新型コロナウイルスの影響により、半ば強制的に本格的なリモートワーク時代に突入したと言っても良いのではないでしょうか。それに伴いクラウドサービスの活用が進み、あらゆる場所から業務を行うために必要な情報にアクセスできる環境が整いつつあります。総務省の「平成30年 通信利用動向調査報告書 (企業編)」によると、一部でもクラウドサービスを利用している企業は全体の約6割に達しており、さらに、「全社的に利用している」と回答した企業は平成28年と比較し18.7%増加しています。
こうした在宅勤務やリモートワークを含んだテレワーク時代、クラウドサービス時代に必要とされている新しいセキュリティの考え方があります。それが「ゼロトラストネットワーク(ゼロトラスト)」と呼ばれるセキュリティ概念です。今回はこのゼロトラストの基本について解説します。
ゼロトラストとは?
ゼロトラスト(Zero Trust)、その言葉の意味は「信頼がゼロ(無い)」です。従来のセキュリティ対策は「社内ネットワークは安全である」という基本的考えのもとで、境界での水際対策を中心としてセキュリティ対策が実施されていました。しかし、今日の情報セキュリティを考えてみると、必ずしも社内ネットワークが安全とは言い切れません。一方、ゼロトラストでは「信頼が無い」、つまりあらゆる要素を信頼せずにセキュリティ対策を実施することを意味します。では、なぜ今になってその基本的な概念が変化したのでしょうか?
これまで長きにわたって構築・運用されてきたセキュリティ対策を「ペリメータセキュリティ(境界型セキュリティ、Perimeter Security)」と呼びます。ペリメータとは「境界線」を意味し、インターネットと社内ネットワークの間に明確な境界線を引き、その境界線上にファイアウォールなどのセキュリティ製品を設置して、境界線でサイバー攻撃を阻止するという対策です。言い換えれば、社内ネットワークへの接続を許可された者はどんな状況においても信用され、「情報アクセス」が容易であるということになります。
境界型(ペリメータ)セキュリティとは社内ネットワーク上のデバイスとそれを使用するユーザーを信頼した、トラストセキュリティとも呼ぶべき対策というわけです。
一方で、その限界が徐々に浮き彫りになってきていたのも事実です。モバイルテクノロジーの発展、デジタル技術の進歩、ワークスタイルの変化、エコシステムの変化など、ビジネスを取り巻く環境が劇的に変わってきており、境界型セキュリティではその変化を受け止めきれなくなっています。
なぜなら、「保護すべき情報資産は境界線の内側にある」「ユーザーは境界線の内側で作業を行う」「境界線の内側は安全性を確保することができる」といった境界型セキュリティの前提は、崩れ去ろうとしているからです。
ゼロトラストが求められている理由
今、企業の情報資産はどこにあるのか?境界型セキュリティではオンプレミスのファイルサーバーやデータベースに保管されていることが前提となります。しかしクラウドサービスの普及により、メールだけでなくファイルサーバーや基幹システムも含めてクラウド上に移行しているケースも多く、境界線内に重要な情報資産はほとんど管理されていない、という状況も少なくありません。
従業員が仕事をする場所についても大きな変化が訪れています。働き方改革の推進と通信回線の高速化により、業種によってはオフィスに行かなくても仕事が可能になり、リモートワークを取り入れる企業も増えています。特に昨今では新型コロナウイルスの影響により、過去に類を見ないほど多くの企業がリモートワークに取り組んでいます。近年設立したベンチャー企業の中には、そもそも固有の拠点を持たないというケースも増えています。
そして、「境界線の内側であれば安全だ」と考えられてきた境界型セキュリティが大きく崩れている最大の理由が、サイバー攻撃の多様化です。その名称から「サイバー(インターネット)空間で実行される攻撃」とイメージされがちですが、サイバー空間からの攻撃は最初のステップに過ぎず、すでに境界線の内側に侵入されている可能性は十分にあります。
さらに、昨今のサイバー攻撃は必要に応じて現実空間での攻撃を組み合わせることもあり、訪問者を装って物理的に侵入し、何らかの攻撃を仕掛けることもあります。
過去に興味深い調査を行ったのが英セキュリティ企業のソフォス社です。同社が実施した調査とは、列車内に置き忘れられたUSBメモリをまとめて入手し、その内容について調べたところ約2/3がマルウェアに感染していることが明らかになりました。
出典:忘れ物のUSBメモリ、3分の2がマルウェアに感染――相当量の個人情報も
世界的なセキュリティカンファレンスである「Blackhat USA 2016」では、落としたUSBメモリはほぼ全てが誰かに拾われ、そのうち約45%の人が自身のパソコンに挿入してファイルをクリックしていることが判明しています。これを悪用したサイバー攻撃が「USBドロップ」であり、現実に繰り返されている攻撃手法です。
昨今のサイバー攻撃はあらゆる手段を使って目的を達成しようとしており、「境界線の内側が安全」とはもはや言えない状態です。だからこそ全てを疑い、境界線の内側ですら監視対象とするゼロトラストが必要とされています。
[SMART_CONTENT]
ゼロトラストの仕組み
保護すべき情報資産が社内に無い、従業員もオフィスにいないという状況を考えると、従来型のセキュリティ対策によって社内ネットワークの安全性を確保することはもはや意味を成しません。そこでゼロトラストが強く求められます。ちなみにゼロトラストは、2010年に米調査会社のフォレスター・リサーチ社調査員のキンダーバーグ氏によって提唱されました。
境界型セキュリティとゼロトラストの違い
|
|
境界型セキュリティ |
ゼロトラスト |
|
情報資産の想定保存場所 |
社内ネットワークの内側 |
クラウドを含めたあらゆる場所 |
|
従業員のワークスタイル |
会社の物理拠点(オフィス) |
テレワーク、自宅、カフェ、ワーキングスペース、電車内、顧客先、空港、機内などのあらゆる場所 |
|
企業ネットワークの安全性 |
確保できることが前提 |
確保できないことが前提 |
ゼロトラストの基本は、前述のように「社内ネットワークは信頼でき安全を確保できる」という前提を捨てて、社内ネットワークに対するアクセスと、社内ネットワークの内側で起きるトラフィックを全て検査するというものです。
具体的には、「アクセス元の端末はアクセスが許可されたものか」「アクセス元の端末のセキュリティ対策は適切か」「アクセス元のユーザーはアクセスを許可された者か」「アクセス元のユーザーの挙動に怪しい点はないか」などを検査対象とします。
サーバーへのアクセス、情報資産へのアクセス、とにかく全てのアクセスを確認し、それらが適切な権限のもと通信しているかなどを精査することで、従来の境界型セキュリティに囚われないセキュリティを実現します。
アフターコロナ時代に求められる働き方を支えるために、DXのために、近年多発するサイバー攻撃と拡大する被害に対処するためには、新しいセキュリティに対する考え方が必要です。それは、従来からの境界型セキュリティではなく今求められているゼロトラストの考え方です。この機会に、ゼロトラストを前提にしたIT環境を検討、実現してみてはいかがでしょうか。
![話題のBox AI for HubsからBox Signまで!8社のお客様が語るBox利活用事例 Boxユーザー祭り’24 [イベントレポート]](https://www.boxsquare.jp/hs-fs/hubfs/images/blog/box-user-festival-24-event-report-01.png?width=84&name=box-user-festival-24-event-report-01.png)
