ここ20年ほどで急速に進む企業のデジタル導入ですが、中でも最近は働き方改革の一環でスマートフォンやノートPCを使った社外での仕事を許可・奨励したり、2020年はリモートワーク比率が急増したりと、一つの節目にあるといえます。
こうしたデジタル活用の進化によって社員の利便性や業務効率がアップした一方で、企業の視点ではこれまで見過ごされがちだったセキュリティリスクが顕在化する結果にもなりました。
これまで常識だったセキュリティの考え方が徐々に通用しづらくなっている現状を踏まえ、新たに提唱されているのがこの記事のテーマである「ゼロトラスト」です。
従来の境界型セキュリティと比較しながら、ゼロトラストの基本的な考え方、導入に至るまでの注意事項などを解説していきます。
ゼロトラストとは、その言葉のとおり「信頼(Trust)を何に対しても与えない(Zero)」という前提に立ったセキュリティ対策の考え方です。
機器の持ち出しが「特殊ケース」として扱われていた従来のセキュリティ対策では、社外→社内、あるいは社内→社外といった「情報の境界線」を越える場合のリスク対策をすることが基本でした。
ですが冒頭にも書いたように、昨今は会社の中と外という境界線の引き方自体が機能しなくなりつつあります。また、次の章でも触れますが、社内といえども不正な情報漏えいのリスクもあります。
こうしたことを踏まえ、ゼロトラストでは次のような観点で安全性の確認を行います。
なお、ゼロトラストとはセキュリティにおける考え方であり、特定の製品ジャンルを指しているわけではありません。さまざまなシステムやツールなどによってゼロトラストなセキュリティアーキテクチャを実現する、というのが正しい認識です。
ここからはより詳しく、ゼロトラストという考え方が生まれた背景について考えていきます。従来のような「境界防御型」の次なるセキュリティモデルが必要になったのは、次に挙げる3つの要因があります。
パブリッククラウドが普及する前は、企業の情報資産は自前のデータセンター内に保管されていることが一般的でした。もし社外からデータにアクセスする場合は、VPNを使ってセキュリティを担保していました。
しかし現在は、クラウドに対する理解が深まり、企業もクラウドを導入することに抵抗感が薄れてきています。基幹システムやファイルサーバーをはじめ、メールやスケジューラーといったアプリケーションもクラウド化するケースが増えています。
こうしたクラウドサービスを利用する場合は、そもそもシステムやアプリケーションが社内ネットワークの外にあります。そのため、「社内ネットワークでしか利用できないようにする」「社外からVPNを使って社内にアクセスする」という安全性の担保のしかたが成立しなくなってしまいます。
業界を問わず多くの企業でさけばれているように、2020年はビジネス環境に大きな変化が起きた1年でした。新型コロナウイルスの蔓延によって、事業のあり方やサービスの提供方法、オフィスの存在意義など、これまで疑いもしなかったことを根底から見直さざるを得なくなりました。
企業の情報セキュリティの面では、クラウド利用というトレンドに加え、リモートアクセスの常態化、ユーザー(社員)のデバイスの多様化という状況にも対応が求められています。
リモートワークでクラウド上のデータベースにアクセスするといったことは、社内ネットワークを使うことすらない状況です。ほかにも、リモートワーク期間に、情報システム部門の許可なく利用したアプリケーションによって、機密情報の漏洩が発生したり、デバイスや社内のネットワークがサイバー攻撃の被害に遭う恐れもあります。
こうした中では当然、従来の境界防御型のセキュリティ思想に変わる新たな考え方が必要になっています。
内部からの情報漏えいは以前から起こりうるものでしたが、①と②で挙げたようなネットワーク環境の変化によって、よりそのリスクが増しているといえます。これまではデスクトップが一定の割合を占めていた社員用PCも、ノートPCやスマートデバイスに置き換わることで紛失・盗難はもちろん、社員が悪意のある目的で持ち出すことも容易になったという見方もあります。
また、社員のセキュリティ意識が低い場合、悪意がなくとも何かのパスワードを他人に教えてしまい、そこから情報漏えいが起きるケースもあります。
パスワードさえあれば安全だ、会社貸与のPCだから信用できるデバイスだ、とはいえないからこそ、二要素認証などのようなより厳密なセキュリティを導入することが大切です。
上の図は、サービスの組み合わせにより、ゼロトラストの思想を実際のアーキテクチャに反映させた弊社のソリューション例です。
この構成では社内外からクラウドへのアクセスに対し、安全な接続を確立するためのFIC(Flexible InterConnect)を中心とし、認証基盤やクラウドプロキシー、EDRなどのセキュリティ対策を連携させることでゼロトラストネットワークが実現できます。
加えて、SOC(Security Operation Center)によりセキュリティ上の脅威を検知・排除することでより安全なネットワーク環境を保つことが可能です。
冒頭でも書いたように、ゼロトラストはあくまでもセキュリティ対策の概念であり、ソリューションではありません。図で紹介したようなゼロトラストモデルを実現するための代表的なソリューションを紹介します。
こうしたソリューションを取り入れてゼロトラストを実現させるためには、次の2つのポイントを意識することが大切です。
パスワードの脆弱性と言われて久しいですが、単にIDとパスワードによる認証ができたからといって、適切なユーザーがアクセスしているとは限りません。
アクセスしている地域、使用デバイス、さらにはそのデバイスの利用者など、ゼロトラストではこうした側面での認証も同時に行うことが重要です。
脅威の検知という点では、ユーザーのアクセスや行動履歴の精査がしやすい状況をつくっておくことも大切です。予め危険な行動を検知することで、未然にセキュリティ事故を防ぐことができます。
ゼロトラストの考え方でセキュリティ対策をすることで、情報漏えいや外部からの攻撃のリスクを低減することが可能になります。
これらに加えて、より高度な情報管理や働き方改革の推進(業務効率化)といった面でのメリットもあります。
ゼロトラストならではといえる特徴は、アクセス端末・アクセス先・ネットワークにとらわれない安全なネットワークを構築できることです。
ゼロトラストネットワーク実現させることで、社員が柔軟な働き方を実現でき、生産性や従業員満足度の向上といったポジティブな変化をもたらすことにもつながります。
ゼロトラストによって、認証と認可(アクセス権限のポリシー)がより厳密にコントロールできるようになります。
機密情報については、アクセス権限を細分化することによって漏洩のリスクを減らすことと、漏洩した際の原因特定がしやすくすることができます。セキュリティプラットフォーム上での管理によって、ユーザーごとにアクセスできる情報自体への制限をかけることで情報管理の精度が高まります。
ゼロトラストは、現在の情報セキュリティにおけるバズワードです。そのため、具体的な目的や課題にどうアプローチするかよりも、ゼロトラストを実現することありきで社内の議論が進むこともあるでしょう。
ゼロトラストを自社のセキュリティのベースにすることは大切ですが、まずは実現すべき項目の洗い出しから始めることが重要です。
その理由は、繰り返しになりますが、ゼロトラストという名の製品はないので、課題と対応するソリューションを見つける必要があるからです。
的確な要件定義ができないままシステム導入の話だけが進んでしまうと、当初は想定していなかった管理負荷の増大や利便性の低下など、マイナスな結果が現れる可能性もなくはありません。
こうしたことを踏まえた上で、新しい働き方や社内システムのクラウド化など、事業の発展に貢献するセキュリティ体制を実現していきましょう。
詳しく質問したい方はこちら!
このページのトップへ
JP
