術として、以下の6つが挙げられます。

• IGA：アイデンティティ（ユーザーアカウントなど）の統制・管理。
  　（具体例：パスワードの管理、アクセス権の制限など。TIS／リモートワーク環境整備）
• SASE：IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させること。
  　（具体例：Webフィルタリング、マルウェアの検出やブロック、アプリケーション制御。TIS／リモートワーク環境整備）
• EPP：エンドポイントの保護と検知/対応を統合したセキュリティソリューション
  　（具体例: ファイアウォール、アンチウイルス、脆弱性管理。NTTデータ：東京2020オリンピック・パラリンピックにおけるサイバーセキュリティ対策）
• CSPM：クラウド環境におけるセキュリティ設定の全体的な評価や改善を行う
  　（具体例: クラウド環境の設定状況に関するチェックルールの設定およびその評価と改善、問題発見時の通知。日立製作所／クラウドワークロードセキュリティサービス）
• EASM：外部に公開されているIT資産やシステムの把握と、それらに存在する脆弱性の管理
  　（具体例: インターネット上の資産の監視、資産の脆弱性の可視化。日立製作所／CyCognito）
• XDR：エンドポイント、ネットワーク、クラウドなどの複数のデータソースからの情報を統合し、脅威検知や対応を行うセキュリティプラットフォーム
  　（具体例: 複数のセキュリティからの情報の統合、高度な脅威検知、対応アクションの自動化。日立製作所／Splunk Enterprise）

6つの技術について、より詳細にご説明いたします。

IGA

IGAとは、アイデンティティの統制・管理を通じて、アクセス制御やセキュリティポリシーの実施を強化することでネットワーク全体のセキュリティを向上させるというアプローチになります。 特に、組織内のユーザーやデバイスのアイデンティティ情報を管理するためのプロセスやツールのことをIAMと呼びます。

【主な機能】

• パスワードの管理
• アクセス権の制限

SASE

SASEとは、IT環境におけるセキュリティ機能とネットワーク機能を1つのクラウドサービスに統合させるというアプローチのことで、これによりユーザーがどこからでも安全にアクセスすることのできるセキュリティの枠組みを提供することができます。 上記のSASEの中でも、特にセキュリティ部分を担うのがSSEと呼ばれます。

【主な機能】

• Webフィルタリング
• マルウェアの検出やブロック
• アプリケーション制御

EPP

EPPは、エンドポイントの保護と以上の検知/対応を統合したセキュリティソリューションのことで、エンドポイントデバイスでのセキュリティを強化するというアプローチになります。
EPPの中でも特にエンドポイント上での異常の検出から対応までのプロセスを支援する機能を提供しているのをEDRと呼びます。

【主な機能】

• ファイアウォール
• アンチウイルス
• 脆弱性管理

CSPM

CSPMはクラウド環境におけるセキュリティ設定の全体的な評価や改善を行うためのプラットフォームやツールのことで、セキュリティポリシーの評価、監視、設定の改善を行います。 CSPMの中でも特に、セキュリティサービスのポリシーの設定と管理に特化したものがSSPMになります。

• クラウド環境の設定状況に関するチェックルールの設定およびその評価と改善
• 問題発見時の通知

EASM

インターネットのような外部に公開されているIT資産やシステムを把握し、それらにおける脆弱性の管理を行うソリューションになります。

【主な機能】

• インターネット上の資産の監視
• 資産の脆弱性の可視化

XDR

エンドポイント、クラウド、ネットワークなど、各レイヤにまたがるセキュリティ製品から、テレメトリと呼ばれる脅威の解析情報を収集して、情報を統合化します。これにより、セキュリティ運用担当者は、統合化された情報を中心に日々のオペレーション（脅威の検知・調査・対応）を進めていくことが可能となります。

【主な機能】

• 複数のセキュリティからの情報の統合
• 高度な脅威検知
• 対応アクションの自動化

SIerの取り組み例

ゼロトラスト実現への6つの主要な取り組みについてご説明しましたが、実際にゼロトラストの導入事例を3つご紹介します。

【紹介事例】

・TIS：リモートワーク環境整備
・日立製作所：ゼロトラスト・セキュリティ技術の提供
・NTTデータ：東京2020オリンピック・パラリンピックにおけるサイバーセキュリティ対策

TIS：リモートワーク環境整備

TIS株式会社では、2020年頃からゼロトラスト環境構築を進めています。コロナ禍の長期化に伴い、リモートワークを進めていく過程で、クラウドに対する利便性を向上させることで、場所を選ばない社内システムへのシームレスな接続、セキュリティを担保したVDI環境の準備を行いました。

またインターネットへのアクセスを便利にする一方で、不正サイトへのアクセスはCASBで防御し、エンドポイントのセキュリティはEDRや認証強化（IGA/IAM）で対策する等、利便性とセキュリティの両立を図っています。 また、同記事にて利用者側の導入後の好意的な声として以下のように述べられていました。

“良かった点
・利便性の向上（時間や場所に捉われない働き方の実現）
・セキュリティレベルの向上（生体認証導入により、安心感を持ってテレワークが可能に）
・コミュニケーションレベルの向上（ネットワークの安定性が増し、商談やWeb会議のレスポンスが飛躍的に向上）”

引用：　　
TIS INTEC Group／　　
【自社事例大公開】TISの大規模ゼロトラスト導入から2年経った“事実”　　

このように、リモートワークを進める上で大きな役割を果たしています。

日立製作所:ゼロトラスト・セキュリティ技術の提供

日立製作所では様々なゼロトラスト・セキュリティを実現するための技術を開発し、その提供を行っております。 以下の3つはそれの一例になります。

• クラウドワークロードセキュリティサービス
  CSPMというアプローチを利用し、クラウド上のセキュリティと規則準拠状況を監視による情報資産の最適な運用支援を行う技術です。
• Splunk Enterprise
  SIEM（XDR）を利用することで、セキュリティ機器の運用状況やログを自動分析し、セキュリティイベントを迅速に検知をすることができます。
• CyCognito
  EASMにより、企業が存在を把握できていないものも含めて、企業が保有している資産の探索、およびそれに対しての脆弱性診断により潜在的なリスクを検出することができます。

もちろん、この他にも日立製作所は多種多様なサービスを提供しており、ゼロトラストビジネスは現在ホットな話題の一つと考えられます。

参照：
日立製作所／ゼロトラスト・セキュリティ
日立製作所／CyCognito（サイコグニト）

NTTデータ：東京2020オリンピック・パラリンピックにおけるサイバーセキュリティ対策

2018年、平昌での冬季オリンピック・パラリンピックでは、以下のような問題が発生していました。

“2018年2月に開催された平昌オリンピック。2月9日に行われた開会式の裏では、「Olympic Destroyer」と呼ばれるマルウェアによる被害が発生した。Wi-Fiサービスが利用できなくなったり、チケットのプリントができなくなったりと、大会運営に支障が生じたことが報じられている。”

引用：　　
WIRED／平昌冬期五輪を、さらなるサイバー攻撃が襲った　　
──マルウェア「Olympic Destroyer」の正体/2018.02.16　　

この事態を受けて、NTTデータは東京2020夏季オリンピック・パラリンピックでのマルウェア対策として、内側からのセキュリティにEDR（EPP）や、NDR、UEBAなどの考え方を用いて、自国でのオリンピック・パラリンピックを成功させました。 このような世界的イベントでのセキュリティにおいても成果が実証されていることからも、ゼロトラストへの注目がより高まっていくと考えられるのではないでしょうか。

参照：
NTTデータ／
東京2020オリンピック・パラリンピック競技大会における
NTTの貢献～ 通信サービス with サイバーセキュリティの観点から～

将来展望

ゼロトラストは、ITセキュリティとしての重要性がますます高まっています。

将来的には組織がネットワーク内外のすべてのリソースに対して信頼を確立するための基盤として、さらに普及していくと考えられます。 これには、ゼロトラストの原則に基づいたアクセス制御や認証、ネットワークセグメンテーション、さらには機械学習やAIを活用したリスク評価などの技術が組み合わされることが想定されます。

また、クラウドネイティブなアプローチやゼロトラストに準拠した製品・サービスの開発も進んでいくでしょう。さらに、IoTやエッジコンピューティングなどの新たなテクノロジーの普及に伴い、ゼロトラストの範囲はますます広がると予想されます。

ゼロトラストのメリット

• ネットワーク内のすべてのリソースに対してアクセス制御を強化するため、セキュリティを向上させることができる
• ユーザーが認証されたデバイスやアイデンティティを持っているかどうかを確認することで、セキュリティを向上できる
• ネットワーク内のセグメントごとにアクセスを制限し、攻撃の拡散を防ぐことができる
• データの暗号化やアクセス制御を通じて、データの保護を強化します。

ゼロトラストのデメリット

• ゼロトラストの実装のために、組織全体のネットワークおよびセキュリティアーキテクチャを再設計する必要がある
• アクセスの認証などのセキュリティ制御は、ユーザーやデバイスの利便性を下げる恐れがある
• 既存のインフラストラクチャやレガシーシステムとの統合が難しい場合がある

富士誇（フジコ）の見解

新型コロナウイルス蔓延を皮切りに世界だけではなく日本国内でも、ますますリモートワークの需要が高まっていることから、これからのITセキュリティにおいて将来的に重要性が認められていくのではないかと考えられます。 ゼロトラストの導入が進むにつれて、以下のような職種が市場価値を増していくと考えられます。

• セキュリティエンジニア
  ゼロトラストネットワーキングやセキュリティポリシーの実装、監視、および管理に関する専門知識を持つ人材としての需要が高まっていくと見られます。 クラウドに関する知識も高めておくと尚良いでしょう。
• サイバーセキュリティアナリスト
  ネットワークやシステム上のセキュリティインシデントの監視、検出、および対応を担うため、ゼロトラストを運用していく上で欠かせない人材となるでしょう。
• セキュリティコンサルタント
  リモートワークの普及によりゼロトラストの導入を検討している企業も多いと考えられます。そのような企業に対して戦略の提案を行うことのできる専門家の需要は増えていくことでしょう。

少しでもゼロトラストに関してご興味があり、転職をお考えの方は、コンサルファーム・SIerを選択肢に入れてみてはいかがでしょうか。

【富士誇取り扱い求人】

• 株式会社 日立製作所／社会イノベーション事業を支えるサイバーセキュリティシステム/サービスの企画から実装まで担うエンジニア
• 株式会社NTTデータ／【金融】金融機関向け情報系システムのセキュリティエンジニア
• 株式会社NTTデータ／【TC＆S】デジタルワークスペース構築／新規ソリューション開発におけるプロジェクトリーダー
• TIS株式会社／【IT基盤サービス事業部】セキュリティソリューションの提案/設計/構築エンジニア
• PwCコンサルティング合同会社／サイバーセキュリティコンサルタント【TRC-CSP】
• デロイト トーマツ サイバー合同会社／サイバーオペレートコンサルタント
• シンプレクス・ホールディングス株式会社／セキュリティエンジニア（サービスマネジメント、運用領域）

「コンサルティングファーム/エンジニア転職なら富士誇にご相談ください！」

記事作成者：株式会社富士誇　吉田 爽汰