目次クリックで該当箇所に移動します
テレワークの普及やクラウドサービスの利用増加が進む中で、外部からのサイバー攻撃だけでなく、内部不正によるセキュリティー被害も増加しています。内部不正によるセキュリティー被害には、社員による故意なデータの持ち出しといったケース以外にも、人的ミスによるデータ流出といったケースも含まれます。社外コラボレーションの増加によって社外からのアクセスが増えている環境下で、誤操作やセキュリティー設定のミスにより意図せずにデータを持ち出されてしまうことなどが、人的ミスによる流出の一例です。
社内のセキュリティーを強化してこのような被害を防ぐために、ゼロトラスト・セキュリティーが注目を集めています。本記事では、ゼロトラスト・セキュリティーの基礎知識や境界型防御との違い、そしてゼロトラスト・セキュリティーを実施する上で重要な3つの戦略についてご紹介していきます。
ゼロトラスト・セキュリティーの概要
クラウド環境の普及によって、近年ではゼロトラスト・セキュリティーという考え方が広まっています。ここではまず、ゼロトラストの基本的な考え方や境界型防御との違いについて解説します。
ゼロトラストとは
ゼロトラストとは「何も信用しない」というセキュリティー対策の考え方を指します。社内や社外を問わず、自社の情報資産にアクセスを試みるものすべてを信用せずに安全性を検証し、セキュリティー被害を防ぐための考え方がゼロトラスト・セキュリティーです。
テレワークやクラウドサービスの利用が普及する中で、企業におけるシステムも従来のようなオンプレミス環境からクラウド環境へと主軸が移りつつあります。このような変化によって、社外でもインターネットを通じて仕事ができる環境が整い、「社外」と「社内」の境界が曖昧になってきました。このような環境では、従来型の境界型防御によるセキュリティー対策では自社のセキュリティーを十分に高めることができません。そこで、ゼロトラスト・セキュリティーの考え方を採用する企業が増えてきているのです。
境界型防御とは
境界型防御とは、社外と社内の境界にファイアウォールなどのセキュリティー製品を設置して、社外から侵入しようとする脅威を防御するための仕組みです。従来は自社サーバーを設置して社内に限定的なネットワークを構築するオンプレミス環境が主流だったため、社外からの攻撃を防ぐことで、十分なセキュリティー対策を行うことができていました。
しかし近年のクラウドサービスの普及によって、情報資産は自社サーバーのみならず、クラウド上にも存在するようになりました。このような事情もあり、社内サーバーにある情報資産に社内からのみアクセスを許可する境界型防御では、オフィス出社を前提としない多様化する働き方にマッチしなくなり、境界の外に点在する情報資産を情報漏洩やマルウェア感染などの脅威から守ることが難しくなってきています。
このような問題への対策と、脅威に対する高い防御性を兼ね備えた考え方として、ゼロトラスト・セキュリティー戦略が注目されています。
ゼロトラスト・セキュリティーと境界型防御の比較
ゼロトラスト・セキュリティーと境界型防御を比較すると、下記のような違いがあります。
| ゼロトラスト・セキュリティー | 境界型防御 | |
|---|---|---|
| 信頼するエリア | なし | 社内ネットワークの範囲内 |
| アクセス可能なユーザー | 認証・認可を通過したユーザーと 端末のみ |
社内ネットワークに存在する ユーザー |
前述のようにゼロトラスト・セキュリティーにおいては、社内外のすべてのネットワーク・アクセスを信用しません。従って、どのような経路からのアクセスであっても、サイバー攻撃や内部不正の可能性を疑い、認証・認可やセキュリティーソフトなどによるセキュリティー対策を行います。
例えば、テレワークによる社外インターネットからの接続はもちろん、オフィス内の社内インターネットからの接続であっても変わらずユーザー認証を行い、接続が許可されているユーザーかどうかを確かめます。
一方の境界型防御は「外部から侵入してくる脅威を防御する」という考え方が基本となるため、社外からの攻撃は防御しますが、社内ネットワークの範囲内は自由にアクセスが可能です。またこのような考え方から、境界型防御においてはインターネットに接続しないオンプレミス環境であれば、非常に高いセキュリティー対策を講じることができます。
将来的なゼロトラスト実現に向けて、今出来ること
ゼロトラスト・セキュリティー戦略を実現するには、多大な投資や工数を割く必要があります。将来的なゼロトラスト実現に向けては、まずは比較的導入しやすいセキュリティー対策として、多要素認証やエンドポイントセキュリティー、VPNの構築などが挙げられます。
多要素認証
多要素認証とは、パスワードなどの「知識情報」、電話番号などの「所持情報」、指紋などの「生体情報」の3つの要素の中から2つ以上を組み合わせて本人認証する仕組みのことです。
システムにログインする際にIDとパスワードを入力して認証する方式は古くから用いられていますが、パスワード認証には外部流出などの危険性もあります。そこで多要素認証を活用することで、認証のセキュリティーレベルを高めることができます。
例えば、ユーザーがIDやパスワードを入力してシステムへのログインを試みた際に、事前に指定された電話番号へSMSを送信し、認証番号の入力を求めるのも、多要素認証の一例です。一般的に、電話番号に送信されたSMSが第三者によって盗み見られる危険性は少ないため、セキュリティーの向上につながります。
エンドポイントセキュリティー
エンドポイントセキュリティーとは、エンドポイント(インターネットに接続されているクライアント端末)に対するセキュリティーを強化する考え方です。ここで言うエンドポイントとは、業務用PCやスマートフォン、タブレットなどの端末を指しています。
エンドポイントは外部のインターネット環境に直接接続するため、境界型防御の域内にあるオンプレミスなどの社内環境と比べると、サイバー攻撃などのリスクに晒される可能性が高くなります。
そこで、従来のようにウイルス対策ソフトを導入するだけでなく、データの暗号化や外部端末の制御、ID管理、振る舞い検知などの総合的なセキュリティー対策が可能なエンドポイントセキュリティーを導入し、より強固なセキュリティー環境を構築する必要があります。
VPN
VPN(Virtual Private Network)とは、インターネット上に仮想的な専用線を設置して通信を行う仕組みのことです。送信側と受信側の間に仮想トンネルを設置して、そのトンネルの間で通信を行うことによって、安全にデータの送受信を行えます。
データの送受信は暗号化された状態で行われるため、万が一悪意を持つ第三者によって通信の傍受をされたとしても、直ちに通信が解析されることはありません。また、VPNに接続する際はユーザー認証を行い、許可されていないユーザーが不正に接続することを防止します。
ただし、VPN装置のアップデート不備による脆弱性を狙った情報漏洩リスクや、不正アクセスによる端末のマルウェア感染リスクもあります。VPNは便利な技術ですが、設定によっては、かえってセキュリティーリスクを増大させる恐れもあります。導入時は「誰をどの領域にアクセスさせるのか」を正しく管理し、適切なアクセス制御を行って、セキュリティーリスクの回避を図ることが大切です。
まとめ
ゼロトラスト・セキュリティーを実現するためには、構築のためのコストや導入までの工数も掛かります。コストと時間を掛けて実装するゼロトラスト・セキュリティーが十分な効果を発揮するためには、まずは自社のセキュリティーを見直し、現状のリスクや問題点を洗い出した上で、重点的に取り組まなければならないポイントを見極めることが大切です。
多要素認証やエンドポイントセキュリティー、VPNなど、ゼロトラスト・セキュリティーにおける効果的なセキュリティー対策はいくつかあります。リストアップした自社のリスクに対して、最も有効と思われるセキュリティー対策を行うことが重要と言えるでしょう。
