ゼロトラストアーキテクチャとは？仕組みや実現するためのポイントを解説

2023.06.22投稿、2023.06.22更新

自社の保有する機密情報や顧客の個人情報などを守ることは、企業経営において常に存在する課題です。外部からのサイバー攻撃をすべて防ぐことは困難を極めるため、セキュリティ体制をより強固なものにアップデートすることは必須だといえます。
従来のセキュリティ対策は、社内ネットワークと社外ネットワークの間にある境界を防御することに重点が置かれていました。しかし、年々増加するサイバー攻撃に対応するため、社内外の情報を一切信頼しない「ゼロトラスト」という概念に基づいたセキュリティ対策が広がりつつあります。このようなセキュリティ対策の方法を、ゼロトラストアーキテクチャといいます。
そこで今回は、ゼロトラストアーキテクチャの概要と仕組み、ゼロトラストアーキテクチャを導入する意義や、実現する際のポイントを解説します。

ゼロトラストアーキテクチャとは？
ゼロトラストアーキテクチャを構成する要素
ゼロトラストアーキテクチャを導入する意義
ゼロトラストアーキテクチャを実現する際のポイント
安全性の高い接続にはゼロトラストアーキテクチャが大切

ゼロトラストアーキテクチャとは？

ゼロトラストアーキテクチャとは、「ゼロトラスト（信頼すべきものはない）」という概念に基づく、システムセキュリティ対策の考え方です。今までは社内システムが社内にのみ存在していたため、社内と社外の境界にセキュリティ対策を実施するという考え方が一般的でした。

しかし、 DXに取り組む企業の増加、リモートワークの浸透、クラウドサービスの利用拡大などにより、社内と社外の境界線があいまいになっているという現状があります。そのため、社内、社外にかかわらず、すべての接続ポイントを信用せずに、多様なシステムを使用してセキュリティ対策を行うという姿勢がとられるようになりました。

デジタル庁では、ゼロトラストアーキテクチャを「ゼロトラストの概念を利用し、クラウド活用や働き方の多様化に対応しながら、政府情報システムのセキュリティリスクを最小化するための論理的構造的な考え方」と定義しています。この定義に基づき、デジタル庁では攻撃者の侵入後に焦点を当て、権限の最小化と社内の通信を常時検証するモデルを採用しています。

^{参考：ゼロトラストアーキテクチャ適用方針|デジタル庁}

ゼロトラストについて詳しくは、以下の記事をご参照ください。

ゼロトラストとは？メリットやデメリット、実現するためのポイントを紹介

ゼロトラストアーキテクチャを構成する要素

ゼロトラストアーキテクチャを構成する要素は、以下の4つが挙げられます。

認証・認可

システムの利用者が正規ユーザーであることを確認するための「認証」と、ユーザーに権限を付与する「認可」の2段階によってセキュリティを担保します。認証にさまざまな要素を用いることで、認証セキュリティを強化します。

認可の段階では、ユーザーのシステム内に対するアクセス可否の判定をします。認証通過後にさまざまな検証を行って信頼性を確認し、アクセス権限を与えるのです。

ネットワーク

リモートワークなどで社外から社員が社内システムへアクセスする場合、各種クラウドサービスを利用することがあります。その際、分散して存在している環境を適切に保護しなければいけません。そのためには、クラウドを基盤とした高セキュリティの環境が必須です。代表的なセキュリティモデルには「SASE（Secure Access Service Edge）」があります。ほかに、「CASB（Cloud Access Security Broker）」や「SWG（Secure Web Gateway）」などのサービスも活用されています。

SASEについて詳しくは、以下の記事をご参照ください。

SASEとは？メリットやゼロトラストとの違いをわかりやすく解説

エンドポイント対策

PCやスマートフォンなどのエンドポイントデバイスは、マルウェアやフィッシング詐欺などの被害にあいやすいため、テレワークを行なっている会社は注意が必要です。そのため、ゼロトラストは外部から攻撃を受けることを前提としたアプローチを行います。

エンドポイントについて詳しくは、以下の記事をご参照ください。

なぜエンドポイントセキュリティが重要？その理由や選び方などを紹介

ログ収集

ゼロトラスト環境下では各場所にデバイスがあるため、クラウド上にログ収集基盤を設置し、各システムやクラウドサービス、デバイスのログを集めます。「SIEM（Security Information and Event Management）」という仕組みがその代表です。これら収集したログを分析し問題を検知することで、ゼロトラスト環境下でのセキュリティ対策を行います。

ゼロトラストアーキテクチャを導入する意義

ゼロトラストアーキテクチャを導入する意義やメリットについて解説します。

あらゆる場所・デバイスからのアクセスからシステムを保護する

ゼロトラストアーキテクチャの導入により、あらゆる場所やデバイスからのアクセスに対応した、安全性の高いネットワークを構築することが可能です。そのため、リモートワークやクラウドサービスの利用促進へとつながります。

システムのセキュリティをより強固にできる

従来の境界型ネットワークと違い、ゼロトラストアーキテクチャは、より堅牢性の高いシステムを構築する一助となります。ネットワークにアクセスできる権限を細分化するといったように、より厳しい情報管理が実現できます。例えば、認証と認可をより厳密に管理することで、セキュリティ性を上げるといったことが該当します。

ゼロトラストアーキテクチャを実現する際のポイント

ゼロトラストアーキテクチャを実現する方法について解説します。

段階を踏んで導入する

ゼロトラストアーキテクチャの導入には、ネットワークセキュリティ機能やエンドポイント対策機能など多くの機能が必要です。そのため、ゼロトラストアーキテクチャを導入する際は、最初から完璧なゴールを目指すのではなく、従来の境界ベースでのセキュリティ対策と併用しつつ、段階ごとに進めるとよいでしょう。

自社の情報やワークフローをすべて把握する

続いて重要なことは、ゼロトラストアーキテクチャの担当者が自社の情報やIT資産、アクセス管理、データフローやワークフローを把握することです。例えば、従業員が無断で使用しているITシステムがある場合は、IT資産の管理が徹底できていない自社ということになるため、改善が必要です。

実現する必要のある項目の洗い出し

ゼロトラストアーキテクチャを実現するために不足している領域は何か、自社のセキュリティの課題を洗い出す必要があります。そこに優先順位を付け、対策を実行します。

必要なセキュリティ対策を設定する

課題や実現すべき項目に対応するクラウドサービスやシステムを決めます。あらゆるところからデバイスがネットワークに接続できるようになるため、それらを管理するための認証・認可システムや端末管理ソフトなどを導入します。その際の導入コストも検討しましょう。また、必要に応じて各ソリューションの提供を支援するベンダーへの依頼も検討しましょう。

安全性の高い接続にはゼロトラストアーキテクチャが大切

ゼロトラストアーキテクチャの考え方は、企業のセキュリティ対策をより堅牢にし、リスクを低下させられることが特徴です。デバイスやアクセス先を問わず、安全性の高いネットワークを構成できるため、注目されるようになりました。

ゼロトラストアーキテクチャを実現するためには、デバイス管理ソフトや認証・認可システムの導入など、複数のセキュリティ対策を組み合わせて、セキュリティの運用体制を整備する必要があります。

CACHATTO（カチャット）は、各種端末からさまざまな業務システムへ安全にリモートアクセスできるサービスです。端末にデータを残さず、多要素認証や端末の安全性を確認したログインなど、ゼロトラストアーキテクチャの実現を後押しします。リモートデスクトップやセキュアブラウザなどのさまざまな製品があり、自社の規模や要望に合わせて、ツールを選ぶこともできます。詳しくは、以下をご参照ください。