ゼロトラストの欠点は何ですか?:ズバリ解答、ITの疑問
皆さんが関心のある企業向けのITの話題について、短く、分かりやすく解説します。
Q:ゼロトラストの欠点は何ですか。
A:セキュリティ強化のためにゼロトラストを導入すると、厳格な認証とネットワーク上のリソースの継続的な監視が欠かせなくなります。つまり、運用コストと運用に必要な時間や人員が増えます。
では、ゼロトラストの欠点をカバーするにはどうすればよいのだろうか。
ゼロトラストセキュリティは、ネットワークを対象としてセキュリティを高める手法だ。「信頼は与えられるものではなく、検証されるものだ」という原則に従う。従来のセキュリティモデルでは、企業のネットワーク境界内に存在するデバイスやユーザーを信頼できると考えて扱ってきた。しかし、ゼロトラストモデルでは、従来の境界内であっても全てのアクセスを潜在的な脅威として扱い、アクセスを許可する前に厳格な認証と検証を必要とする。
厳格な認証を実現するため、多要素認証はもちろん、ユーザーのアクセス状況からリスクを判定し、リスクがあると判定した場合に追加の認証を実行するリスクベース認証の他、IPアドレスや地域、利用デバイスなどによるアクセス制御を行うコンテキストベースの認証などの厳格な認証メカニズムを実装することがある。
継続的な監視のために、ネットワーク上のトラフィックとアクティビティーを常に監視し、分析することが必要だ。ユーザー行動の分析の他、デバイスやネットワークの異常な動作の検出、侵入検知システムや侵入防止システムの展開が含まれる場合がある。ログの分析やポリシーの更新、ユーザーやデバイスのオンボーディング/オフボーディングなどのタスクを管理するために、専用のチームや追加のリソースを割り当てる必要がある。
欠点は認証と監視だけではない
ネットワークインフラの増強 ゼロトラストの導入時にはネットワークインフラのアップグレードや導入が必要になる場合がある。高度な認証メカニズムをサポートする追加のハードウェアやソフトウェアコンポーネント、ネットワークトラフィックの監視と分析のためのツールなどだ。これらの変更や導入にはコストがかかり、物理的なネットワーク設計の見直しが必要になる場合もある。
スケーラビリティの課題 大規模な組織や複雑なネットワーク環境でゼロトラストを導入すると、実装自体に時間がかかる。運用中に増減する多数のユーザーやデバイス、リソースを管理し、それぞれのアクセスを個別に認証、監視しなければならないため、管理のオーバーヘッドとコストが大幅に増える可能性がある。
この他、そもそもゼロトラスト導入時と運用時に組織のネットワーク利用のポリシーや手順の大幅な再設計が必要になる場合がある。これがデメリットとも考えられる。
ゼロトラストの欠点をカバーするには
このようなゼロトラストの欠点をカバーする方法は幾つもある。企業の規模やネットワークの用途、構成によって以下に挙げた解決策には向き不向きがあるので、ゼロトラスト導入前に十分な調査が必要だ。
認証については管理しやすい手法を取り入れるべきだろう。シングルサインオン(SSO)を実装して、一度認証すると複数のアプリケーションやリソースにアクセスできるようにするとよいだろう。管理者側、ユーザー側を問わず、認証の手間が減る。
もう一つは何らかのパスワードレス認証を導入することだ。多要素認証には導入、運用に手間が掛かるものとそうでないものがある。従業員全体に網をかけ、さらに認証情報が漏れにくい工夫をすべきだ。その他、外部にサービスを提供していない企業であってもパスキーが利用できる。
ネットワークインフラについては合理化を進めるべきだ。ある程度規模が大きなネットワークを利用しているのなら、ソフトウェア定義ネットワーク(SDN)とネットワーク仮想化(NFV)を採用するとよい。ネットワークの設計と管理が柔軟になり、ゼロトラストを実装、管理する手間が少なくなる。管理の手間を下げるもう一つの方法はマイクロセグメンテーションの実装だ。ネットワークをより小さなセキュリティゾーンに分割することで、攻撃の範囲を制限できるため、管理の手間が減る。
合理化のもう一つの方法はクラウドベースのセキュリティソリューションの採用だ。クラウドベースのファイアウォールや侵入検知システム、セキュアWebゲートウェイなどのサービスを使用すると、オンプレミスのインフラと比較して、展開、コスト、管理のオーバーヘッドの問題を解決できる場合がある。
この他、セキュリティオーケストレーションや自動化、SOAR(Security Orchestration, Automation and Response)ソリューションの導入を導入すると、セキュリティタスクの自動化やワークフローの合理化、インシデント対応の高速化が可能になる場合がある。
最後に、ゼロトラストであっても人がセキュリティの穴になる可能性は残る。管理者はもちろん、ユーザーにもゼロトラスト環境の維持に役立つトレーニングを実施して、ベストプラクティスをいつでも参照できるようにしよう。
関連記事
IT記者が考える、転職者の情報持ち出しを防ぐツールの決定版
退職者が多いこの時期に営業秘密が漏えいしてしまうリスクは極めて高いらしい。在籍した企業の情報を持ち出して転職先で使ってしまおうと考える人が多いようだ。内部不正による情報漏えいを防止するために「あるツール」を導入した企業がいる。
中小企業向け「SASE」入門 ゼロトラストとの違いと「何ができるか」をカンタン解説
ガートナーが提唱したセキュリティフレームワーク「SASE」。ネットワークとセキュリティに必要な機能をひとまとめにして提供するアーキテクチャを指すが、最近では、大企業向けだけでなく中小企業向けのSASEソリューションも出始めている。
ゼロトラスト導入時に失敗しやすいポイントはこれだ
さまざまなサイバー攻撃に対抗する手段としてゼロトラストは優れている。だが、ベンダーの提供するソリューションをそのまま導入してもよいのだろうか。
「多要素認証」導入の手引き 失敗する理由は?
セキュリティの強度を補う手段に多要素認証がある。だが、SMS認証や指紋認証、物理トークンを用いた認証など多数の技術があり、選択基準が分かりにくい。どのように多要素認証を選べばよいのだろうか。
パスキーの仕組みを分かりやすく解説 企業にどう役立つか
パスワードの問題を一気に解決できる「パスキー」の採用が広がっている。パスキーを採用すれば社外向けのサービスだけでなく、社内向けのサービスのセキュリティも向上できるという。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 法人向け「Copilot+ PC」続々発売 メーカーで機能や特徴はどう違う?
- BIベンダーも「Excelはなくならない」と諦める理由 高機能な分析ツールの出番はいつ?
- ChatGPTやCopilotの活用が進まない“3つの理由” ユーザーが答えた切実な課題
- Microsoftの「Copilot+ PC」はこれまでのWindows PCと何が違うのか
- 遅れてきたGemini for Google Workspaceができること、Copilotとの違いは?
- ここが変わった「Microsoft Teams」 アップデート情報を総まとめ
- 「ランサムウェア」の被害をバックアップで防ぐことは可能か
- Microsoft 365のTeams分離プランは損か得か 検討ポイントを専門家が徹底解説
- Zoomの新コラボレーションプラットフォーム「Zoom Workplace」って何?
- Copilot for Microsoft 365はChatGPTよりも回答が“イマイチ”でも選ぶ理由って?
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。