クラウドセキュリティ対策に欠かせないゼロトラストセキュリティ！リスクと対策方法を解説

昨今は企業や個人を問わず、クラウド環境を利用する機会が増えています。企業におけるITインフラ環境をクラウド上に構築する機会も増えていますが、セキュリティ面を心配する方も多いのではないでしょうか。

近年のクラウドセキュリティにおいては、ゼロトラストセキュリティの考え方が注目を集めています。この記事では、クラウドに存在するリスクについて紹介し、クラウドセキュリティに欠かせないゼロトラストの概要から実現するためのポイントについて解説します。

クラウドセキュリティとは？

はじめに、クラウドセキュリティの基礎知識から、クラウドに潜むリスクについて見ていきましょう。

クラウド特有のリスクに対するセキュリティ

クラウドセキュリティとは、クラウドで実行されるアプリや保存されるデータなどを保護することであり、クラウド特有のリスクに対するセキュリティです。クラウド特有のリスクとしては、どこに何が保存されているかを把握しきれていない場合が多く、知らないうちにセキュリティ事故を誘発する可能性がある点が挙げられます。

少し前からクラウドサービスの発達にともなって企業のITインフラをクラウド上に展開するなど、クラウドサービスの利用が活発化してきました。

また、特に昨今は新型コロナウイルスの流行にともない、テレワークが一気に普及しました。クラウドサービスを使って実現している企業も多く、クラウド特有のリスクに対するセキュリティ対策の重要性が増しています。

クラウドに潜むセキュリティリスク

従来のセキュリティ対策は社内と社外に分けて、境界線を守る境界線型セキュリティが一般的でした。しかし、クラウドサービスを利用する場合、このネットワークの境界線が曖昧になります。そのため、従来どおりのセキュリティ対策では対応しきれないリスクが出てきているのです。

例えば、企業で許可していないクラウドサービスやIT機器を個人が勝手に利用するシャドーITは、ネットワークの出入り口が社内ネットワークとは別に存在するため、境界線型セキュリティでは対策できません。

その他にも、統一したセキュリティポリシーの適用が難しいなど、クラウドサービスを利用する際には便利な反面、多くのセキュリティリスクも存在しています。

クラウドセキュリティに欠かせないゼロトラストの考え方

クラウドの登場によって企業のIT環境が変化したため、境界線型セキュリティに変わる新しいセキュリティ対策が求められています。そこで注目されているものが“ゼロトラストセキュリティ”です。

ゼロトラストセキュリティとは

ゼロトラストセキュリティとは、ゼロトラスト（何も信頼しない）ことを前提に対策を行なうセキュリティの考え方です。境界線型セキュリティでは社内ネットワークを安全なものとして社外ネットワークと分けて考えていましたが、ゼロトラストセキュリティではそのように区別しません。

ゼロトラストセキュリティでは、すべてのユーザーやデバイス、接続元を信頼できないものとし、データやシステムにアクセスするものをすべて検証することで脅威を防ぐ考え方です。

クラウドサービスの活用が増えたいま、ネットワークの境界線が曖昧になっている現状に即したセキュリティの考え方といえるでしょう。

ゼロトラストセキュリティが有効な理由

クラウドサービスを利用している場合、企業の資産はネットワーク境界の内外に点在することになります。また、アクセスする側もテレワークの普及によって社内ネットワークからだけとは限りません。

データやシステムが保管されている場所や、アクセスする経路の複雑化が進むなかでは、従来の境界線型セキュリティでは対応しきれないことは火を見るより明らかです。ゼロトラストセキュリティであれば、重要なデータやシステムにアクセスするものをすべて検証するため、保管場所やアクセス経路の複雑化は問題になりません。

加えて、昨今では社内からの不正な情報漏えいのリスクも問題視されています。このリスクは、社内ネットワークが安全なものとする考え方では防げません。

ゼロトラストセキュリティの境界の概念をなくし、すべてのアクセスを検証する考え方は、クラウド環境だけでなく内部からの不正な情報漏えいのリスクも防げるため、今後のセキュリティの考え方として重要視されています。

ゼロトラストセキュリティを実現するポイント

クラウドセキュリティのために重要なゼロトラストセキュリティですが、実現するためにはどのようなポイントをおさえておく必要があるのでしょうか。ここでは、実現するための3つのポイントについて簡単に解説します。

ゼロトラストの概念を理解し、適切なソリューションを導入する

ゼロトラストセキュリティは、あくまでもセキュリティの考え方・概念です。つまり、ゼロトラストを実現するための単一のソリューションが存在するわけではないことを覚えておく必要があります。

もちろん、ゼロトラストセキュリティを実現するためのソリューションは存在しています。一例としては、IAM／SWG／EPP／EDR／SIEM／SOARなどが挙げられるでしょう。ゼロトラストセキュリティの概念を理解し、これらのソリューションを組み合わせることで実現できます。

IAM（Identity and Access Management）

ユーザーIDと氏名や所属などのアイデンティティ情報と、ユーザーが利用できるアプリを規定するアクセスポリシーに基づき、ユーザー認証やアプリなどへのアクセス認可を管理する製品

SWG（Secure Web Gateway）

URLフィルタリング、アプリケーションフィルター、サンドボックスなどの複数のセキュリティ機能を搭載し、クラウド型で提供されるプロキシサービス

EPP（Endpoint Protection Platform）

組織内に侵入したマルウェアを検知し、自動的に駆除したり実行されないようにしたりする機能を提供する製品

EDR（Endpoint Detection and Response）

EPPと異なり、マルウェア感染後の対応を支援する製品。攻撃が始まる前の脅威を検知し、原因となっているファイルの削除などの対応方法を提供、ログをもとにした侵入経路の特定などに役立てられる

SIEM（Security Information and Event Management）

ファイアウォールやIDS／IPS、プロキシなどのログを一元的に集約し、データを組み合わせて相関分析によってインシデントを検知することを目的とした製品

SOAR（Security Orchestration, Automation and Response）

インシデント対応の自動化や管理、外部から脅威情報を集めて脅威検知精度を高めるなど、セキュリティ運用の自動化や効率化を実現

従来のセキュリティ施策を前提に考える

従来のセキュリティ施策ではリスクに対応しきれないといわれているものの、一気に刷新することを推奨しているわけではありません。ゼロトラストセキュリティを実現するためには、従来のセキュリティ施策では対応しきれない部分を補うことを前提に考えるとよいでしょう。

もともと、従来の対策では防御できない脅威に対応するために追加の対策を取る、という考え方がゼロトラストセキュリティのルーツです。

自社のIT環境がどのように変化し、具体的にどのようなリスクが存在しているのかを洗い出すところから始めましょう。洗い出されたリスクに対して、既存の対策方法では対策しきれない部分をどのように補うのかを考えることで、ゼロトラストセキュリティを実現していきます。

中長期的な計画を立てる

ゼロトラストセキュリティを実現する際には、短期的に実現できるわけではないことを覚えておく必要があります。あのGoogleであっても、ゼロトラストセキュリティを実現するまでに8年の年月 を要したといわれています。このことからも、中長期的な計画に基づいて導入をすすめる必要があることがわかるでしょう。

ゼロトラストセキュリティを実現するためには、新たなソリューションを導入するだけでは不十分です。新規に導入したソリューションを適切に運用するためのセキュリティ運用体制の整備も必要になり、実現までには時間がかかるため中長期的な計画の立案が欠かせません。

クラウド化にあわせてゼロトラストセキュリティが注目されている

クラウドセキュリティとは、クラウドで実行されるアプリや保存されるデータなどを保護することです。クラウドは境界線が曖昧になり、従来の境界線型セキュリティでは対策ができません。そこで注目されているものがゼロトラストセキュリティです。

ゼロトラストセキュリティは、ネットワーク境界の概念をなくし、すべてのアクセスを検証する新しいセキュリティの考え方です。クラウドは今後も企業にとってなくてはならないものになると予想され、ゼロトラストセキュリティの実現は必要不可欠なものとなるでしょう。

この記事ではゼロトラストセキュリティを実現するためのポイントについても解説したため、この機会にクラウドセキュリティとしてゼロトラストセキュリティの考え方を学んでみてはいかがでしょうか。