「ゼロトラスト」を根付かせるには？ 実装を成功させる“7つのステップ”：現場で成功するゼロトラスト実装ガイド【前編】

ゼロトラストの実装を成功させるには、時間と継続的な取り組み、強いコミットメントが必要だ。成功に向けたステップを7つに分けて説明する。

[Karen Scarfone, Alissa Irei，TechTarget]

　ゼロトラストとは、「社内外の通信とユーザーを常に検証し、必要最小限の権限だけを与える」という考えに基づくセキュリティモデルだ。「社内だから信頼する」という発想を改め、まずは信頼しない状態からスタートし、リスク評価と検証のしやすさに応じてアクセス範囲を段階的に許可する。ネットワークの内外を問わず脅威が存在すると想定し、社内外のユーザーに対し、データやシステムにアクセスするたび厳格な認証と認可を求める。

　ゼロトラストを効果的に導入するには、強固なセキュリティと業務の使いやすさを両立させるバランス感覚が欠かせない。適切に設計すれば侵害発生率が低下することに加え、仮に発生しても攻撃者により多くの時間と労力を強いることになるため、被害を最小限に抑えられる。セキュリティチームは攻撃の早期発見と影響の最小化が可能となる。

　以下では、専任チームの編成や資産棚卸し、ギャップ分析など、ゼロトラストの実装を成功させるための具体的なステップを解説する。

ゼロトラスト実装の具体的なステップ

併せて読みたいお薦め記事

なぜ「ゼロトラスト」が必要なのか

• なぜ今の企業には「ゼロトラスト」が必要なのか　基本から徹底解説
• ゼロトラスト「失敗35％」――それでも“現状維持”こそ危ない理由

　効果的なゼロトラスト戦略を展開するには、以下のステップに従うとよい。

1．専任のゼロトラストチームを結成する

　ゼロトラストへの移行を担う専任の小規模チームを編成する。このチームには、ゼロトラスト戦略の立案と設計を主導するメンバーを割り当てる必要がある。アーキテクチャ変更やセキュリティ技術、ポリシーを組み合わせてゼロトラストを実現する仕組みについて、チームを教育することが重要だ。

　以下のような複数分野に精通した人材の登用も検討すべきだ。

• アプリケーション
• データ
• ネットワーク
• インフラ
• デバイスのセキュリティ

2．資産の棚卸しを実施する

　このステップは、組織の「攻撃対象領域」（アタックサーフェス）と潜在リスクを把握する上で不可欠だ。保護すべき資産を全て洗い出し、リスクの大きさに応じて更新や変更の優先順位を決める手掛りとなる。

　まずデータやデバイス、サービス、アプリケーション、システム、ネットワークなど、保護すべきあらゆる資産を棚卸しする。網羅的かつ最新の状態を維持することが求められる。各資産には次の情報を付与することが望ましい。

• 資産の重要度のランク
• 地理的な位置と所有者
• アクセス権を持つべきユーザーまたはシステム
• アクセスの重要度または機密性

　これに併せて、既に導入済みのゼロトラスト関連コンポーネントを特定し始める。今後数カ月から数年以内に導入予定の技術がゼロトラスト戦略に組み込めるかを確認するため、現在のセキュリティ調達計画を見直すべきだ。

3．ギャップ分析を実施する

　ゼロトラストに関するビジネス目標を明確にし、自社の現状と目標との差を把握するためギャップ分析を実施する。この分析では、利便性を保ちながらリスク相応のアクセス制限を実現することが要となる。

　ゼロトラストの最適解は組織によって異なる。ギャップ分析には、開発中の製品やサービスが負う可能性のあるセキュリティリスクを特定し、事前対策を検討する「脅威モデリング」などの手法を取り入れると効果的だ。

4．ゼロトラストの実装アプローチを選定する

　ゼロトラストを実装するための万能なアプローチは存在しない。最適解は、各組織が保有する技術基盤や運用プロセス、課題、強みに応じて決まる。まず現状を棚卸しし、どの方式から着手すれば効果が高いかを見極める必要がある。米国国立標準技術研究所（NIST）は代表的なゼロトラストアーキテクチャを次の4種類に分類している。

• 強化されたアイデンティティーガバナンス
  • ユーザーやデバイスのIDと属性を厳密に管理し、その情報を基にアクセスを許可・拒否するアプローチ。用いる主な技術は次の通り。
    • ID管理
    • アクセス管理
    • 認証情報管理
    • 多要素認証（MFA）
    • 生体認証
    • IDフェデレーション
    • IDガバナンス
    • エンドポイントセキュリティ
    • SIEM（Security Incident and Event Monitoring）
    • セキュリティ分析
• ソフトウェア定義の境界（SDP）
  • ネットワーク上に仮想的な境界を設け、エージェントやゲートウェイでクライアントとリソース間の通信を都度暗号化および認証する方式。オーバーレイネットワークを活用し、細かな接続制御を実現する。
• マイクロセグメンテーション
  • ネットワーク内部をきめ細かく区画し、資産単位でポリシーを設定して横移動を防ぐ手法である。採用する主なインフラは以下の通り。
    • インテリジェントスイッチ
    • ルーター
    • 次世代ファイアウォール
    • ゲートウェイ
  • エンドポイント上のソフトウェアエージェントやファイアウォールを使う「ホストベースマイクロセグメンテーション」も含まれ、IDガバナンスプログラムとの連携が前提となる。
• セキュアアクセスサービスエッジ（SASE）
  • 以下のような技術を組み合わせて、支社、テレワーカー、オンプレミスネットワーク向けにゼロトラストアーキテクチャを構築するアプローチ。
    • SD-WAN
    • セキュアWebゲートウェイ
    • CASB（Cloud Access Security Broker）
    • 次世代ファイアウォール
    • ゼロトラストネットワークアクセス（ZTNA）

5．ゼロトラスト実装を計画する

　ゼロトラストの全面的な導入は、数年単位の取り組みになると見込むべきだ。多くの組織は既に多要素認証や一部ネットワーク分割などの要素を持つが、足りない部分を補完し、既存資産を再構成しながら進める必要がある。そのためには、新たなエンタープライズ向けセキュリティ技術の選定および導入も避けて通れない。

　計画段階では製品評価や調達、PoC（概念実証）、本番展開と工程が多く、それぞれに1年以上を要する場合がある。その間、既存のコンポーネントや運用プロセスを有効活用し、段階的にゼロトラスト体制へ移行することが重要だ。

　計画には、以下の要素を含める必要がある。

• ゼロトラストの基盤要素
  • ユーザーIDの証明
  • デバイスID
  • 認証情報
  • 認証方式
  • アクセス制御および管理技術
  • ネットワークアーキテクチャ（例：セグメントの細分化、リモートアクセスの確保）
• 支援技術のスケーリング
  • ゼロトラストではログ量と監視ポイントが大幅に増えるため、イベントログ、監視、分析基盤が処理能力および容量の面で耐えられるかを見直す。
• ゼロトラストポリシーの策定
  • デフォルトで全てのアクセスを拒否し、明示的に許可されたもののみの許可を原則とする。高リスク操作には追加認証を求めるなど動的リスク評価を組み込む。
• レガシー技術への対応
  • ゼロトラストを直接適用できない古いシステムについては、ネットワークセグメンテーションやプロキシ経由のアクセスにより隔離し、最小限の権限のみを付与する方法を検討する。

6．ゼロトラスト計画を段階的に進める

　ゼロトラストの導入は一度に大規模な変更を実施するのではなく、長期的に小さな改修を積み重ねる方が現実的だ。まずはシングルサインオン（SSO）のように早期に小さな成果を積み上げる「クイックウィン」を優先し、裏側で必要となる基盤整備を並行して進めるとよい。

　各変更を展開する前には必ずユーザビリティを評価する。正式なテストが難しい場合は、技術スタッフを早期導入者として起用し、フィードバックを反映させた上で全社展開へ移行する。

　実装フェーズごとに計画を点検し、状況に応じて更新することが肝心である。たとえば、既存のセキュリティ製品がゼロトラスト機能を追加した結果、別製品の導入が不要になるケースもある。

7．ゼロトラスト実装を維持する

　ゼロトラストは導入して終わりではなく、継続的に育成、改善すべきものだ。サイバー資産や業務プロセスが変化するたびにポリシーを見直し、最小権限と動的リスク評価の原則が常に機能するよう維持する必要がある。

　そのためには、既存資産がゼロトラスト基準を満たし続けているかを監視し、新規資産を投入する際には必ず戦略に組み込む仕組みを整えることが求められる。