VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

ゼロトラストとは

ゼロトラストは、ユーザーやアプリ、サービス、デバイスなど、いかなるエンティティーもデフォルトで信頼されるべきではないとするセキュリティ戦略です。最小特権アクセスの原則に従って、接続が許可される前にエンティティーのコンテキストとセキュリティ態勢に基づいて信頼を確立し、エンティティーが以前に認証されていた場合でも、新しい接続ごとに継続的に再評価します。

ゼロトラスト アーキテクチャーの7つの要素
見る

ゼロトラスト アーキテクチャーとは

ゼロトラストとは「何も信頼しない」を前提に、最小特権アクセスによる制御と厳格なユーザー認証によって確立されたコンテキストに基づいて、セキュリティ ポリシーを適用するサイバーセキュリティ戦略です。適切に調整されたゼロトラスト アーキテクチャーを用いることで、ネットワーク インフラの簡素化、ユーザー エクスペリエンスの向上、そしてサイバー脅威に対する防御力の強化が可能になります。

ゼロトラスト アーキテクチャーでは、「決して信用せず、常に確認せよ」という原則に従います。Forrester Researchに当時在籍していたJohn Kindervag氏が初めてこの言葉を使用し、それ以降定着しています。ゼロトラスト アーキテクチャーは、ユーザーの役割や場所、デバイス、リクエストしているデータなどのコンテキストに基づいてアクセス ポリシーを適用し、不適切なアクセスや環境内でのラテラル ムーブメントをブロックします。

効果的なゼロトラスト アーキテクチャーを確立するには、企業環境のユーザーとトラフィックの可視化と制御(暗号化されているものも含む)、環境内の領域間のトラフィックの監視と検証、そして生体認証やワンタイム コードなどのパスワード以外の強力な多要素認証などが必要です。

ゼロトラスト アーキテクチャーでは、ネットワーク上の場所はリソースのセキュリティ態勢にとって最も重要な要因とはみなされません。固定的なネットワーク セグメンテーションではなく、データ、ワークフロー、サービスなどがソフトウェア定義のマイクロセグメンテーションによって保護されるため、データ センター内であっても、分散型のハイブリッド環境やマルチクラウド環境内であっても、セキュリティを維持できます。

ネットワーク上の場所を最も重要な要因とみなさないことで、過剰な暗黙の信頼を排除し、明示的なアイデンティティーベースの信頼に置き換えることができます。

Gartner, Market Guide to Zero Trust Network Access、2020年6月

ゼロトラスト セキュリティの仕組み

ゼロトラストは、セキュアなネットワーク境界に基づく従来のモデルとは異なり、コア コンセプトとして、すべてのコンポーネントや接続は悪意を持ったものであるという前提に立っています。信頼を前提としないこのコンセプトは、技術的には以下のように定義されます。

  • 基盤となるアーキテクチャー従来のモデルでは、承認されたIPアドレス、ポート、プロトコルを使用してアクセス制御を行い、リモート アクセスVPNで信頼を検証していました。
  • インライン アプローチ:ネットワーク境界内のものも含め、すべてのトラフィックは潜在的に悪意を持ったものであると見なし、フィンガープリントやアイデンティティーなどの特定の属性による検証が行われるまでブロックします。
  • コンテキスト認識型ポリシー:パブリック クラウド、ハイブリッド環境、コンテナー、オンプレミス ネットワーク アーキテクチャーなど、どこで行われるワークロードの通信に対しても強力なセキュリティを適用します。
  • 多要素認証:ユーザー、アイデンティティー、デバイス、場所に基づいて認証を行います。
  • 環境に依存しないセキュリティ:通信環境に関係なく保護を適用し、ネットワーク間の通信の安全性を強化します。アーキテクチャーの変更やポリシーの更新は必要ありません。
  • ビジネス向けの接続:ゼロトラスト モデルでは、ビジネス ポリシーを使用して、あらゆるネットワークにまたがるユーザー、デバイス、アプリケーションを安全に接続し、セキュア デジタル トランスフォーメーションを支えます。

ゼロトラストは、マーケティング用語として誤って使用されています。ベンダーは「ゼロトラスト」という言葉をセキュリティのあらゆるものに当てはめているため、マーケティング上の大きな混乱が生じているのです。

2019年、Gartner

ゼロトラスト モデルの基本原則

ゼロトラストは、ユーザーのアイデンティティー、セグメンテーション、安全なアクセスについての概念にとどまらず、サイバーセキュリティのエコシステムを構築するための戦略といえます。その中心には、以下の3つの理念があります。

  1. すべての接続を終了:ファイアウォールなどの技術は、配信されるファイルを検査する「パススルー」アプローチを採用しています。悪意のあるファイルが検出されても、多くの場合警告は手遅れとなってしまいます。効果的なゼロトラスト ソリューションはすべての接続を終了させ、暗号化されたトラフィックを含むすべてのトラフィックが送信先に届く前にインライン プロキシ アーキテクチャーでリアルタイムに検査するため、マルウェアやランサムウェアなどの侵入を防止できます。
  2. きめ細かなコンテキストベースのポリシーを用いたデータの保護:ゼロトラスト ポリシーは、ユーザーのアイデンティティー、デバイス、場所、コンテンツの種類、要求されたアプリケーションなどのコンテキストに基づいて、アクセス要求と権利を検証します。ポリシーは適応性があり、ユーザーのアクセス権限はコンテキストの変化に応じて継続的に見直されます。
  3. 攻撃対象を排除することでリスクを低減:ゼロトラスト アプローチでは、ユーザーは必要なアプリやリソースに直接接続され、ネットワークには接続されません(ZTNAを参照)。ユーザーとアプリ間またはアプリ間で直接接続されるため、ラテラル ムーブメントのリスクが排除され、侵害されたデバイスが他のリソースに感染するのを防ぎます。さらに、ユーザーやアプリはインターネットから見えないため、検出や攻撃の対象になることはありません。

ゼロトラスト アーキテクチャーを採用するメリット

現在のクラウド環境は、個人識別情報(PII)、知的財産(IP)、財務情報などの業務上重要な機密データを盗み出して、破壊および身代金を要求するサイバー犯罪者にとっては格好のターゲットとなります。‍‍

完璧なセキュリティ戦略というものはありませんが、ゼロトラストは現時点で最も効果的な戦略の1つです。

  • 攻撃対象領域の削減およびデータ侵害リスクの軽減
  • クラウドおよびコンテナー環境に対するきめ細かなアクセス制御の提供
  • 実際に攻撃を受けた際の影響や深刻性の軽減、および環境の正常化にかかる時間やコストの削減
  • コンプライアンス戦略のサポート

ゼロトラスト セキュリティ モデルは、クラウド セキュリティを確保するうえで最も効果的な手段です。現在のIT環境では、クラウド、エンドポイント、データが無秩序に広がっているため、適切な検証をすることなく接続を信頼しないことが非常に重要になります。さらに、可視性の向上により、現場の管理者からCISOに至るまでの、ITおよびセキュリティ部門の負担を大幅に軽減することができます。

ゼロトラストによって保護できる領域

ゼロトラストをITエコシステム全体に適用することで、以下の領域に対してきめ細かい保護を施せます。

  • アプリケーション
  • データ
  • エンドポイント
  • アイデンティティー
  • インフラストラクチャー
  • ネットワーク

ゼロトラストのユース ケース

1. ビジネスと組織のリスクの低減

ゼロトラスト アーキテクチャーは、事前定義された信頼の原則に従って認証されるまで、すべてのアプリケーションとサービスの通信を停止することでリスクを軽減します。ゼロトラスト戦略により、環境内のアセットがどのように通信しているかを把握でき、ベースラインが確立されると過剰にプロビジョニングされたソフトウェアとサービスを排除してリスクをさらに軽減できます。

2. クラウドやコンテナー環境に対するアクセス制御の提供

ゼロトラスト セキュリティ ポリシーはワークロード アイデンティティーに基づいて適用され、IPアドレス、ポート、プロトコルの影響を受けません。保護はワークロード自体に紐づけられ、環境の変化に影響を受けないため、クラウド サービス プロバイダーやコンテナーに関連するアクセス管理、可視性、一般的なワークロード セキュリティなどの課題が大幅に軽減されます。

3. データ侵害のリスクの軽減

ゼロトラスト アーキテクチャーは、すべてのリクエストを検査し、すべてのユーザーとデバイスを認証し、アクセスを許可する前にすべての権限を評価し、コンテキストの変化に応じて継続的に信頼を再評価します。さらに、ゼロトラスト モデルでは、ラテラル ムーブメントの手段を使わずに1対1のセキュアな接続が用意されます。そのため、攻撃者が環境に侵入したとしても、信頼を確立できなければデータへのアクセスや盗難はできません。

4. コンプライアンス戦略のサポート

ゼロトラストはインターネットからすべてのユーザーとワークロードの接続を見えなくし、PCI DSSやNIST 800-207などの規格への準拠を簡素化しながら、よりスムーズな監査プロセスをサポートします。ゼロトラスト マイクロセグメンテーションでは、規制対象と非規制対象のデータを切り分けるためのきめ細かな制御を用いて、特定の種類の機密データの周囲に境界を設けることができます。監査中またはデータ侵害が発生した際、マイクロセグメンテーションはフラットなネットワーク アーキテクチャーよりも優れた可視性と制御を提供します。

ゼロトラスト アーキテクチャーの図

ゼロトラストを始めるには

ゼロトラスト アーキテクチャーを設計するにあたって、セキュリティ部門や IT部門は最初に、次の2つの質問について考える必要があります。

  1. 何を保護しようとしているのか。
  2. 誰から保護しようとしているのか。

どのような戦略を取るかによって、アーキテクチャーの設計方法が決まります。それに続いて、技術やプロセスをその戦略に基づいて確立することが最も効果的なアプローチであり、その逆ではありません。

Gartnerは、ゼロトラスト ネットワーク アクセス(ZTNA)フレームワークにおいて、サービスとして提供されるゼロトラストを活用することを推奨しています。また、ゼロトラストを広範囲に導入する前に、最も重要な資産から始める、あるいはテスト ケースとして重要度の低い資産から始めるなど、段階的なアプローチをとることもできます。出発点を問わず、最適なゼロトラスト ソリューションを用いることで、リスクの削減とセキュリティ制御において瞬時にメリットを得られます。

ゼロトラストを実装するには

ゼロトラストの実装とは、セキュアなトランスフォーメーションを実現することです。「ゼロトラスト アーキテクチャーの必要性を理解しているものの、何から着手すればいいのかわからない」そういった組織は少なくありません。そして、ゼロトラスト セキュリティの定義を独自に定めるセキュリティ プロバイダーが多く存在しています。真のゼロトラストは一朝一夕には実現しません。それは、従業員を活性化し、保護することから始まる旅のようなものなのです。

詳細については、このテーマを掘り下げた記事「ゼロトラストを実装するには」でご確認ください。

ゼロトラスト ソリューションとしてZscalerを選択すべき理由

Zscalerはクラウドで誕生し、クラウドを使用する組織向けに構築された、ゼロトラスト プラットフォームを提供する唯一のサイバーセキュリティ ベンダーです。さらに、業界で最も権威のあるアナリスト レポートやランキングにおいて常にリーダーの1社として評価され、革新的なパートナーや顧客の支持を得ています。

これはすべて、当社の主力プラットフォームであるZscaler Zero Trust Exchangeの成果です。

ゼロトラスト アーキテクチャーの図

Zscaler Zero Trust Exchange

Zscaler Zero Trust Exchange™は、ゼロトラスト上に構築されたクラウド ネイティブのプラットフォームです。最小特権の原則に基づいて、ユーザーの場所、デバイスのセキュリティ態勢、通信されるコンテンツ、要求されているアプリケーションなどのコンテキストを通じて信頼を確立します。信頼が確立されると、従業員はどこにいても、ネットワークに直接配置されることなく、高速かつ信頼性の高い接続を得ることができます。

全世界150拠点以上のデータ センターで稼働するZero Trust Exchangeは、ユーザーがアクセスするクラウド プロバイダーやアプリケーションと併置されており、ユーザーに近い場所でサービスを提供します。これにより、ユーザーと接続先の経路が最短となり、包括的なセキュリティと優れたユーザー エクスペリエンスを実現できます。

おすすめのリソース

よくある質問

ゼロトラストが必要な理由

ネットワーク内に存在するものはすべて信頼できるという前提に立つ従来型のセキュリティ モデルは、クラウド化やモバイル化が進む現在では機能しなくなっています。そこで、ゼロトラストを採用する必要が出てきます。ゼロトラストでは、デバイスや場所を問わず、すべてのエンティティーからのアクセスを必ず検証したうえで許可します。このような事前予防的なアプローチにより、ネットワーク内でのラテラル ムーブメントを制限し、内部の脅威によるリスクの軽減や全体的なセキュリティ態勢の強化を通して、侵害による潜在的な影響を最小限に抑えることができます。

ゼロトラスト セキュリティが重要なのはなぜですか?

ゼロトラスト セキュリティが重要なのは、ハイパーコネクテッドなデジタル環境において、従来の境界ベースのセキュリティでは対応できない課題を解決できるからです。ゼロトラストでは、脅威はどこにでも潜んでいる(外部からやってくるだけでなく内部にも存在する)可能性があるという前提に基づき、厳格な最小特権アクセス制御と継続的な検証を実施して侵害を防止し、実際に攻撃を受けた際の影響範囲を抑え、高度に進化する脅威に対処するための強力なセキュリティ態勢を維持します。

ゼロトラストが目指すものは何ですか?

ゼロトラストの目標は、セキュリティの強化、機密データの保護、サイバー リスクの軽減です。これを実現するために、ゼロトラスト アーキテクチャーはネットワークにアクセスするすべてのエンティティーの正当性と要件を検証し、ユーザーのアイデンティティーとコンテキストに基づいて厳格なアクセス制御を実装します。そして、潜在的なセキュリティ リスクについてネットワーク アクティビティーを継続的に監視し、機密データを暗号化して不正アクセスを防止します。

ゼロトラストはVPNの代わりになりますか?

ゼロトラストの原則を拡張したゼロトラスト ネットワーク アクセス(ZTNA)は、VPNの理想的な代替手段です。現在、プライベート アプリケーションへのアクセスの方法は、ネットワーク中心のものからユーザーやアプリ中心のものに変わってきており、結果としてゼロトラストの人気が高まり、ZTNAサービスの採用が広がっています。ZTNAはアイデンティティーおよびコンテキストの動的な認識に基づいて、ユーザーからアプリケーションへの接続を確立することで、プライベート アプリケーションへの安全なアクセスを可能にします。VPNに比べて複雑性は軽減される一方、セキュリティは強化され、スムーズなユーザー エクスペリエンスにつながります。

ゼロトラストとSASEはどのような関係ですか?

ゼロトラストとセキュア アクセス サービス エッジ(SASE)フレームワークは相補的な関係にあります。ゼロトラストが厳格なアクセス制御と継続的な検証を維持する一方、SASEはネットワーク セキュリティと広域ネットワークをクラウド ベースのサービスに統合し、アイデンティティー管理、ロールベースのアクセス、暗号化、脅威防止、一貫したユーザー エクスペリエンスを提供します。ゼロトラストはアクセス フレームワークであり、SASEはそれを支えるインフラストラクチャーやサービスを提供するもの考えることができます。

ゼロトラストはVPNを利用したアプローチとどのように異なるのですか?

VPNを利用した従来のアプローチでは、ユーザーは一度認証された後、ネットワークに配置され、すべてのリソースへのアクセスが許可されます。さらに、ユーザーのトラフィックを組織のデータ センターを介してバックホールする必要があるため、インターネット接続のパフォーマンスを低下させてしまいます。一方、ゼロトラストではユーザーをプライベート アプリケーションに直接接続するため、セキュリティを強化しながらユーザー エクスペリエンスも改善できます。