1.ゼロトラストセキュリティとは
ゼロトラストセキュリティは、「社内外のすべてのネットワークやデバイスを信頼せず、脅威が潜んでいること」を前提としたセキュリティモデルです。内部と外部の区別をせず、すべてのアクセス要求に対して常に検証を行い、信頼できると判断された場合のみアクセスを許可します。これにより、ネットワーク全体の安全性を高めることが可能です。
2.ゼロトラストセキュリティの主な構成要素
ゼロトラストセキュリティを実現するためには、以下の主要な領域をカバーするソリューションが必要です。(表1)
(表1:ゼロトラストセキュリティの主な構成要素)
| 領域 | 説明 |
|---|---|
| IDaaS (Identity as a Service) |
IDaaSは、クラウドベースの認証・認可サービスであり、多要素認証(※1)やシングルサインオン(※2)などの機能を提供します。ユーザーやデバイスのアイデンティティを一元管理し、アクセス制御を強化します。 |
| EDR (Endpoint Detection and Response) |
EDRは、エンドポイント(※3)における脅威の検出と対応を行うソリューションです。既知・未知の脅威に対して防御を行い、攻撃が発生した場合には迅速に対応・封じ込めを行います。 |
| UEM (Unified Endpoint Management) |
UEMは、Windows・macOS・Android・iOSなど多様なデバイスを一元的に管理するソリューションです。デバイスのセキュリティ設定やアプリケーションの配布を自動化し、管理効率とセキュリティを向上させます。 |
| SASE (Secure Access Service Edge) |
SASEは、ネットワークとセキュリティ機能を統合したクラウドベースのソリューションです。SWG(※4)・CASB(※5)・ZTNA(※6)などの機能を提供し、インターネットやクラウドサービスへの安全なアクセスを実現します。 |
| SIEM (Security Information and Event Management) |
SIEMは、セキュリティ情報とイベントを統合的に管理するソリューションです。ログ収集・相関分析・異常行動検知を行い、インシデント対応を効率化・自動化します。 |
3.ソリューション評価(机上)のプロセス
ゼロトラストセキュリティの導入にあたっては、要件定義から市場調査、机上評価、実機評価といったプロセスを経て、最適なソリューションを選定します。ここでは、特に机上評価における評価観点や方法について解説します。
3.1.主な評価観点
ゼロトラストセキュリティソリューションを選定するには、明確な評価観点が不可欠です。機能要件と非機能要件に整理して評価することをおすすめします。
- 機能要件:ソリューションが「何を実現すべきか」を示す要件で、必要な機能が十分に備わっているかを評価します。
- 非機能要件:ソリューションの品質や制約条件、「どのように実現すべきか」を示す要件で、信頼性、拡張性、使いやすさなどを評価します。
以下、機能要件(ソリューション領域ごとの評価観点、表2)と非機能要件(共通の評価観点、表3)について、主な評価観点を解説します。
(表2:機能要件(ソリューション領域ごとの評価観点))
| 領域 | 主な評価観点 | 説明 |
|---|---|---|
| IDaaS | 認証とアクセス管理 | 多要素認証・シングルサインオン・リスクベース認証などの多様な認証方式をサポートし、セキュアで柔軟なアクセス制御を実現する機能 |
| ユーザーライフサイクル管理 | ユーザーアカウントの作成・変更・削除を自動化し、ディレクトリサービスとの統合やプロビジョニングの効率化を図る機能 | |
| セキュリティポリシーとコンプライアンス | 詳細なアクセスポリシーの設定や、デバイス認証との連携など、セキュリティとコンプライアンス要件を満たす機能 | |
| EDR | 高度な脅威防御 | 多層的な防御機能・ランサムウェア対策・脆弱性管理により、既知・未知の脅威からエンドポイントを保護する機能 |
| リアルタイム検知と対応・復旧 | リアルタイムの調査機能・自動化された対応機能・リモート操作機能により、脅威を迅速に特定し対処する能力 | |
| エンドポイント管理とコントロール | アプリケーション制御・外部デバイス管理・詳細なログ収集により、エンドポイントの包括的な管理と制御を実現する機能 | |
| UEM | デバイスライフサイクル管理 | OS/パッチ管理・資産管理機能により、多様なデバイスを一元的に管理する機能 |
| アプリケーションとデータセキュリティ | アプリケーション配布や管理・データ暗号化・リモートワイプ機能(※7)により、企業データとアプリケーションを保護する機能 | |
| ポリシー適用と遵守管理 | セキュリティポリシーの柔軟な設定と適用・グループ管理機能・コンプライアンス監視により、組織全体のセキュリティ基準を維持する機能 | |
| SASE | セキュアアクセス制御 | ユーザーとデバイスの厳格な認証・クラウドアプリケーション管理・リモートアクセス制御により、場所を問わず安全なアクセスを提供する機能 |
| 統合脅威対策 | クラウドベースのファイアウォール・マルウェア対策・DNSセキュリティにより、ネットワークとエンドポイントを包括的に保護する機能 | |
| データ保護と可視化 | DLP(※8)・暗号化・トラフィックやクラウドアプリケーション使用状況の可視化により、機密データを保護し、ネットワーク全体の透明性を確保する機能 | |
| SIEM | データ収集と分析 | 多様なログソースからのデータ収集・正規化・リアルタイム分析・相関分析を行い、セキュリティイベントを包括的に把握する機能 |
| 脅威検知 | プリセットされたアラートルールや、MITRE ATT&CKフレームワーク(※9)との統合、機械学習を活用したユーザー行動分析(UEBA)により、高度な脅威を検知する機能 | |
| 対応の自動化 | 作成したプレイブックに従ってインシデント検知から対処までのワークフローを自動化する機能(SOAR) | |
| 可視化とレポーティング | カスタマイズ可能なダッシュボード・詳細なレポート機能・外部脅威情報との連携により、セキュリティ状況を可視化し、意思決定を支援する機能 |
(表3:非機能要件(共通の評価観点))
| 主な評価観点 | 説明 |
|---|---|
| 可用性 | ソリューションの稼働時間やダウンタイムの頻度(SLA(※10))・冗長化の仕組み・メンテナンス時の影響といった観点で確認します。 |
| 性能 | システムの応答速度・スループット・トラフィック量への対応能力といった観点で確認します。例えば、EDRやSIEMでは大量のデータをリアルタイムで処理する能力が求められ、SASEではネットワークの遅延や帯域幅の管理が重要です。 |
| 拡張性 | システムが増加するユーザー数やデータ量にどれだけ対応できるか、ライセンスの柔軟性・マルチデバイス対応は可能かといった観点で確認します。例えば、IDaaSやUEMでは、新しいユーザーやデバイスの追加が容易であることが求められ、SIEMではログデータの増加に対応できるスケーラビリティが重要です。 |
| 移行・連携性 | 既存システムからのデータ移行の容易さや、クラウドネイティブであるか、他のシステムやサービスとの統合能力といった観点で確認します。例えば、連携可能なSaaSは他ソリューションが豊富であるか、ログ連携可能なSIEMが豊富か、IDaaSでは既存の認証システムからの移行がスムーズに行えるか、といった観点が重要です。 |
| セキュリティ | 認証や認可の強度・データの暗号化といった仕組み・セキュリティ認証とコンプライアンスの観点で確認します。 |
| ユーザビリティ | システムの使いやすさ・ダッシュボードの見やすさやカスタマイズ性・直感的なインターフェース・設定と管理の簡便さといった観点で確認します。 |
| サポート | ベンダーのサポート体制(24時間365日のサポートやサポート言語)・ドキュメントの充実度・トラブルシューティングの迅速さを確認します。導入後のサポートが充実しており、問題発生時に迅速に対応できるかが重要です。 |
3.2.評価方法と結果整理
3.1で解説した主な評価観点はあくまで概略です。実際のソリューション評価では、これらを参考に詳細な評価シートに落とし込み、評価を行うことが重要です。
一般論だけでなく、自社の課題や必要事項を明確にし、一般的な要件と自社要件の両面からアプローチして、最適なソリューションを選定できる評価シートを作成しましょう。
評価シートを作成したら、ドキュメント調査やベンダーへのヒアリングなどで各項目を調査します。
最終的には、スコアリング(例:評価項目ごとに「0:要件を満たしていない」「1:要件を満たしている」「2:要件を満たし他ソリューションと比較して強みがある」)や要件の充足率を整理し、サービス提供地域、対応言語、コストといったソリューション採用の前提条件も評価軸に加え、総合的に評価を行うと良いでしょう。(図1、2)
(図1:ソリューションごとの機能要件および非機能要件の評価結果例)
(図2:総合評価例)
4.ソリューション選定におけるポイント
ゼロトラストセキュリティソリューションを選定する際には、以下のポイントにも留意することで、効果的かつ適切な選定が可能となります。
4.1.目的の明確化
ゼロトラストセキュリティの導入自体が目的とならないように、組織のセキュリティ強化や運用効率の向上といった具体的な目標を明確に設定しましょう。明確な目的があれば、選定から導入、運用までのプロセスが一貫し、最大の効果を得られます。
4.2.実機検証の重要性
机上評価に加えて実機検証を行うことで、実際の運用環境における機能性・性能・使い勝手等を確認できます。パフォーマンス・互換性・操作性など、実機検証で得られる情報は選定において非常に重要です。机上評価でソリューションを絞り込み、実機検証も行ったうえで最終的にソリューションを選定しましょう。
4.3.ベンダーの実績や信頼性の確認
ソリューションの評価だけでなく、提供するベンダーの実績や市場での評価も選定の重要な基準です。導入実績・第三者評価機関でのポジショニング・サポート体制などを確認し、信頼性の高いベンダーを選びましょう。
4.4.ベストオブブリード型かスイート型かの選択
ソリューションの導入形態として、各領域で最適なソリューションを個別に導入するベストオブブリード型と、一社の統合ソリューションを導入するスイート型があります。それぞれメリット・デメリットがあるため、自社の状況やニーズに合わせて選択しましょう。
4.5.運用課題の観点を評価に盛り込む
ゼロトラストに限らず、既存のセキュリティソリューションを運用している場合、運用部門が抱える課題(例:エラーログの不足・設定のエクスポート不可・アラートのカスタマイズ不可・設定上限の少なさ・GUI非対応)を新たなソリューションの評価観点に含めることが有効です。運用部隊の課題をヒアリングし、運用効率の向上につながる要素を評価に加えましょう。
5.おわりに
ゼロトラストセキュリティは、柔軟かつ安全なIT環境を実現するための重要なアプローチです。ソリューション選定に際しては、各構成要素の特性や要件を正確に把握し、現状の課題に最適なソリューションを見極めることが求められます。適切な選定ポイントを押さえ、ゼロトラストセキュリティを効果的に導入することで、企業のセキュリティレベルを飛躍的に向上させることができるでしょう。
サイバーセキュリティ | NTTデータ - NTT DATAについてはこちら:
https://www.nttdata.com/jp/ja/services/security/
あわせて読みたい: