最終更新日:2023-10-30
ゼロトラストの概念を取り入れたセキュリティ対策を導入し、社内のセキュリティを強化したい方へ。ゼロトラストに対応したセキュリティの概要や具体的なソリューションとともに、おすすめのサービスをタイプ別に紹介します。
ゼロトラストセキュリティサービスとは、「ゼロトラスト(データへのアクセスをすべて信頼しない)」という概念に基づいた、新しいセキュリティ対策サービスのことです。
従来は、社内と社外、ネットワーク内とネットワーク外など境界を引いてセキュリティ対策を行うのが一般的でした。しかし、その場合、既知の外部攻撃には強いものの、「巧妙な未知の攻撃に対応できない」「情報持ち出しに対応できない」「一度中に入られたら対応できない」などリスクが挙げられていました。
ゼロトラストセキュリティサービスなら、内部と外部を区別することなく、組織内部の情報資産やシステムにアクセスするものすべてを検証することで、脅威を防ぐことができます。テレワークの増加やランサムウェアなど新たな脅威の台頭により、これまで以上にセキュアな環境の構築が必要とされている近年では、多くの企業で導入が進んでいます。
ゼロトラストの概念は広く、その対策は広範囲にわたります。本記事ではその中でも、特にポイントとなりそうな「どのようなタイプがあるのか」「どんな点に注意してツールを選べばいいのか」になど焦点を当てて解説します。
記事後半には、タイプ別のおすすめのサービスも紹介しています。「今すぐツールの選定に移りたい」という方はそちらをご覧ください。
ゼロトラストセキュリティサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“ゼロトラストセキュリティサービス”の 一括資料ダウンロードする(無料)
独立行政法人情報処理推進機構(IPA)は、2022年にまとめた「ゼロトラスト移⾏のすゝめ」において、ゼロトラストを構成する重要な要素として「ID 統制」「デバイス統制・保護」「ネットワークセキュリティ」「データ漏洩防止」「ログの収集・分析」の5つを挙げています。
ここでは「ゼロトラスト移⾏のすゝめ」をもとに、この5つの要素について補足しつつご紹介します。
ゼロトラストの概念に従い「すべてに対して認証・認可を行う」ためには、誰がどのリソースにアクセスしようとしているのかを確認して、許可することが必須となります。その実現手段として、代表的なのがIDaaS (Identity as a Service)です。
IDaaSとは、複数のサービスのIDやパスワードをクラウド上で一元的に管理するソリューション。従業員や使用する業務アプリケーションが多ければ多いほど煩雑になるID・パスワードの管理を一元管理することで、利便性を高めると同時に、全社的な管理を実現します。
更にIDaaSには、1度のユーザー認証によって、それ以降は認証なしでログインできる「シングルサインオン(SSO)」、アクセス許可を得たユーザーのみがサービスを利用できるように制限する「アクセスコントロール」などの機能が搭載されています。
テレワークが普及した現代において、デバイスが攻撃を受けるリスクや可能性は格段に高まっています。そこで、PCやスマホを利用する際は、デバイス側でマルウェアの検知や遮断が行える機能や、攻撃を受けた後の対応を効率的に進める仕組みが不可欠。
更に、PCやスマホなどの機器の管理を徹底するには、紛失・盗難時の情報漏洩対策や、私的利用・不正利用を防止できるモバイルデバイス管理サービスも必要です。これらの条件をクリアするためには、EPP、EDR、MDMが有効です。
EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)は、サーバーやPC、スマホなどの端末・機器をサイバー攻撃から守るエンドポイントセキュリティの一環です。EPPは脅威を検知することで被害を未然に防止し、EDRはマルウェア感染後の被害を最小限に抑えます。
一方、MDM(Mobile Device Management)はデバイス自体の機能を制限・管理することで、セキュリティ強化につなげます。
多くの企業で利用されているセキュリティ対策の一つがVPN。しかし、テレワークの浸透により、現在VPN 装置を狙って社内ネットワークに侵入されるケースが多発していることから、セキュリティ対策を施した状態でSaaSサービスに直接アクセスできる手法が求められています。また、VPNに必要な通信量が増えることで発生する業務の遅延・支障や、「シャドーIT」と呼ばれる企業が管理・認知していないSaaSサービスの存在も課題。そこで活躍するのがIAPやSWG/CASBです。
VPNがネットワーク単位での認証であるのに対し、IAP(Identity Aware Proxy)はアプリケーション単位での認証が可能。ゼロトラストの概念に則り、アクセスするたびにIDaaSなどの認証基盤と連携して、確認・認可します。
SWG(Secure Web Gateway)/CASB(Cloud Access Security Broker)は、どちらもユーザーとWebの間で通信を監視するという役割がありますが、前者はWebトラフィック全般、後者はクラウドサービスへのアクセスに特化という違いがあります。主な機能としては、悪性なWebコンテンツへのアクセス制限、SSL 復号機能、マルウェアの検出、シャドーIT の可視化・制限、契約しているテナントの識別などがあります。
ゼロトラストでは、すべてのデータを資産と考えます。そこで大切なのは、データの漏洩を防ぐための対策はもちろん、万一データが流出してしまったケースを想定して対応しておくこと。DLPやIRMで対策しておけば、悪意のない人為的ミスでデータが漏洩してしまった場合にも有効です。
DLP(Data Loss Prevention)は、社内機密ファイルのダウンロードやアップロード、外部記憶媒体へのコピー、メール転送などを制御し、機密情報が不正に取り扱われないよう防ぎます。IRM(Information Right Management)は機密ファイルやメールを暗号化した上でアクセス権限を設けるもので、ファイルやメールが流出した場合でも、権限のない第三者では閲覧できないようになっています。
ゼロトラストの概念には、「すべての資産の整合性とセキュリティ動作を監視し、測定する」ことが盛り込まれています。ネットワークのインフラストラクチャや通信の現状について、可能な限り多くの情報を収集することで、セキュリティ体制をブラッシュアップできます。そのためにはSIEMを利用し、社内のIT機器からログを集約・分析するのが有効です。
SIEM(Security Information and Event Management)とは、あらゆる機器からのログ集約と可視化、そして分析を実行するソリューション。サイバー攻撃の早期検知や対応だけでなく、分析によって恒久的な対策につなげます。
ここからは、(1)IDaaS、(2)EDR、(3)IAP、(4)CASB、(5)DLP/IRM、(6)SIEMの6つのタイプ別に、おすすめのゼロトラストセキュリティ製品をご紹介します。
まずはID統制に強みを持つIDaaSの3ツールから。IDaaSについては「IDaaSの比較12選!|タイプ・選び方とおすすめ製品を紹介」で詳しく解説しています。
“ゼロトラストセキュリティサービス”の 一括資料ダウンロードする(無料)
(出所:GMOトラスト・ログイン公式Webサイト)
「ID・パスワード管理」「シングルサインオン」「認証強化」「ID連携」を備えた、クラウド型のID管理ツール。機能制限付きながら無料で利用できるプランがあり、わかりやすいシンプルなUIで、ゼロトラストセキュリティを手軽にスタートできる。
SSL認証局として20年以上の実績で培ったノウハウによるセキュリティ対策と、過去12カ月で99.99%という安定の稼働率も特徴。クラウドサービスとの連携にも強く、AWS、Chatwork、Cybozu、Evernote、freee、kintone、LINE WORKS、Sansanなどと連携可能。SAML認証、フォームベース認証、Basic認証の3つの方法に対応している。
(出所:Okta公式Webサイト)
柔軟な拡張性と高い利便性で、世界中で評価されているID管理プラットフォーム。AWS、Box、Google Workspace、Office365、Salesforceなど、7,000以上のコンシューマーアプリやSaaSアプリと簡単に連携。アプリケーション、デバイス、ユーザーの認証、認可、アクセス保護を実現する。
シングルサインオン、認証などIDaaSに求められる基本的な機能はもとより、ユーザーのログインのパターンに基づき、リスクが高いと判断した場合にのみ認証を要求するアダプティブ多要素認証、任意のデバイスで常にパスワードレス認証ができる「Okta FastPass」、コーディング不要でプロセスを自動化できる「Okta Workflow」、スマホで多要素認証を行う「Okta Verify」など、多彩な機能を搭載。
(出所:Keyspider公式Webサイト)
オンプレ・クラウドの境界なく、IDを一元管理したい場合におすすめのID管理サービス。Azure AD、Microsoft 365、Salesforce、Google Workspace、Boxなどのクラウドサービスはもちろん、オンプレミスの社内システムとも簡単に自動連携可能。ユーザーIDやパスワード、アクセス制御等の情報を一元的に管理して自動で同期できる。
また、日本企業向けに開発されているのも特徴で、「複雑な組織階層」や「兼務が多い人事慣習」など日本独自の人事制度・慣習にも柔軟に対応可能。「人事異動発令日前後の日程でデータ同期」「異動後一定期間は以前の権限を保持」などのニーズにも対応できる。
(出所:JumpCloud公式Webサイト)
世界160カ国20万社以上の導入実績を持つID/デバイス管理プラットフォーム。Windows、Mac、Linuxなどあらゆるインフラ機器に対応し、既存のGoogle Workspace、Microsoft 365環境の統合が可能。ID/パスワードの管理やユーザーライフサイクル管理、アクセス制御、環境設定を1つの管理画面でコントロールでき、専門知識がなくても直感的に高度なセキュリティを構築できる。
様々なITサービスのシングルサインオン(SSO)連携に加え、指紋認証、ワンタイムパスワード、SMSコードなど、希望する認証方法を選択して組み合わせる多要素認証(MFA)も搭載。MDMソリューションとして、デバイスの設定やアップデート、紛失時のロックやデータ消去など、ユーザーやデバイスの場所を問わずに一括管理も可能だ。
続いては、デバイス統制・保護を強化するEDRの5ツールです。EDRについては「エンドポイントセキュリティ比較14選!EDR・EPP製品をタイプ分け」にて詳しく解説しています。
“ゼロトラストセキュリティサービス”の 一括資料ダウンロードする(無料)
(出所:LANSCOPE サイバープロテクション公式Webサイト)
官公庁・金融・電力・通信・医療機関など、高水準のセキュリティを求められる多くの企業・組織で採用されているアンチウイルスソリューション。選べる2つのAIアンチウイルスと安心のサポート体制、導入しやすい価格帯が特徴。
2種のアンチウイルスソフトのうち、「CylancePROTECT」は、99%のマルウェア検知率を誇る次世代型アンチウイルス製品。AIアンチウイルス統合型EDRサービス「CylanceOPTICS」と組み合わせることで、より防御力の高い環境を構築できる。もう一方の「Deep Instinct」は幅広いOSやファイルタイプに対応しており、ディープラーニングの特許技術を活かしてマルウェアの特徴点を見つけ、実行前に検知・隔離する。
(出所:SentinelOne公式Webサイト)
進化し続ける脅威に備えて構築された自律型サイバーセキュリティ。エンドポイントにとどまらない、拡張された脅威検知とインシデント対応が強み。動的な攻撃対象領域のより高い可視性とAIを活用した自動化により、リアルタイムで対策を講じることが可能。
ランサムウェアのように、パターンマッチングでは検知できない悪意ある振る舞いを識別・阻止・修復する対策実行型XDR、あらゆるエンドポイントとクラウドワークロードに実装可能な分散型AI、過去数週間から数年にわたり悪意あるイベントのデータを収集するStoryline™機能などを搭載している。
(出所:Harmony Endpoint公式Webサイト)
ランサムウェア、フィッシング攻撃、不正な添付ファイルなど、あらゆる脅威からPCを保護してくれるエンドポイントセキュリティ。ランサムウェア被害を防ぐファイル自動復旧機能、フィッシングサイト検知機能、ファイルの無害化機能、更に不正なWebページへのアクセスを防ぐURLフィルタリング機能、早期の原因調査や対策に役立つフォレンジック機能など多彩な機能を搭載。未然の対策から感染後の対策・調査までオールインワンで対応することができる。
(出所:Jamf Protect公式Webサイト)
Mac標的攻撃の検知・修復に特化したエンドポイントセキュリティソリューション。Macユーザーの生産性を担保するために、スキャンは休止状態にあるマルウェアやWindows OSに関連するマルウェアを除外することでPCへの負荷を軽減。スムーズな動作のまま、Macへのあらゆる脅威へ対応することができる。
OSの新しいバージョンがリリースされた初日から完全なサポートを受けられるのも特長で、最新のOSに適用されるまで時間がかかるといった心配もなし。定期的なメジャーアップデートだけでなく、不定期に実施されるマイナーアップデートにも対応しているので、常にセキュアな状態を保てるのも魅力だ。
続いて、ネットワークセキュリティを強化するIAPツールです。
(出所:F5 BIG-IP Access Policy Manager公式Webサイト)
アプリケーション、API、データへのアクセスを保護・簡素化し、一元化するセキュリティサービス。ID連携や適応型多要素認証(MFA)、シングルサインオン、APIの保護、Webアプリケーションプロキシを介した認証・承認およびエンドポイント検査の一元化など、充実した機能が強み。
最大100万のアクセスセッションを1台のBIG-IPデバイスでサポートし、最大200万アクセスセッションを単一のVIPRIONシャーシでサポートするパフォーマンスと拡張性の高さも特徴。ニーズに合わせた6つのトライアルオプションを用意している。
クラウドのセキュリティ強化をお考えの方におすすめのツールがこちら。
“ゼロトラストセキュリティサービス”の 一括資料ダウンロードする(無料)
(出所:Cygiene公式Webサイト)
クラウドの監視とコントロールによって、クラウド活用と従業員セキュリティの両立を実現するセキュリティソリューション。国内外の様々なSaaS・クラウドサービスと1クリックで連携可能。従業員とそのアカウント情報は常にリンクされ、監査ログやアクティビティなどを自動的に取集・可視化する。また、フルマネージドのHTTP/TLSゲートウェイによって、エンドポイントとクラウドサービスの間の通信を制御。不審アクセスの遮断、シャドーITの検出・アクセス制限により情報漏えいを防止する。
クラウド型VPNを統合しているため、アクセス元を問わず、すべての通信を保護。先進的なゼロトラストセキュリティの実現を支援する。
(出所:Netskope CASB公式Webサイト)
世界的に評価される米国発のクラウドセキュリティソリューション。シャドーITの検出、従業員が使用しているクラウドサービスのリスクスコアリングなどの機能で、全体的なリスクのレベルを特定。リスクの高いアクティビティや機密性の高いデータの移動に関するユーザー指導などは、リアルタイムで通知を表示する。
機密データの漏洩を防ぐのみならず、データ漏洩防止機能を利用したデータの簡素化、迅速化、正確なスキャン、分類も可能。クラウドサービスの使用状況を深く識別し、ユーザー、アプリ、インスタンス、リスク、アクティビティ、データ、デバイスの種類などに基づき、対象のセキュリティポリシーをきめ細かく定義できる。
続いては、データ漏洩を防ぐツールです。
(出所:DataClasys公式Webサイト)
高度なセキュリティと柔軟な運用性を両立した国産のファイル暗号化製品。様々な業界標準などに応じたファイル管理で、標的型攻撃や操作ミス、意図的漏洩などによる情報漏洩を最小限にとどめる。
利便性の高さをコンセプトに掲げており、ファイルを暗号化しても利用者の使い勝手は変わらないなど、組織の生産性や業務効率に影響を与えることなく情報漏洩対策が可能。専任のエンジニアがコンサルテーションから運用開始まで対応し、また運用開始後も保守が可能なので、導入に不安を感じている方にもおすすめ。
最後は、ログの収集・分析に特化した2ツールです。
(出所:Logstorage-X/SIEM公式Webサイト)
ソフトウェアやサーバーに残るログを一元的に保管・管理し、セキュリティ脅威となる事象をリアルタイムに分析・検知する純国産SIEM製品。
直感的に操作できるGUIで、ログを受信してから通知されるまでのフローを順序立てて作成可能。脅威データベース情報と連携しており、セキュリティ脅威に対するより強固な出口対策も検討できる。国産のため、日本国内のIT部門が検討しやすい価格帯設定になっているのもポイント。
(出所:Splunk Enterprise Security公式Webサイト)
あらゆる規模の環境で、脅威のモニタリング、検出、調査をすばやく正確に実行するソリューション。マルチクラウド環境とオンプレミス環境の両方からデータを取り込むことで、データ全体を可視化する。迅速な脅威検出機能、わかりやすく効率的なセキュリティ分析機能、高いオープン性と拡張性が特徴。
リスクをユーザーやシステムと関連付けたアラートの生成、アラートの優先順位付け、MITRE ATT&CK、NIST、CIS 20、キルチェーンなどのフレームワークに対応した700以上の検出ルールと機械学習による検出などで、きめ細かなニーズに対応。クラウド、オンプレミス、ハイブリッドいずれの方法でも導入できる。
ゼロトラストセキュリティの概要や、その概念に従ったサービスのタイプ別におすすめの製品をご説明しました。
以下、基本的な要点(よくある質問)をまとめておきましたので、参考にしてください。
2010年にアメリカで提唱された「ゼロトラスト」とは、文字通り「何も信頼しない(zero trust)」という考え方です。たとえば「社内サーバーだから安全だ」「取引先から送られてきたURLだから信用できる」といった無条件の信頼を前提とした「境界型セキュリティ」から離れ、外部・内部を問わずすべてのアクセスを確認し、認証・認可を行うことで社内の情報資産を守ろうとするものです。
ゼロトラストセキュリティとは、守るべきものを「データ」とし、データへのアクセスを「すべて信頼しない」ことで情報セキュリティを実現しようとする、セキュリティ対策のことを言います。今回紹介した各種サービスも、この概念に則った様々な方法で大事な情報を守ります。
ゼロトラストセキュリティ製品は、ID統制に強みを持つ「IDaaS」、デバイス統制・保護を強化する「EDR」、ネットワークセキュリティを強化する「IAP」、クラウドのセキュリティを強化する「CASB」、データ漏洩を防ぐ「DLP/IRM」、ログの収集・分析に特化した「SIEM」の6つに大別できます。自社の目的・用途に合ったものを選びましょう。
ゼロトラストセキュリティサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“ゼロトラストセキュリティサービス”の 一括資料ダウンロードする(無料)
GMOグローバルサイン株式会社
1ユーザー月額300円で6,100種以上のサービスに「アクセス制限/コントロール」しながら「シングルサインオン」できるクラウド型ID管理システム。直感的UIで誰...
エムオーテックス株式会社
導入実績1,600社以上。用途に応じて選べる2つのAIアンチウイルスソフトと安心の国内サポート体制が特徴のセキュリティ対策サービス。定義ファイルを使わないため、...
株式会社キャスティングロード
全世界で数千社が利用する自律型AIエンドポイントセキュリティプラットフォーム。ツール提供だけでなく、導入時の設定支援、導入後の運用代行も対応可能。社内に専門人材...
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
EPPとEDRを兼ね備えた総合セキュリティ。脅威対策や不正アクセス防止等の感染を未然に防ぐ対策から、感染後の対策・調査までHarmony Endpointひとつ...
Jamf Japan 合同会社
EDRとEPPを兼ね備えたMac特化型のエンドポイントセキュリティ製品。あらゆるマルウェアの起動を防ぎ、セキュリティイベントを可視化。Mac標的攻撃を効果的に検...
スカイゲートテクノロジズ株式会社
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合した、セキュリティツール。クラウドの監視と制御により、クラウド活用と従業員セキュリティの両...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。