Live Global Events: Secure, Simplify, and Transform Your Business.

See Agenda and Locations

ゼロトラストとは

ゼロトラストは、クラウド環境やモバイル環境で組織を保護するためのフレームワークで、基本的にどのユーザーやアプリケーションも信頼すべきではないという概念です。ゼロトラストの重要な原則である最小特権アクセスに従い、ユーザーのアイデンティティーや場所、エンドポイントのセキュリティ態勢、リクエストされているアプリやサービスなどのコンテキストに基づいて、各フェーズでポリシー チェックを行いながら信頼を確立します。

ゼロトラスト アーキテクチャーの7つの要素
見る

ゼロトラスト アーキテクチャーとは

ゼロトラストとは「何も信頼しない」を前提に、最小特権アクセスによる制御と厳格なユーザー認証によって確立されたコンテキストに基づいて、セキュリティ ポリシーを適用するサイバーセキュリティ戦略です。適切に調整されたゼロトラスト アーキテクチャーを用いることで、ネットワーク インフラの簡素化、ユーザー エクスペリエンスの向上、そしてサイバー脅威に対する防御力の強化が可能になります。

ゼロトラスト アーキテクチャーでは、「決して信用せず、常に確認せよ」という原則に従います。Forrester Researchに当時在籍していたJohn Kindervag氏が初めてこの言葉を使用し、それ以降定着しています。ゼロトラスト アーキテクチャーは、ユーザーの役割や場所、デバイス、リクエストしているデータなどのコンテキストに基づいてアクセス ポリシーを適用し、不適切なアクセスや環境内でのラテラル ムーブメントをブロックします。

効果的なゼロトラスト アーキテクチャーを確立するには、企業環境のユーザーとトラフィックの可視化と制御(暗号化されているものも含む)、環境内の領域間のトラフィックの監視と検証、そして生体認証やワンタイム コードなどのパスワード以外の強力な多要素認証などが必要です。

ゼロトラスト アーキテクチャーでは、ネットワーク上の場所はリソースのセキュリティ態勢にとって最も重要な要因とはみなされません。固定的なネットワーク セグメンテーションではなく、データ、ワークフロー、サービスなどがソフトウェア定義のマイクロセグメンテーションによって保護されるため、データ センター内であっても、分散型のハイブリッド環境やマルチクラウド環境内であっても、セキュリティを維持できます。

ゼロトラストを実装するには

ゼロトラストの実装とは、セキュアなトランスフォーメーションを実現することです。「ゼロトラスト アーキテクチャーの必要性を理解しているものの、何から着手すればいいのかわからない」そういった組織は少なくありません。そして、ゼロトラスト セキュリティの定義を独自に定めるセキュリティ プロバイダーが多く存在しています。真のゼロトラストは一朝一夕には実現しません。それは、従業員を活性化し、保護することから始まる旅のようなものなのです。

詳細については、このテーマを掘り下げた記事「ゼロトラストを実装するには」でご確認ください。

ネットワーク上の場所を最も重要な要因とみなさないことで、過剰な暗黙の信頼を排除し、明示的なアイデンティティーベースの信頼に置き換えることができます。

Gartner, Market Guide to Zero Trust Network Access、2020年6月

ゼロトラスト セキュリティの仕組み

ゼロトラストは、セキュアなネットワーク境界に基づく従来のモデルとは異なり、コア コンセプトとして、すべてのコンポーネントや接続は悪意を持ったものであるという前提に立っています。信頼を前提としないこのコンセプトは、技術的には以下のように定義されます。

  • 基盤となるアーキテクチャー:従来のモデルでは、承認されたIPアドレス、ポート、プロトコルを使用してアクセス制御を行い、リモート アクセスVPNによって信頼の検証を行っていました。
  • インライン アプローチ:ネットワーク境界内のものも含め、すべてのトラフィックは潜在的に悪意を持ったものであると見なし、フィンガープリントやアイデンティティーなどの特定の属性による検証が行われるまでブロックします。
  • コンテキスト認識型ポリシー:パブリック クラウド、ハイブリッド環境、コンテナー、オンプレミス ネットワーク アーキテクチャーなど、どこで行われるワークロードの通信に対しても強力なセキュリティを適用します。
  • 多要素認証:ユーザー、アイデンティティー、デバイス、場所に基づいて認証を行います。
  • 環境に依存しないセキュリティ:通信環境に関係なく保護を適用し、ネットワーク間の通信の安全性を強化します。アーキテクチャーの変更やポリシーの更新は必要ありません。
  • ビジネス向けの接続:ゼロトラスト モデルでは、ビジネス ポリシーを使用して、あらゆるネットワークにまたがるユーザー、デバイス、アプリケーションを安全に接続し、セキュア デジタル トランスフォーメーションを支えます。

ゼロトラストは、マーケティング用語として誤って使用されています。ベンダーは「ゼロトラスト」という言葉をセキュリティのあらゆるものに当てはめているため、マーケティング上の大きな混乱が生じているのです。

2019年、Gartner

ゼロトラスト モデルの基本原則

ゼロトラストは、ユーザーのアイデンティティー、セグメンテーション、安全なアクセスについての概念にとどまらず、サイバーセキュリティのエコシステムを構築するための戦略といえます。その中心には、以下の3つの理念があります。

  1. すべての接続を終了:ファイアウォールなどの技術は、配信されるファイルを検査する「パススルー」アプローチを採用しています。悪意のあるファイルが検出されても、多くの場合警告は手遅れとなってしまいます。効果的なゼロトラスト ソリューションはすべての接続を終了し、暗号化されたトラフィックを含むすべてのトラフィックが送信先に届く前にインライン プロキシ アーキテクチャーでリアルタイムに検査するため、マルウェアやランサムウェアなどの侵入を防止できます。
  2. きめ細かなコンテキストベースのポリシーでデータを保護:ゼロトラスト ポリシーは、ユーザーのアイデンティティー、デバイス、場所、コンテンツの種類、要求されたアプリケーションなどのコンテキストに基づいて、アクセス要求と権利を検証します。ポリシーは適応性を備えているため、ユーザー アクセスはコンテキストが変化するたびに継続的に見直されます。
  3. 攻撃対象を排除することでリスクを低減:ゼロトラスト アプローチでは、ユーザーは必要なアプリやリソースに直接接続し、ネットワークには接続しません(ZTNAを参照)。ユーザーとアプリ間またはアプリ間で直接接続するため、ラテラル ムーブメントのリスクが排除され、侵害されたデバイスが他のリソースに感染することを防ぎます。さらに、ユーザーやアプリはインターネットから見えないため、検出や攻撃の対象になることはありません。

ゼロトラスト アーキテクチャーを採用するメリット

現在のクラウド環境は、個人識別情報(PII)、知的財産(IP)、財務情報などの業務上重要な機密データを盗み出して、破壊および身代金を要求するサイバー犯罪者にとっては格好のターゲットとなります。‍‍

完璧なセキュリティ戦略というものはありませんが、ゼロトラストは現時点で最も効果的な戦略の1つです。

  • 攻撃対象領域の削減およびデータ侵害リスクの軽減
  • クラウドおよびコンテナー環境に対するきめ細かなアクセス制御の提供
  • 実際に攻撃を受けた際の影響や深刻性の軽減、および環境の正常化にかかる時間やコストの削減
  • コンプライアンス戦略のサポート

ゼロトラスト セキュリティ モデルは、クラウド セキュリティを確保するうえで最も効果的な手段です。現在のIT環境では、クラウド、エンドポイント、データが無秩序に広がっているため、適切な検証をすることなく接続を信頼しないことが非常に重要になります。さらに、可視性の向上により、現場の管理者からCISOに至るまでの、ITおよびセキュリティ部門の負担を大幅に軽減することができます。

ゼロトラストによって保護できる領域

ゼロトラストをITエコシステム全体に適用することで、以下の領域に対してきめ細かい保護を施せます。

  • アプリケーション
  • データ
  • エンドポイント
  • アイデンティティー
  • インフラストラクチャー
  • ネットワーク

ゼロトラストのユース ケース

1. ビジネスと組織のリスクの低減

ゼロトラスト ソリューションは、認証や承認の要件など、事前に定義された信頼の原則を満たす不変のプロパティーであるアイデンティティーの属性によって検証されるまで、すべてのアプリケーションやサービスの通信を停止します。

したがってゼロトラストは、何がネットワーク上にあるのか、またそれらの資産がどのように通信しているのかを明らかにすることでリスクを低減します。ベースラインが確立されると、ゼロトラスト戦略は、過剰にプロビジョニングされたソフトウェアやサービスを排除し、通信しているすべての資産の「認証情報」を継続的に検証することで、リスクをさらに低減します。

2. クラウドやコンテナー環境に対するアクセス制御の提供

アクセス管理と可視性の喪失は、セキュリティ担当者がクラウドへの移行に関して最も恐れていることです。クラウド サービス プロバイダー(CSP)のセキュリティが強化されているにもかかわらず、ワークロードのセキュリティは企業とCSPとの間で責任を共有するものとなっています。とはいえ、CSPのクラウド内で与えられる影響の範囲は限られています。

ゼロトラスト セキュリティ アーキテクチャーでは、通信しているワークロードのアイデンティティーに基づいてセキュリティ ポリシーが適用され、ワークロード自体に直接結び付けられます。これにより、IPアドレス、ポート、プロトコルなどのネットワーク構造の影響を受けずに、保護が必要な資産にセキュリティを可能な限り近づけることができます。セキュリティはワークロードとともに移動し、環境が変化しても常に一定の状態を保ちます。

3. データ侵害のリスクの軽減

最小特権の原則に従って、すべてのエンティティーは悪意があるとみなされます。「信頼」が付与される前にすべてのリクエストが検査され、ユーザーとデバイスが認証されたのち、権限が評価されます。この「信頼」は、ユーザーの場所やアクセスするデータなどのコンテキストの変化に応じて、継続的に再評価されます。

侵害されたデバイスや他の脆弱性からネットワークやクラウド インスタンスに侵入できたとしても、信頼されていない攻撃者はデータにアクセスしたり、データを盗んだりすることはできません。さらに、ゼロトラスト モデルでは「1つの安全なセグメント」が作られ、ラテラル ムーブメントの手段がないため、攻撃者はどこにも行くことができません。

4. コンプライアンス戦略のサポート

ゼロトラストは、インターネットからすべてのユーザーとワークロードを不可視の状態にするため、露出されたり悪用されたりすることはありません。このような不可視化により、プライバシーに関する基準や規制(PCI DSS、NIST 800-207など)に準拠していることを簡単に証明でき、結果として監査時の指摘事項が少なくなります。

ゼロトラストのマイクロ セグメンテーションを実装することで、規制対象と非規制対象のデータを分離するためのきめ細かな制御を用いて、特定の種類の機密データ(支払いカードに関するデータ、データ バックアップなど)の周囲に境界線を設けることができます。監査中またはデータ侵害が発生した場合、マイクロセグメンテーションは、フラット ネットワーク アーキテクチャーに多く見られる過剰な特権アクセスと比較した際により優れた可視性と制御を提供します。

ゼロトラスト アーキテクチャーの図

ゼロトラストを始めるには

ゼロトラスト アーキテクチャーを設計するにあたって、セキュリティ部門や IT部門は最初に、次の2つの質問について考える必要があります。

  1. 何を保護しようとしているのか。
  2. 誰から保護しようとしているのか。

どのような戦略を取るかによって、アーキテクチャーの設計方法が決まります。それに続いて、技術やプロセスをその戦略に基づいて確立することが最も効果的なアプローチであり、その逆ではありません。

Gartnerは、ゼロトラスト ネットワーク アクセス(ZTNA)フレームワークにおいて、サービスとして提供されるゼロトラストを活用することを推奨しています。また、ゼロトラストを広範囲に導入する前に、最も重要な資産から始める、あるいはテスト ケースとして重要度の低い資産から始めるなど、段階的なアプローチをとることもできます。出発点を問わず、最適なゼロトラスト ソリューションを用いることで、リスクの削減とセキュリティ制御において瞬時にメリットを得られます。

ゼロトラスト ソリューションとしてZscalerを選択すべき理由

Zscalerはクラウドで誕生し、クラウドを使用する組織向けに構築された、ゼロトラスト プラットフォームを提供する唯一のサイバーセキュリティ ベンダーです。さらに、業界で最も権威のあるアナリスト レポートやランキングにおいて常にリーダーの1社として評価され、革新的なパートナーや顧客の支持を得ています。

これはすべて、当社の主力プラットフォームであるZscaler Zero Trust Exchangeの成果です。

ゼロトラスト アーキテクチャーの図

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™は、ゼロトラスト上に構築されたクラウド ネイティブのプラットフォームです。最小特権の原則に基づいて、ユーザーの場所、デバイスのセキュリティ態勢、通信されるコンテンツ、要求されているアプリケーションなどのコンテキストを通じて信頼を確立します。信頼が確立されると、従業員はどこにいても、ネットワークに直接配置されることなく、高速かつ信頼性の高い接続を得ることができます。

Zero Trust Exchangeは、世界150拠点以上のデータ センターで運用されています。ユーザーの近くでサービスを提供できるよう、ユーザーがアクセスするクラウド プロバイダーやアプリケーションとの共同設置を行っています。これにより、ユーザーと接続先の経路が最短となり、総合的なセキュリティと優れたユーザー エクスペリエンスを提供できます。

おすすめのリソース

よくある質問

ゼロトラストを採用するべきなのはなぜですか?

ネットワーク内に存在するものはすべて信頼できるという前提に立つ従来型のセキュリティ モデルは、クラウド化やモバイル化が進む現在では機能しなくなっています。そこで、ゼロトラストを採用する必要が出てきます。ゼロトラストでは、デバイスや場所を問わず、すべてのエンティティーからのアクセスを必ず検証したうえで許可します。このような事前予防的なアプローチにより、ネットワーク内でのラテラル ムーブメントを制限し、内部の脅威によるリスクの軽減や全体的なセキュリティ態勢の強化を通して、侵害による潜在的な影響を最小限に抑えることができます。

ゼロトラスト セキュリティが重要なのはなぜですか?

ゼロトラスト セキュリティが重要なのは、ハイパーコネクテッドなデジタル環境において、従来の境界ベースのセキュリティでは対応できない課題を解決できるからです。ゼロトラストでは、脅威はどこにでも潜んでいる(外部からやってくるだけでなく内部にも存在する)可能性があるという前提に基づき、厳格な最小特権アクセス制御と継続的な検証を実施して侵害を防止し、実際に攻撃を受けた際の影響範囲を抑え、高度に進化する脅威に対処するための強力なセキュリティ態勢を維持します。

What Are the Goals of Zero Trust?

The goals of zero trust are to enhance security, protect sensitive data, and mitigate cyber risk. To accomplish this, zero trust architectures verify and validate every entity accessing the network, implement strict access controls based on user identity and context, continuously monitor network activity for potential security risks, and encrypt sensitive data to prevent unauthorized access.

ゼロトラストはVPNの代わりになりますか?

ゼロトラストの原則を拡張したゼロトラスト ネットワーク アクセス(ZTNA)は、VPNの理想的な代替手段です。現在、プライベート アプリケーションへのアクセスの方法は、ネットワーク中心のものからユーザーやアプリ中心のものに変わってきており、結果としてゼロトラストの人気が高まり、ZTNAサービスの採用が広がっています。ZTNAはアイデンティティーおよびコンテキストの動的な認識に基づいて、ユーザーからアプリケーションへの接続を確立することで、プライベート アプリケーションへの安全なアクセスを可能にします。VPNに比べて複雑性は軽減される一方、セキュリティは強化され、スムーズなユーザー エクスペリエンスにつながります。

ゼロトラストとSASEはどのような関係ですか?

ゼロトラストとセキュア アクセス サービス エッジ(SASE)フレームワークは相補的な関係にあります。ゼロトラストが厳格なアクセス制御と継続的な検証を維持する一方、SASEはネットワーク セキュリティと広域ネットワークをクラウド ベースのサービスに統合し、アイデンティティー管理、ロールベースのアクセス、暗号化、脅威防止、一貫したユーザー エクスペリエンスを提供します。ゼロトラストはアクセス フレームワークであり、SASEはそれを支えるインフラストラクチャーやサービスを提供するもの考えることができます。

ゼロトラストはVPNを利用したアプローチとどのように異なるのですか?

VPNを利用した従来のアプローチでは、ユーザーは一度認証された後、ネットワークに配置され、すべてのリソースへのアクセスが許可されます。さらに、ユーザーのトラフィックを組織のデータ センターを介してバックホールする必要があるため、インターネット接続のパフォーマンスを低下させてしまいます。一方、ゼロトラストではユーザーをプライベート アプリケーションに直接接続するため、セキュリティを強化しながらユーザー エクスペリエンスも改善できます。