- IT統制
2022.02.15
更新日:
2021.04.13
全2回 話題のゼロトラストについて最低限知っておきたい基礎知識 《連載:第1回》 誰もがゼロトラストに無関心ではいられない
近年、ITセキュリティの分野で「ゼロトラスト」という言葉を頻繁に目にするようになりました。中には新手のバズワードとして他人事のように考えている方もいるかもしれませんが、それは大きな間違いです。ITによって企業の成長に貢献しようという方に、無関心でいることも避けて通ることもできない重要な概念なのです。今回は2回に分けて、そのゼロトラストの基本知識を紹介していきます。
ITサービス運用でお困りなら、ITサービス管理ツール「SmartStageサービスデスク」へ
全2回話題のゼロトラストについて最低限知っておきたい基礎知識
そもそもゼロトラストとは?
大手総合電機メーカーの個人および機密情報漏洩、情報通信企業社員による技術情報の不正持ち出し、警視庁端末へ不正アクセス…などなど、企業や組織の情報セキュリティ管理に関する事件が続いています。
言うまでもなく、デジタル社会においてセキュリティ対策は企業の最重要課題のひとつ。漏洩が起きれば顧客や取引先からの信用失墜につながりますし、損害賠償責任を問われることもあります。最近は企業コンプライアンスに対して社会の目も厳しさを増しており、ひとたびブランド毀損してしまうと、修復には膨大な時間とコストが必要です。
そんな中、新たなセキュリティ対策として注目を集めているのが「ゼロトラスト(ネットワーク/セキュリティ)」です。
ゼロトラストとは、2012年に米国の市場調査会社フォレスター・リサーチが提唱したセキュリティ防御モデルを指します。ただし、あくまでアーキテクチャモデル(≒概念、指針)であって、特定の製品・サービスを指すものではありません。既存のセキュリティ技術も含め、複数のツールを組み合わせ運用することで実現するものです。
ゼロトラストの一番の特徴は、名前の通り、「何も信用しない(=ゼロトラスト)」ことです。これまでの企業における情報セキュリティは、インターネットや外部に接続しているネットワークを「危険な場所」とみなして制限をかける一方で、社内ネットワーク(イントラネット/LAN)は「信頼できるもの」とみなして制限を設けない、「境界防御」と呼ばれるやり方が一般的でした。具体的には、インターネットと社内ネットワークとの境界にファイアウォールなどを設置し、外部からの攻撃を防ぐ手法です。しかし、この手法では、一度ファイアウォールを攻撃者やマルウェアに突破されると誰でもアクセスが可能になり、被害が一気に広がってしまうという弱点がありました。
これに対して、ゼロトラストは社内のユーザー、端末、ネットワークもすべて「信頼できない」ものとみなし、IDは適切か、そのIDはリソースへのアクセス権があるか、デバイスは認証済みか、ウイルスチェックは行われているか、などの必要条件を満たしているかチェックしてアクセスの可否を判断します。また、一度要件を満たしたユーザーや端末であっても、再度アクセスがあった場合は改めてチェックを行います。さらにその上で、「閲覧のみOK」「閲覧もダウンロードもOK」といった権限を制限し、情報漏洩を防ぐ仕組みです。
「何も信用しない」なんて、人間だったらあまり付き合いたくはありませんが、常に最悪の事態を想定しているという点では、大切な情報を守るためにはうってつけの性格と言えるでしょう。とはいえ、これだけでは「自社は有名な会社じゃないからサイバー攻撃の標的になるわけがない」と、まだ他人事のように考えている方がいるかもしれません。しかし、何度も言いますが、それは間違いです。
ゼロトラストが注目を集める理由
なぜなら、ゼロトラストが注目を集めている理由は、単にサイバー攻撃に対するセキュリティ対策のためだけではないからです。他にも近年のビジネスにおける次の2つの潮流が関係しています。
〈1〉クラウドシフトの加速とデバイスの多様化
2020年10月から、総務省により「第二期政府共通プラットフォーム」がアマゾンのクラウドサービスであるAWS(Amazon Web Services)上で運用開始されましたが、今後官民ともにクラウドシフトが進み、クラウド上に重要なデータを置くことがますます増えていくと予想されます。同時に、タブレットやスマートフォンなど、パソコン以外の端末も当たり前のように仕事で使われるようにもなりましたし、IoTのような外部アプリケーションとの連携が必要な取り組みをする企業も増えてきました。このように、データやアプリの多くが社内ネットワーク外に置かれるようになった状況では、従来のオンプレミス環境における境界型セキュリティの適用が難しくなってきています。
〈2〉ウィズ/アフター・コロナにおけるリモートワークの常態化
2020年の春以降、新型コロナウイルスの感染対策としてリモートワークを開始する企業が増えました。その際に多くの企業が利便性向上とセキュリティ強化を目的にVPN(仮想私設網)を導入しましたが、多数の社員が一斉にネットワークを使用することで負荷がかかり、通信速度の低下や接続切断などのトラブルが多発したのです。
また、VPNはセキュリティ面でも、認証と認可の制御が弱い上に、ネットワークへの外部からの接続を許可してしまうという弱点もあります。実際にその弱点を狙った不正アクセスも発生しており、セキュリティ会社カスペルスキーの調査によると、コロナ禍前の2020年1月とコロナ禍真っ只中の同年10月とを比較すると、その件数はおよそ1.6倍にも増えていたことが明らかになっています。
その一方で、スムーズかつ安全にリモートワークへの移行を実現した企業が採用していたのがゼロトラストでした。例えば、最大2万5000人のリモートアクセス環境を実現したとして話題になった株式会社LIXIL。もともと拠点が多く、外部業者も社内ネットワークにアクセスする環境だったため、境界防御に変わるセキュリティ対策としてゼロトラストに切り替え始めていたということです。
こうして見てみると、ゼロトラストはセキュリティだけでなく、クラウドやIoT、そしてリモートワークが一般化したビジネス環境において、業務効率化や生産性向上に最適なデジタルインフラと言っても良いのではないでしょうか。次回は、その導入方法について紹介します。