ゼロトラストとは

技術士

ゼロトラストとは

近年、ゼロトラストというセキュリティの考え方が広がりつつあります。ここでは、その広がりの背景でもあるリモートワークの普及とゼロトラストについて解説します。

リモートワークの接続方式

リモートワーク(テレワーク)で業務を実施するにあたっては、インターネットを抜けて社内環境に接続するため、セキュリティを確保する必要があります。接続する方式としてはいくつかあります。主に、

(1)VPN方式

端末にVPN(Virtual Private Network)ソフトをインストールし、そのソフトを使って社内環境に接続します。接続後は、端末には社内のIPアドレスが設定され、社内LAN端末の1つとして機能することになります。

VPN方式のやや弱い点としては、

・端末がウィルスに感染していた場合社内LANに蔓延する可能性があるなど、端末の管理が難しい
・VPN装置は攻撃の的にされやすく、一度接続されると基本的に接続したままとなる
・社内側のVPN装置にアクセスが集中するため、回線容量や装置規模の拡大にコストがかかる
などが考えられます。
(2)仮想デスクトップ方式

クラウドや社内サーバに仮想的なデスクトップ環境を構築します。仮想的なデスクトップは、社内と接続されています。端末からは、専用のソフトやブラウザ等を使って、仮想的なデスクトップを遠隔で操作します。
この技術の特徴は、手元の端末(PC)は、単にキーボードやマウスの入力機能と、仮想デスクトップにて生成された画面を表示する出力機能を備えているだけ、という点にあります。仮想デスクトップは、キーやマウスの入力を受け付け、情報処理し、画面を生成して端末に転送します。
仕組みとして端末には一切データが残らないため、端末紛失時のデータ流出リスクがありません。また、仮想デスクトップでは、セキュリティパッチやインストールされるソフトなど一括管理ができるため、セキュリティホールが生じにくいという特徴もあります。
更に、社内の端末もすべて仮想デスクトップ方式にすれば、勤務先の自席、会議室といった社内はもちろん、外出先や自宅からでも、全く同じデスクトップ環境で仕事ができます。
なお、クラウドで提供される仮想デスクトップをDaaS(Desktop as a Service)、社内サーバで自社提供される仮想デスクトップをVDI(Virtual Desktop Infrastructure)と言いますが、技術的にはどちらも同じです。

仮想デスクトップ方式にも弱い点はありまして、

・クラウド/サーバと端末は常に通信し、特に画面転送に比較的容量が大きくかつ常に安定した通信環境が必要なため、外出先でWiFiやモバイル通信の電波が弱い場合(新幹線のトンネル内)、使えないことがある
・複数人でサーバのCPUや記憶媒体等のリソースを共用するため、リモートユーザーが急増した場合、回線容量等も含めてリソースがひっ迫し、動作遅延を引き起こす場合がある
・仮想デスクトップ環境で動作保証されていないアプリケーションがある

などが考えられます。

ゼロトラストとは

さて、これまでのセキュリティの考え方は、社内に守るべきデータがあり、社外からのサイバー攻撃に対していかに守るかということでした。堅牢な城壁を築き、外からの攻撃に対して城内を守るイメージでしょうか。しかしながら、サイバー攻撃は日々高度化、巧妙化しているため、攻撃側と守る側とのいたちごっこが続いていることや、例えば標的型攻撃では、社員を騙ったメールの添付ファイルを誤って開封すると感染するため、そうなると堅牢な城壁は内部から崩壊することとなります。さらに、仮に悪意を持った社員がいた場合に備え、社内から社外への情報流出にも気を遣う必要があります。そのため、外部は危険で、内部は常に安全、とは言えなくなりつつあります。

その一方で、リモートワークの広がりとともに、データはクラウド上にあった方が利便性が良く、守るべきデータは社内のサーバにあるのではなく、社外のクラウドにある、という状況が増えてきました。そうなりますと、社内と社外の区別があいまいになってきます。

これらの背景により、社内と社外を区別せず、「社員を含めてすべて信用しない」というゼロトラストの考え方が広がりつつあるのです。

ゼロトラストでは認証を重要視していて、あらゆる資源にアクセスする際に、

・アクセスしたのは本人か
・アクセスしたのは正規の端末か

を確認します。技術的にはシングルサインオン(SSO)とクライアント認証ですので、利用者側は最初のサインオン以降は特段意識する必要はありません。

ゼロトラストのソリューションの一つとして例えばZscaler(ゼット スケーラー)があります。これはZscaler社が提供するゼロトラストのクラウドサービスでして、利用者の端末にはZsaclerクライアントソフトが入っており、SSLでZsacler社のクラウドプラットフォーム(以下Zscaler)にインターネットを経由して常に接続しています。社内のシステムも同様に、インターネット経由でZsaclerに接続しています。接続する方向が、社内⇒社外ですので、社外からアクセスするための穴をあける必要がない点はメリットと言えます。Zsaclerは同時に認証基盤(例えばマイクロソフトのActiveDirectory)やSaaS(同じくマイクロソフトのM365など)をサポートしており、Zsaclerを仲介して社内システムにアクセスしたり、SaaSサービスをセキュアに利用することが出来ます。

(3)セキュアFAT

ゼロトラスト環境で利用する「端末」として、セキュアFATと呼ばれる端末があります。ゼロトラストでは端末の管理も重要であり、かつリモートワークも可能とすることから、会社支給のノートPCとするケースが多いようです。紛失時のためにリモートワイプ(遠隔でデータを消去する)やデータの暗号化をするソフトを入れている場合もあります。

FAT端末であるため、仮想デスクトップとは異なり、処理は端末側で実施し、データもローカルのハードディスクにあります。そのため、仮想デスクトップの弱点であった、常に安定した通信環境は不要で、オフライン作業が可能であり、リソース共有問題もなく、安定して作業を実施できます。

ゼロトラストの今後

ただし、端末を含むゼロトラスト環境の構築は大がかりで専門的な知識が必要であることは否めず、費用面や技術面などまだまだ敷居が高いと言えます。現在は大企業中心に広がりつつあるゼロトラストですが、普及するに従い、より安価で簡易なクラウドサービスが登場することと思います。