DXが進むにつれて、ゼロトラストという言葉でセキュリティについて語られるシーンがでてきた。

ゼロトラストとは、2010年ににForrest ResearchのJohn Kindervag氏によって提唱されたセキュリティアーキテクトのモデルだ。

リモートワークの推進やDXへの意識が高まる中で、これまで以上にセキュリティの担保が重要となり、より安全なシステム環境が求められるなかでゼロトラストが注目されている。

そこで今回は、ゼロトラストの意味や背景、具体的な事例やよく取り上げられるセキュリティ製品までご紹介する。

10の成功事例から学ぶ｜小売業界DX・IT活用

ゼロトラストとは？

まずはゼロトラストという言葉の定義から、これまでのセキュリティに対する考え方とどう違うのかについて解説する。

ゼロトラストの定義

ゼロトラストとは、「何も信頼せず」にセキュリティ対策をしていくという考え方だ。具体的には、あらゆるユーザーやデバイス、接続元のロケーションを“信頼できない”ものとして捉え、

具体的には、内外の通信を全て暗号化する、承認されたデバイスのみ通信させる、多要素認証によるユーザーに認証の強化などの取り組みが挙げられる。

従来型セキュリティ(ペリメタセキュリティ)との比較

従来型セキュリティとゼロトラストの考え方の違いは、セキュリティリスクに対して境界線を引くかどうかだ。

従来型のセキュリティは、ペリメタ（perimeter）セキュリティと呼ばれており、境界線を定義してセキュリティを考えることが一般的だった。

具体的には、企業内ネットワークとそれ以外のネットワークに明確な線引きをして、ファイアフォールなどでセキュリティを担保する考え方をとっていた。

ペリメタセキュリティの考え方の根底には、セキュリティと利便性のバランスを保つという考え方もある。

セキュリティを強化すると、その分利便性を損なうことになるため、企業内ネットワークにおいては安全であるという前提をおくことでバランスをとっていた。

また、セキュリティを強化することで、その分コストも必要になってくる。

これに対して、ゼロトラストにおけるセキュリティは、内部のネットワークにおいても信頼せず、十分なセキュリティをとっていくという考え方だ。

従来型のペリメタセキュリティの考え方からすれば、極端な方針にも感じるゼロトラストだが、こうした考え方が出てきたのには理由がある。

ゼロトラストが求められる背景とは？

ゼロトラストが求められる背景には、働き方の多様化・DX推進による環境変化・内部からの情報漏洩リスクの3つがある。

働き方の多様化

まずあげられるのが、働き方の多様化だ。具体的には、フリーランスなどへの外注やリモートワークなどによるセキュリティリスクの高まりがある。

近年では、副業OKの企業が増えて、フリーランス的に活動する方が増えている上に、クラウドソーシングサイトのように委託する側も容易に外部へ委託できる時代となった。

そのため、必ずしも企業ネットワーク内で仕事が完結しない、もしくは企業内ネットワークに外部の方が一時的に参加して働くようになったわけだ。

さらに、リモートワークをメインにしている職場も増えている。今までは、オフィスの中でネットワークに入り仕事をしていたが、遠隔地で働くことになったために外部ネットワークを介して企業内ネットワークに参加するシーンが大幅に増えたのだ。

このような事情から、より多くのセキュリティリスクが生まれたことがわかるだろう。

DXの推進による環境変化

次に、DXの推進による環境変化である。

DXが進むにつれて、生産性の高い環境をより早く整備するためにクラウドサービスが一気に普及したことで、セキュリティリスクが高まっている。

なぜなら、クラウドサービスは外部のネットワークを介してクラウドサービスが稼働するデータセンターと通信し、仕事を進めていくことになるからだ。

クラウドサービスは、大手のサービスであれば、セキュリティ対策が徹底されているが、全てのサービスが安全かどうかはわからない。

また、クラウドサービスの特徴として、ネットワーク経由でモバイルでも使えるものが多いという点があげられるが、この点に対しても大きなリスクを伴うことになる。

例えば、ID/Passの流出やデバイスの紛失があれば、社内の情報を悪用されるリスクまであるだろう。

更には、クラウドサービスのシステムそのものは安全だったとしても、それまでの通信が十分に防御されていなければ、情報漏洩のリスクを担保しきれないわけだ。

このように、クラウドサービスの活用を進めることでリスクが高まっており、十分に保護していく必要がでている。

内部からの情報漏洩リスク

最後に、内部からの情報漏洩リスクだ。

実は、内部に起因する情報漏洩は、全体の半数近くにのぼるという調査結果がある。

具体的には、以下の東京商工リサーチによる調査結果で、｢誤表示・誤送信31%｣｢紛失・誤廃棄13.5%｣｢盗難2.9%｣と47.4%にものぼっている。

つまり、これまでのセキュリティの考え方では半分のリスクしか防げていなかったとみることもできるわけだ。

こうした背景から、これまで以上に内部にもセキュリティ対策を進めていく必要が出ており、ゼロトラストの考え方が注目されているのである。

ゼロトラストのメリット・デメリット

ここでは、ゼロトラストを進めることでどんな影響があるのか、メリットとデメリットにわけて整理していく。

ゼロトラストのメリット

ゼロトラストのメリットは以下の3点だ。

• セキュリティが強力になる
• システムアクセスに関する利便性向上
• どこでも・どんなデバイスでも社内システムが利用できる

それぞれ簡単に解説する。

＜セキュリティが強力になる＞

まず最初にあげられるメリットが、セキュリティの強化だ。

全てのアクセスに対して信頼をしないという設計のもと、全通信に対してセキュリティチェックを介してから社内ネットワークに進む設計をとることになる。

具体的には、ゼロトラストの考えでは、新たに導入されていくクラウドサービスから、これまでほぼ対策がされていなかった社内におけるセキュリティリスクにも対処するわけだ。

こうしたセキュリティ対策の取り方をすることで、これまで以上に安心してクラウドサービスの利用やワーケーションなどの推進を行うことができる。

＜システムアクセスに関する利便性向上＞

次に、システムアクセスに関する利便性向上が図れる点だ。

これまでは、社内のシステムやサービスごとにIDとパスワードが発行され、業務中に何度もログインをしなければいけなかった。

一方でゼロトラストでは、SSOなどの活用を進めることで利便性を担保する方針を取る。それによって1回のログインで済むため、ユーザー側はかえって利便性が高まる場合があるわけだ。

＜どこでも・どんなデバイスでも安心して社内システムが利用できる＞

場所やデバイスの制限なく社内システムに利用できるのもメリットとしてあげられる。

つまり、ゼロトラストによって、社内外の境界線なく防御するため、ユーザー側がどのようにアクセスするかは関係がなくなるというわけだ。

これにより、テレワーク等の推進がより簡単に行えるのだ。

ゼロトラストのデメリット

続いて、ゼロトラストを行うことで考えられるデメリットについても確認していく。

主に、コストの増大、業務上不都合なシーンがあるという2点が考えられる。

＜コストの増大＞

まずはコストが増大する点があげられる。

ゼロトラストでは、今まで防御していなかった領域に対してセキュリティを高めていくため、関連するセキュリティ製品の導入などでコストが上がる。

一方、全く新しくセキュリティ対策をしていくというよりは、方針変更に近いため、企業によっては既存資産を活かすなどにより最小の投資で済む場合もあるだろう。

＜業務上の不都合＞

次に、業務上の不都合がデメリットである。

なぜなら、セキュリティを強化することで、度々チェックが入ったり、アカウント認証で不都合が発生することがあるからだ。

例えば、ユーザーが情報を更新するたびにチェックが入ることで、パフォーマンスの低下につながることもあるだろう。もしくは特定のアカウントでしかデータ送信や情報更新できないシーンが想定される。

このように、セキュリティを強化すると業務上の不都合があり得るものだ。

とはいえ、社内で使えるクラウドサービスが増える・場所やデバイスの制約がなくなるなどのポイントからユーザーへのメリットも十分にあるため、総合的に考えると必ずしも不便になるとはいえないだろう。

では、実際にゼロトラストのセキュリティ対策を進めると、どのような状態になるだろうか。具体的な事例を引き続き確認していく。

ゼロトラストを実現した事例

ゼロトラストを実現した事例について、今回はZOZOテクノロジーズとNTTデータの事例を確認する。

zozoテクノロジーズのゼロトラスト事例

ここから、zozoテクノロジーズの事例をみていく。

zozoテクノロジーズでは、働き方改革の一環として2019年8月にリモートワーク制度を導入。同じタイミングでゼロトラストを実現している。

まずは背景から解説していく。

<背景>

2018年、ZOZOテクノロジーズは、働き方改革のなかで、生産性の向上や労働力の確保を実現するためにリモートワーク制度の導入の準備をすすめていた。

一方、ZOZOテクノロジーズのセキュリティは社内での端末利用を前提にセキュリティ対策が取られていたため、急遽、ゼロトラストを前提としたセキュリティ対策が必要となった。

<施策>

ZOZOテクノロジーズは、以下のような製品を検討し効果測定をした。

• EDR(Endpoint Detection and Response)：従業員が使う端末を監視する
• MDM(Mobile Device Management)：モバイル端末を管理する
• CASB(Cloud Access Security Broker)：クラウドへのアクセスを監視する

最終的に、Microsoft製品に絞って導入を進め、セキュリティ体制を整えていったという。

<成果>

ZOZOテクノロジーズでは、結果としてオフィス内外を問わず、通信やインシデントの監視ができる体制を整えたことで、コロナの影響による緊急事態宣言でリモートワークが強制されても生産性を落とさずに業務を進めることができている。

更に、製品を1メーカーに絞ったことで、運用がシンプルになり、人的な運用コストが低減できたという。

今後は、導入したセキュリティ製品の活用を高度化し、SaaSの管理などにも活かしていきたいと語っている。

NTTデータにおけるゼロトラスト取り組み事例

NTTデータでは、2015年から全社のVDI環境を整備しつつ、SaaSの活用を進めてワークスペースのデジタル化を推進してきた。

そのなかでも、コロナの影響による緊急事態宣言中は約7万人の従業員がリモートワークを行っている。

こうした取り組みの中で、ゼロトラストの必要性がもちあがってきた。

<背景>

2019年の時点では、従来型のペリメタセキュリティで防御する体制だったため、リモートワークを進める際にセキュリティリスクが担保しきれていなかったという。

セキュリティ面でのリスクが残る中、SaaSの導入を十分にすすめることができず生産性向上につながる施策を打てずにいた。

<施策>

NTTデータは、リモートワーク環境の整備を進めるために、2020年から1500名に対してトライアル的にゼロトラスト環境の構築を進めている。

BMWS(BXOマネージドワークスペースセキュリティ)というセキュリティサービスを自社で導入し、安全なリモートワーク環境の整備を進めている。

さらに、​​セキュアFAT端末の導入で社外端末のセキュリティも確保するなど複数のセキュリティ対策を組み合わせて利用しているという。

※BMWS：クラウドサービスの利用状況の可視化・アクセス制御・ID管理・デバイスの監視と運用・データバックアップなどのリスクに対応したセキュリティサービス

<成果>

NTTデータでは、BMWS上でクラウドサービスの利用などで、セキュアな環境を保ちつつ、生産性を向上させるようなサービスを構築できている。

具体的には、ファイル共有サービスやチャットツールなどのコミュニケーションツールでスピーディな連携がてきている点などがあげられる。

このように、具体的にゼロトラストによるセキュリティ対策を進めている企業は既に出ている。各社の取り組みをみると、セキュリティの向上によって制限をもたずにクラウドサービスなどの利用が可能となり、結果的に生産性向上につながっていることがわかる。

最後に、こうしたゼロトラストセキュリティを実現している製品はどんなものがあるか具体的に確認していく。

ゼロトラストを実現する製品例：Cisco Duo セキュリティ

今回は、ゼロトラストを実現するセキュリティソリューションの例としてCisco Duo セキュリティの特徴を整理する。

h3Cisco Duo セキュリティの概要

Cisco Duo セキュリティは、多要素認証とデバイス可視化を軸としてゼロトラスト環境の整備を目指すためのクラウド型のセキュリティソリューションである。

アプリケーションにアクセスしようとするデバイスとユーザーに対してチェックをかける仕組みを構築する。

Cisco Duo セキュリティの機能

具体的に以下の4つの機能をもっている。

1. ユーザトラスト(多要素認証；MFA)
   1. iOSおよびAndroid向けモバイルアプリのプッシュ通知による認証
   2. アプリ・ SMS・電話着信・ハードウェアトークンによるパスコード認証・U2F・WebAuthN による生体認証
   3. 1 ユーザあたり年間 100 クレジット分の電話着信認証および SMS 認証
   4. ユーザによる自己登録と自己管理

2. デバイストラスト(デバイスの可視化)
   1. アプリケーションにアクセスするすべてのデバイスを把握できるダッシュボード
   2. 全デバイスのセキュリティ健全性を可視化・識別・セキュアかどうかのチェック

3. 適応型認証 / ポリシー
   1. セキュリティポリシーをアプリケーション全体または個別に割り当て
   2. ネットワークが承認済みかどうか・ユーザーの場所に基づいてポリシーを適用
   3. ユーザグループ別にセキュリティポリシーを割り当ておよび適用
   4. 匿名ネットワークをブロック
   5. 各デバイスに以下のポリシー適用を実施する
      1. ソフトウェアのサポート期限
      2. 暗号化やファイアウォールの有無
      3. 暗号化や改ざん
      4. 画面ロック
      5. 生体認証の有無
   6. セキュリティ健全性が低い場合はユーザに通知
   7. エンドポイント管理システムやモバイルデバイス管理に基づくデバイスのアプリケーションアクセス制御

4. シングルサインオン（SSO）とリモートアクセス制御
   1. 無制限でアプリケーション統合
   2. すべてのクラウドアプリケーションに対して SSO を提供
   3. 社内 Web アプリケーションでのアクセス・AWS、Azure、GCP でホストされているアプリケーションアクセス・SSH 経由で特定の社内サーバへのアクセスに関するセキュリティを担保

Cisco Duoセキュリティのように、アプリケーション等へのアクセスのたびにセキュリティチェックをかけることで、ゼロトラストの環境を実現することが可能である。

Cisco Duoセキュリティの特徴としてSSO機能も持っている点にも注目だ。SSOが一体になっていることで、ユーザーへの利便性を合わせて追求できるので導入する側としては進めやすいだろう。

まとめ：ゼロトラストの概念を理解しよう

今回はゼロセキュリティについて言葉の定義からメリットやデメリット、具体的な事例、製品にまで触れてきた。

今後のDX推進、働き方の変容やリモートワーク環境の整備などにあたってゼロセキュリティの考え方でセキュリティを強化することは必須といえるだろう。

既にZOZOテクノロジーズなどでは具体的に取り組みが進んでいるが、多くの企業で必要性に迫られているのが現実だ。

特にクラウドサービスの活用やリモートワークを推進する予定がある企業では、検討の余地があるだろう。

10の成功事例から学ぶ｜小売業界DX・IT活用