【Next Tokyo ’24】セッションのアーカイブ動画とスライドを公開中です。生成 AI を中心とした Google Cloud のアップデートや顧客事例をチェックしましょう。

ゼロトラスト セキュリティとは

ゼロトラストは、たとえすでに組織のネットワーク内にすでに存在する場合でも、いかなる人やデバイスもデフォルトでは信頼すべきではないという考えに基づき、組織の保護に使用されるセキュリティ モデルです。ゼロトラスト アプローチは、信頼できる境界だけでなくネットワーク全体に厳格な ID 認証と承認を適用することで、暗黙的な信頼を排除することを目的としています。このモデルでは、リソースへのアクセス リクエストはすべて、検査、認証、検証が行われるまで、信頼できないネットワークから送信されたものとして扱われます。

Forrester Research のアナリストである John Kindervag 氏が、2010 年にゼロトラスト セキュリティ モデルを初めて提案しました。このモデルは、主にネットワーク境界でのアクセスの防御に重点を置き、内部のものはすべて信頼できると仮定していた従来の IT セキュリティ・モデルから変化しています。

残念ながら、従来型のアプローチでは、攻撃者がネットワークにアクセスしてしまった場合、防御することはほとんどできません。いったんネットワーク内に侵入した攻撃者は、自由に移動でき、高価値データやアセットへのアクセスを拡大しようとします。これは、ラテラル ムーブメントとして知られる手法です。今日の IT 環境では、リソースやデータが分散しているため、このことは一層問題となることが多く、1 つのポイントからのネットワーク上のセキュリティ・コントロールの実装は困難になっています。

ゼロトラスト アプローチにより、企業は IT 環境のセキュリティを強化し、攻撃を制限または防止できます。

Google が BeyondCorp ゼロトラスト クラウド セキュリティ モデルを実装し、アクセス制御をネットワーク境界から個々のユーザーやデバイスに移行している方法をご確認ください。

ゼロトラストの定義

ゼロトラストは、暗黙の信頼を取り除き、厳格な ID 認証と認可を適用することで、現代の組織を保護するために設計されたクラウド セキュリティ モデルです。ゼロトラストでは、組織のネットワークの内か外かにかかわらず、すべてのユーザー、デバイス、コンポーネントは、常に信頼できないと見なされます。

ゼロトラストの仕組み

ゼロトラストでは、信頼できるネットワーク エッジという概念をなくし、アクセスをリクエストしているユーザーやサービスが、ネットワーク内にあるかどうかや、これまでに接続した回数に関係なく、潜在的な脅威であると見なします。

ゼロトラストの定義は「誰も、何も信頼しない」または「決して信頼せず、必ず確認せよ」などと表現されることが多いですが、これらはやや限定的です。ゼロトラストの中核をなすコンセプトは、相互接続されたシステムにおいて、基盤となるコンポーネントでさえも、あらゆる人またはものを信頼すると、重大なセキュリティ リスクが生じるということです。動的でコンテキストに沿ったセキュリティ ポリシーとさまざまなテクノロジーの仕組みを使用して、信頼を確立し、継続的に検証する必要があります。

このアプローチでは、詳細なポリシー管理を使用したマイクロセグメンテーションを活用し、ネットワークを小さなセグメントと分離されたワークロードに分割します。ポリシーはコンテキスト ベースであり、ID、場所、デバイス、アクセス対象のコンテンツ、アプリケーションに基づきます。ポリシーは動的なものであり、定期的に見直され、コンテキストの変化に合わせて調整されます。

データとリソースはデフォルトでアクセスできません。接続には、認証および承認を受けた後にのみ、厳密に制御されたアクセス権が付与されます。このプロセスは、あらゆるユーザーまたは接続されたエンドポイントに適用され、ID は継続的に認証されます。また、ネットワーク・トラフィックはすべてログに記録、監視、解析され、セキュリティ侵害の兆候の有無が確認されます。

これをシンプルな方法で考えてみましょう。自社のネットワークとインフラストラクチャを政府の最高機密施設、ゼロトラストがセキュリティ システムだと考えてください。標準的な境界セキュリティ、アラーム、不正アクセスを検知するためのセンサーが含まれる場合もあります。

ゼロトラストにより、境界内のすべてのアクセス ポイントのセキュリティが強化されます。また、全館および建物の各部屋には常に鍵がかけられており、ドアは生体認証アクセス システムで制御されています。正面玄関のセキュリティを通過した後も、各ドアで本人確認を行うために指紋をスキャンする必要があり、適切なセキュリティ条件を満たしている場合にのみ通過できます。入る必要のある領域にのみ入館でき、業務の完了に必要な時間だけ滞在できます。

ゼロトラストの 3 つのコンセプト

現在、ゼロトラスト モデルには、ゼロトラスト ネットワーク アクセス(ZTNA)、ゼロトラスト アーキテクチャ(ZTA)、ゼロトラスト エッジ(ZTE)など、複数の実装が含まれています。ただし、いずれも同じ中核的なコンセプトに基づいて構築されています。

モデルを形成しているゼロトラストの 3 つの原則は次のとおりです。

  1. すべてのネットワーク トラフィックは常に脅威であると仮定します。ゼロトラストでは、すべてのユーザーが敵対的であり、脅威はネットワークの内外に遍在するという見方をします。そのため、明示的な権限のないトラフィックは自動的にアクセスを拒否されます。アクセスを継続的にリクエストすると、すべてのデバイス、ユーザー、ネットワークのフローが認証、認可、検証されます。
  2. 最小権限アクセスを適用する。ゼロトラスト セキュリティ アプローチでは、タスクを完了する能力に影響を与えることなく、必要なときに最小権限アクセス、最小限の権限、必要なリソースへのアクセスを許可します。最小権限アクセスにより、アカウントまたはデバイスが不正使用された場合に、攻撃者がより重要なリソースに横方向に移動するのを制限できます。
  3. 常にモニタリングする。ゼロトラスト モデルは、継続的なモニタリングを推奨し、ネットワーク上のアクティビティを常に分析、管理します。これにより、リソースにアクセスしようとしているエンティティをリアルタイムで把握し、潜在的な脅威、アクティブなインシデント、調査すべき異常値を特定できます。

Forrester が最初に概説したこれらのゼロトラスト原則は、米国の国立標準技術研究所(NIST)が開発したゼロトラスト フレームワークにも整合しています。お客様の組織にゼロトラストのセキュリティ モデルを実装するために必要な実践的な手順に関するガイダンスについては、NIST のフレームワークをお読みいただくことを強くおすすめします。

ゼロトラスト モデルを使用する理由

今日の活発なデータ侵害の多くは、攻撃者がネットワーク境界への侵入方法を突き止めたことだけに起因するものではありません。クラウド コンピューティングとリモートで働く従業員の台頭により、多くの組織は分散化が進む環境と多様化した境界の保護に苦戦しています。現在、データは複数のサービス、デバイス、アプリケーション、ユーザー間で生成、保存、共有され、世界中のどこからでもアクセスできるようになっています。

多くの脅威アクターは、ハイブリッド・クラウド環境でネットワークの脆弱性やカバレッジのギャップを悪用することが、実入りの良い商売であることを知っています。ソーシャル・エンジニアリングなどの高度な手法によるアカウントの侵害、偶発的または意図的な内部の脅威、サードパーティ・ベンダーによるセキュリティ対策の弱点などにより、深刻な侵害が増加しています。

セキュリティ チームは、脅威がネットワーク外からの攻撃と同じようにネットワーク内から発生する可能性が高いことを認識しています。

組織は、いずれかの対策が失敗した場合に冗長性とバックアップ・セキュリティを提供することを目的として、多層防御の階層化されたセキュリティ対策の導入を試みています。しかし、このアプローチは多くの場合、実装、管理、保守に費用がかかり、複雑になります。特に、新しいシステム、人、サービス、デバイスが導入されるたびに、あらゆるものを常に適応させて変更する必要があります。  

ゼロトラストには多層防御の戦略が組み込まれていますが、その目的は、脅威の対象となる部分を最小限に抑え、潜在的な脅威をすべて特定、軽減することなく、本質的に安全な環境を構築することです。ミッション・クリティカルなアセットへのアクセスを遮断し、攻撃者がネットワーク内をリアルタイムで横方向に移動するのを防ぐことに重点を置いています。ゼロトラストは、安全なアクセスを維持したまま、分散環境を包括的かつ優れた適応性で保護する統合されたセキュリティ アプローチを提供します。  

ゼロトラスト モデルを使用するメリット

可視性の向上

ゼロトラスト セキュリティでは、企業はアセットの場所を把握し、どの ID がどのような方法でリソースにアクセスしているかを継続的にモニタリングする必要があります。これにより、トラフィック、アセット インベントリ、リスク管理の可視性とコンテキストが向上します。

違反の影響範囲を制限する

ID には最小権限のアクセスが与えられるため、ゼロトラストにより、侵害が発生した場合の被害の範囲を制限できます。これにより、チームはより迅速に対応して攻撃を軽減でき、さらに攻撃にさらされるリスクを最小限に抑えることができます。

最新の IT 環境におけるアクセス制御

ゼロトラスト アーキテクチャでは、セキュリティ ポリシーは ID に基づいて特定のワークロードに関連付けられます。これにより、保護対象のアセットの近くにセキュリティを配置し、環境に関係なくワークロードと一緒に移動できます。

一貫して適応性の高いセキュリティ

セキュリティ ポリシーはゼロトラスト モデルで一元管理され、コンテキストに応じてポリシーの移行と更新が自動化されます。セキュリティのアジリティと拡張性が向上し、管理者の負担も軽減されます。

攻撃対象領域とリスクの縮小

ゼロトラストでは、トラフィックを分離してネットワーク セグメントを作成することで、ラテラル ムーブメントを防ぎ、潜在的な感染が重要なリソースに広がるのを阻止します。疑わしいアクティビティは検査され、ポリシーとコントロールによって再度 ID が再確認されるため、侵害を受ける可能性が低くなります。

継続的なコンプライアンス

ゼロトラストでは、すべてのトラフィックとリクエストがログに記録され、評価されます。また、リソースへのアクセスもロックダウンされます。これにより、侵害が発生した場合に明確な監査証跡が得られるだけでなく、データ・プライバシーの要件と基準を満たすために可能な限りのあらゆることを行ったことを証明しやすくなります。

ゼロトラスト モデルを使用する際の課題

もちろん、課題のないアプローチなどありません。ゼロトラストへの移行には何年もかかることがあり、慎重に計画する必要があります。

ゼロトラストを使用する際の最も大きな課題の一部は次のとおりです。

  • 一貫性を持たせる。ゼロトラストを適切に活用することで、宣伝されているとおりの優れたセキュリティを実現できます。ただし、同時に戦略との一貫性も必要となります。ほとんどの組織は、従来のセキュリティ・ソリューションから脱却するにつれ、段階的に変更を加える必要がありますが、その過程でギャップが生じないようにする必要もあります。
  • 生産性の阻害。ゼロトラストは、ほとんどのワークフローに余分なセキュリティ ステップを追加し、正しく実装しないと生産性に影響する可能性があります。重要なのは、業務のサポートと強固なセキュリティ体制の実現との間で、戦略の適切なバランスを見出すことです。プロセスが過剰に混乱をもたらすと、ユーザーがそれを回避しようとする可能性があります。
  • 内部の脅威への対策。ゼロトラストは最小権限のアクセスを通じて内部の脅威を軽減できますが、万能ではありません。攻撃者は、アクセス権を取得するために、フィッシングやスケアウェアなどの方法を使用して認証情報を盗み、機密情報を共有させようとする方法を見出すことがよくあります。あるいは、最悪のシナリオとして、悪意のある関係者による権限の悪用の思惑に対処することになる可能性もあります。内部の脅威に対してゼロトラストを効果的に機能させるには、組織全体でパターンの異常をモニタリングし、検出できる必要があります。
  • ポリシーとアーキテクチャの保守。ビジネスは常に成長と進化を続けています。そのため、ゼロトラスト ポリシーと権限構造も継続的に更新する必要があります。ゼロトラスト モデルは、正確に定義されたポリシーと効果的なポリシー管理に依存しますが、これらも予防的に維持し、侵害を防ぐために構成する必要があります。

このソリューションを活用して課題をともに解決しましょう。

新規のお客様には、Google Cloud で使用できる無料クレジット $300 分を差し上げます。
お客様独自の課題については、Google Cloud のセールス スペシャリストまで詳しくご相談ください。

次のステップ

$300 分の無料クレジットと 20 以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
コンソール
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
Google Cloud