ゼロトラストネットワークとは? 意味やメリットをわかりやすく解説
多様化するサイバー攻撃と、昨今のビジネス環境に対応する新たなネットワークの考え方である、ゼロトラストネットワークを導入する企業が増えつつあります。ゼロトラストネットワークを導入する場合、その特徴を正確に把握しなければなりません。
本記事では、ゼロトラストネットワークの意味や従来のネットワークとの違い、メリットのほか、ゼロトラストネットワークを実現するための主なサービスの例などをわかりやすく紹介します。
ゼロトラストネットワークとは、すべての通信を信頼しないという指針を実現するネットワーク
ゼロトラストネットワークとは、ゼロトラストの基本的な考え方である「すべてのアクセスや通信を信頼しない」という指針を実現するネットワークのことです。
ゼロトラストネットワークでは、社内で利用しているクラウドサービスや業務用端末、システムで行われているあらゆるアクセスや通信を、信頼せずに検証します。テレワーク環境下でもサイバー攻撃によるリスクを抑え、クラウドサービスを安全に活用するために、ゼロトラストネットワークは有効です。
従来のネットワークとの違い
従来のネットワークとゼロトラストネットワークでは、社内ネットワークにもセキュリティ対策を講じるかどうかという点が異なります。
従来のネットワークでは、「社内からのアクセスは安全」という前提で、社内ネットワークと社外のインターネットとの境界をファイアウォールなどで防御すればよいと考えられていました。そのため、社内での通信にはセキュリティ対策を導入せず、社外のインターネットとの通信のみを監視するケースが一般的でした。
一方、ゼロトラストネットワークは、「社内にも攻撃者が潜んでいる可能性がある」という前提で、社外との通信に対するセキュリティ対策と同様に、社内の端末同士のネットワークも監視します。保護の対象を、社内ネットワークという単位で設定するのではなく、個々の機密データなどの情報資産、その情報を扱う端末、アカウント情報なども保護対象と考えるのがゼロトラストネットワークです。社内ネットワークにもセキュリティ対策を講じるという点が、従来のネットワークとは異なります。
また、ゼロトラストネットワークでは、テレワーク環境下にある社内端末を監視する必要もあるため、一般的にはクラウド上のセキュリティサービスを利用するという点も特徴的です。
ゼロトラストネットワークが必要となった背景
ゼロトラストネットワークが必要となった背景には、様々な社会環境の変化があります。その代表例としては、下記の5点が挙げられます。
| 背景 | 概要 |
|---|---|
| テレワークやスマートフォン・タブレットの普及により社外アクセスが増えたこと | 業務用端末による社外アクセスが増え、不適切なアプリケーションの使用などで業務用端末がサイバー攻撃を受ける可能性が高まってきたため |
| VPNに代わる安全な通信環境が求められるようになっていること | VPNの脆弱性を突いた攻撃のリスクや、VPNと比べたゼロトラストネットワークの利便性が意識されるようになったため |
| 企業のクラウドサービスの利用が増えたこと | 従来の境界防御型のネットワークセキュリティでは、クラウドサービスを利用する際に通信を監視できない範囲が出てきてしまうため |
| サイバー攻撃が多様化・巧妙化していること | サイバー攻撃の多様化・巧妙化により、社内ネットワーク内も安全とは言い切れなくなったため |
| 内部不正による情報漏洩リスクが高まっていること | 内部不正は社内ネットワークを利用して行われ、従来の境界防御型のネットワークで対応するのは困難なため |
テレワークやスマートフォン・タブレットの普及により社外アクセスが増えたこと
テレワークの普及や従業員が使用する業務用端末の多様化などにより、社外へのアクセスが増えたことから、その状況に対応したセキュリティ対策としてゼロトラストネットワークが求められるようになりました。
テレワークでクラウド上のデータベースにアクセスするには、社外のネットワークを使用しなければなりません。また、スマートフォンやタブレットが普及して外出先でも業務ができるようになったことも、社外ネットワークへのアクセス増加の背景となっています。業務用端末による社外アクセスが増えると、不適切なアプリケーションの使用などで業務用端末がサイバー攻撃を受ける可能性が高まり、攻撃された端末を経由して社内ネットワークから情報漏洩が発生する恐れも高まります。
こうしたリスクを抑制するためには、従来の境界防御型のセキュリティ対策ではなく、社内の端末間の通信も含めたあらゆるアクセスに対してセキュリティ対策を講じる、ゼロトラストネットワークが必要となるのです。
- 併せて読みたい
VPNに代わる安全な通信環境が求められるようになっていること
近年は、従来より安全な通信環境が求められていることも、ゼロトラストネットワークが必要となった背景の1つです。
従業員が社外のテレワーク環境から社内ネットワークにアクセスする際、これまではVPN(Virtual Private Network:仮想プライベートネットワーク)を活用するのが一般的でした。VPNとは、インターネット上に安全なトンネルを作ることで、社外からでも社内リソースに安全に接続できる仕組みです。
しかし、VPNは接続数が増加するとレスポンスが低下するというデメリットがあり、大規模な運用には不向きなケースもあります。加えて、VPNで用いる機器の脆弱性を突く攻撃のリスクも無視できません。
こういった要因から、より柔軟かつ安全な通信環境の構築方法として、ゼロトラストネットワークの考え方が注目されています。アクセスごとに検証を行い、必要な範囲に限定してアクセスを許可する仕組みは、VPNの代替手段として有効と考えられています。
- 併せて読みたい
企業のクラウドサービスの利用が増えたこと
クラウドサービスを利用する企業が増えたことも、ゼロトラストネットワークが必要となった背景といえます。基幹システムやファイルサーバーだけでなく、メールなどのアプリケーションもクラウドサービスを活用する企業が増えています。
クラウドサービスを利用する場合、システムやアプリケーションが社外のネットワークにあるため、従来の境界防御型のネットワークセキュリティでは監視できない範囲が出てきてしまうのです。そこで、社外のネットワークも含めてあらゆる通信を監視できる仕組みとして、ゼロトラストネットワークが必要とされています。
- 併せて読みたい
サイバー攻撃が多様化・巧妙化していること
ゼロトラストネットワークが必要となった背景には、サイバー攻撃が多様化・巧妙化していることも挙げられます。
ゼロデイ攻撃、標的型攻撃、ランサムウェアなど、現代のサイバー攻撃は日々進化しており、その手口も多様化・巧妙化してきました。従来のセキュリティ対策の隙を突き、企業の情報資産を狙ったサイバー攻撃の事例も増えています。
内閣サイバーセキュリティセンター(NISC)の「サイバーセキュリティ2025(2024年度年次報告・2025年度年次計画)」でも、ランサムウェアによる被害が国内外の複数の企業で発生していて、社会インフラにまで影響を与えていることが報告されています。
こうした状況下では、社内ネットワーク内も安全とは言い切れません。そのため、ゼロトラストネットワークによって社内外問わず通信を監視する体制を整えて、被害を未然に防ぐことが重要です。
上記のNISCの資料でも、各省庁がゼロトラストの考え方に基づいたセキュリティ対策を進めていることが明記されており、今後ますますその重要性は増していくといえるでしょう。
内部不正による情報漏洩リスクが高まっていること
ゼロトラストネットワークが必要となった背景として、内部不正による情報漏洩のリスクが高まっている点も挙げられます。
スマートフォン・タブレットなどの業務用端末の導入やテレワークの普及により、端末の紛失・盗難リスクが高まっているだけでなく、悪意のある従業員が監視の目を避けて情報を持ち出すことも容易になりました。内部不正は社内ネットワークを利用して行われるため、従来の境界防御型のネットワークで対応するのは簡単ではありません。ゼロトラストネットワークによって、社内ネットワークも監視して不審な挙動に対して迅速に対応することが必要です。
- 併せて読みたい
ゼロトラストネットワークのメリット
ゼロトラストネットワークの実現には、様々なメリットがあります。主なメリットとしては、下記の3点が挙げられます。
| メリット | 概要 |
|---|---|
| 高度な情報管理を実現できる | 社内の端末間で行われる通信も含めたあらゆる通信を監視できるため、より強固なセキュリティレベルを保てる |
| 万全のセキュリティ体制でテレワークを導入できるようになる | データやアプリケーションのそれぞれに対して認証やアクセス可否の判断ができるようになり、テレワークのようなワークスタイルの柔軟化に対応できるようになる |
| 製品やサービスの設定が比較的簡単 | ゼロトラストネットワークを実現するための一般的な製品・サービスでは、クラウド上でアクセス制御やログ管理、認証ポリシーの設定などが一元的に行えるため、運用負担が軽減される |
高度な情報管理を実現できる
ゼロトラストネットワークのメリットは、社内ネットワークだけでなく、社内外で利用する端末やクラウドサービスにもセキュリティ対策を導入できることです。
従来のネットワークのように社内外の境界線だけでセキュリティ対策をするのではなく、社内の端末間で行われる通信も含めたあらゆる通信を監視できるため、より強固なセキュリティレベルを保ち、社内の情報資産を守れるようになります。
また、ゼロトラストネットワークはクラウド上で管理するのが一般的で、様々なセキュリティ対策を一元管理できるため、情報システム部門の負担を軽減し、業務効率化を図ることも可能です。
万全のセキュリティ体制でテレワークを導入できるようになる
ゼロトラストネットワークを導入すれば、セキュリティ上の懸念からテレワークの導入を避けていた企業でも、テレワークに対応できるようになるというメリットがあります。
クラウド上でセキュリティを一元管理するゼロトラストネットワークを実現できれば、データやアプリケーションのそれぞれに対して認証やアクセス可否の判断ができるようになります。テレワークなどのワークスタイルの柔軟化に対応できるようになるため、より効率的に働きやすい環境を整えることが可能です。
製品やサービスの設定が比較的簡単
ゼロトラストネットワークを実現するための製品やサービスは、比較的設定がしやすい点もメリットの1つです。代表的な製品・サービスはクラウドベースで提供されており、管理画面から簡単に設定や運用ができるようになっています。
従来の境界防御モデルでは、ファイアウォールやVPNなどの機器を導入し、それぞれに対して複雑なルールや設定を施す必要がありました。そのため、導入・運用のハードルが高く、専門知識も求められるケースが多かったのが実情です。
一方、ゼロトラストネットワークを実現するための一般的な製品・サービスでは、クラウド上でアクセス制御やログ管理、認証ポリシーの設定などが一元的に行えるため、運用負担が軽減されます。
ゼロトラストネットワークを実現するためのセキュリティサービス
実際にゼロトラストネットワークを実現するためには、複数のセキュリティサービスを導入する必要があります。ゼロトラストネットワークを構成するクラウドサービスの代表例は、下記の6つです。
| サービスの名称 | 概要 |
|---|---|
| NDR | 社内外のあらゆる通信ログを記録・可視化するサービス |
| SWG | クラウドサービスやWebサイトと端末のあいだで行われる送受信データを監視するシステム |
| EDR | 端末ごとに不審な挙動をしていないかどうかを監視するシステム |
| CASB | クラウドサービスの可視化、セキュリティポリシーの一括適用による行動制御、データセキュリティ、脅威防御などの機能を提供するクラウドサービスに特化したセキュリティ対策 |
| DLP | 漏洩や消失を防ぎたい重要な情報のみを識別して監視し、送信やコピーを制限するシステム |
| IAM | ユーザーの身元を正確に認証し、業務に必要な範囲内でのみリソースへのアクセスを許可する仕組み |
NDR
NDR(Network Detection and Response)とは、社内外のあらゆる通信ログを記録・可視化するサービスです。記録したログを解析することで、不審な通信も検出できます。
SWG
SWG(Secure Web Gateway)とは、クラウドサービスやWebサイトと端末のあいだで行われる送受信データを監視するシステムです。不審な通信が含まれていないかを監視して、マルウェアの侵入や不正なWebサイトへのアクセスが発生しそうであれば事前に遮断します。
EDR
EDR(Endpoint Detection and Response)とは、端末ごとに不審な挙動をしていないかどうかを監視するシステムです。ウイルス対策ソフトのように脅威の侵入を検知・駆除するシステムとは異なり、脅威に侵入されることを前提として、侵入された端末を早期発見してその被害拡大を防ぎます。セキュリティ対策では、ウイルス対策ソフトとEDRの両者ともに重要な役割を果たします。
CASB
CASB(Cloud Access Security Broker)は、クラウドサービスに特化したセキュリティ対策サービスです。主に、下記の4つの機能を備えています。
- CASBの主な機能
-
- 可視化:従業員の利用するすべてのクラウドサービスを検出し、可視化する機能
- セキュリティポリシーの一括適用による行動制御:クラウドサービスを利用する際に、セキュリティポリシーに反する行動を一括制御できる機能
- データセキュリティ:データの暗号化やアクセス権限の設定などによって、重要なデータを保護する機能
- 脅威防御:マルウェアへの感染などの脅威を防ぐ機能
- 併せて読みたい
DLP
DLP(Data Loss Prevention)とは、従業員による情報の持ち出しなどの内部不正を防ぐシステムです。保有するすべてのデータを監視するのではなく、漏洩や消失を防ぎたい重要な情報のみを識別して監視し、送信やコピーを制限することで保護します。
IAM
IAM(Identity and Access Management)は、ユーザーの身元を正確に認証し、業務に必要な範囲内でのみリソースへのアクセスを許可する仕組みです。ゼロトラストネットワークの基本となる、正当なユーザーだけに限定したアクセスを実現するために不可欠な技術です。
IAMは、利用者のID情報を管理するIDデータベースと、アクセスを制御するアクセスポリシーで構成されます。これにより、ユーザーの役職や部署、業務内容に応じて細かいアクセス制限を設定できます。
また、多要素認証に対応しているケースが一般的で、パスワードに加えて端末の所持情報や生体認証を組み合わせることで、なりすましなどのリスクを軽減することが可能です。
ゼロトラストネットワークを導入する際の注意点
ゼロトラストネットワークは有効なセキュリティ対策ですが、注意点もあります。導入時には、下記3点を念頭に置いて導入方法を検討しましょう。
| 注意点 | 対策 |
|---|---|
| 複数の製品・サービスを導入するため、費用が増大する可能性がある | 自社に必要な機能を見極め、段階的に導入することと、規模に応じた柔軟な導入計画を立てること |
| セキュリティ担当者の業務負担が増大する可能性がある | セキュリティ運用業務の一部を自動化できるサービスなども導入して、効率的な監視体制を構築すること |
| 従業員の業務効率が一定程度悪化する | 一度の認証で複数のアプリケーションにアクセスできるシングルサインオンを導入する |
複数の製品・サービスを導入するため、費用が増大する可能性がある
ゼロトラストネットワークは、NDR、CASB、IAMといった複数のセキュリティソリューションを組み合わせて構築する必要があるため、導入する製品やサービスが増えるごとにライセンス費用や運用コストも増える可能性がある点に注意しましょう。
すべての機能を一度に揃えようとすると、初期費用やランニングコストが予想以上に高くなることもあるため、自社に必要な機能を見極め、段階的に導入することが重要です。また、コストだけでなく運用面の負担も考慮しながら、社内の状況に合ったスケーラブルな導入計画を立てることが成功のカギです。
セキュリティ担当者の業務負担が増大する可能性がある
ゼロトラストネットワークを導入すると、セキュリティ担当者の業務範囲が広がり、日々の運用やインシデント対応にかかる負担が大きくなる可能性がある点にも注意しなければなりません。
ゼロトラストネットワークを導入した場合、セキュリティ担当者は社内外を問わずすべての通信やアクセスを監視・管理し、アクセスログの分析やアラートの確認、疑わしい挙動の調査などに対応することになります。タスクが増加するため、人的リソースが限られている場合には十分な対応ができなくなるおそれもあります。
担当者の負担を軽減するためには、セキュリティ運用業務の一部を自動化できるSOAR(Security Orchestration, Automation and Response)などを導入し、効率的な監視体制を構築することも検討すべきでしょう。
従業員の業務効率が一定程度悪化する
ゼロトラストネットワークでは、認証・認可のプロセスが増えるケースがあるため、従業員の業務フローが煩雑になりかねない点にも注意が必要です。
特に多要素認証を導入している場合、ID・パスワードに加えて、スマートフォンや生体情報などによる追加認証を求められる場面が増えます。こうしたセキュリティ強化は情報漏洩リスクの低減には有効ですが、頻繁に認証作業が発生することで、従業員の業務効率が低下してしまう懸念もあります。
このような課題に対しては、一度の認証で複数のアプリケーションにアクセスできるシングルサインオン(Single Sign On:SSO)の導入が有効です。認証を効率化する仕組みを整えることで、利便性とセキュリティの両立が図れます。
ゼロトラストネットワークを導入してセキュリティレベルを高めよう
働き方が多様化し、サイバー攻撃も巧妙化している昨今では、ゼロトラストネットワークによって組織全体のセキュリティレベルを高めることが求められます。しかし、ゼロトラストネットワークを実現するためのセキュリティ対策として導入できるサービスには様々な種類があり、一度にすべてを導入することは困難です。そのため、自社のセキュリティ対策のレベルや状況に合わせて、少しずつ導入していきましょう。
また、セキュリティ対策を見直すにあたり、情報資産を適切に管理できるツールも導入すると、より効率的に万全なセキュリティ体制を構築できます。
インターコムの「MaLion」シリーズは、Windows、Mac端末のIT資産を管理し、情報漏洩を防ぐソフトウェアです。オプションのMDMサービス「BizMobile Go!」を利用することで、パソコンだけでなく、iPhoneやAndroid、iPadといったモバイルデバイス管理にも対応できます。
端末の状況をリアルタイムで監視し、セキュリティポリシー違反者の警告通知、印刷操作・外部デバイス接続などの制御といった、社内外の端末の管理に必要な機能を標準搭載しています。さらに、従業員に対する不正な操作のアラート表示機能なども搭載しているため、全社的なセキュリティ意識の向上にも役立ちます。セキュリティ対策を導入される際は、ぜひご検討ください。
