知らなきゃ損!ゼロトラストっていったい何?
ゼロトラストは2010年にアメリカの調査会社Forrester Research社が提唱した、セキュリティソリューションです。
「全ての通信を信頼しない」という考えの下、全てのユーザーやデバイス機器からのアクセスに対して毎回認証を行います。
安全性が確認できたアクセスしか社内システムやアプリケーションにログイン許可を与えないので、不正アクセスを遮断できます。
「どのユーザーが、どのデバイス機器で、どのシステムを使用している」と一度に把握できるのが、ゼロトラストのメリットだといえます。
※本記事はゼロトラストの超入門記事です。より詳しく理解したい方はゼロトラストに関する他の記事をご覧ください。
ゼロトラストはネットワークセキュリティの一つの「概念」である
ゼロトラストは単体の製品を指しているわけではありません。
複数のセキュリティーソリューションを組み合わせて、セキュリティレベルを確保していく形になります。
方法は1つではなく、経営規模やオフィス環境に合わせた方法を選ぶ形になります。
例えば、CASB(Cloud Access Security Broker)と呼ばれるソリューションはクラウドサービスとユーザーの間に位置し、クラウドサービスの利用状況やアプリケーション内に不審な動きがないかを監視する機能を備えています。
信用(トラスト)がゼロのセキュリティ戦略
全てのアクセスにマルウェアや悪意のリスクがあるとの考えです。
従来のセキュリティでは一度システムをログアウトした場合、それほど時間が経たずに再度ログインする場合、IDやパスワードを入力しなくてもログインできました。
ですが、ゼロトラストは「全ての通信を信頼しない」という考えであり、毎回ログイン時に認証確認をユーザーに求めます。
アプリケーションをログアウトしたのが1分前でも1時間前でも、関係ありません。
毎回全てのアクセスに認証を行うことで、セキュリティレベルを保ちます。
内部すらも信用せず、すべてを疑うことがスタート
従来のセキュリティ対策である「社内での利用=安全」、「社外での利用=危険が伴う」といった境界線を意識したセキュリティ対策では、社内システムや機密情報を守るのが困難な状況です。
サイバー攻撃の多様化、社外からのアクセス機会の増加を含めた働き方の変化、内部情報漏洩対策が要因として挙げられます。
「社内からアクセスしている限り安心」と言える状態では、もはや無くなっている状況です。
どの場所でどのデバイス機器を利用しても、セキュリティレベルを確保できるセキュリティー対策として、ゼロトラストが注目されています。
令和の時代から、ゼロトラストが注目され始めた背景とは
サイバー犯罪が増加している
トレンドマイクロ社が調べた調査によると、2015年~2019年にかけての日本企業でのサイバー犯罪による被害総額は、毎年2億円以上となっています。
従業員の個人情報、取引先や顧客の情報流出、機密情報の流出などが主な被害内容です。
企業を狙ったサイバー犯罪の手口は、標的型メール攻撃が目立っていました。
企業の経営層や取引先を装った内容、送信元の偽装、添付ファイルのエクセルやワードにマルウェアを忍ばせた形などが攻撃の手口です。
情報がお金を生む対象となっている現代において、従業員の個人情報、企業の機密情報や顧客情報の保護は非常に重要です。
例えば、個人情報が流出した場合は、クレジットカードやインターネットバンキングの悪用が考えられます。
一方、企業の機密情報が流出した場合、競合会社に技術やノウハウをコピーされたり、悪用されたりする可能性が考えられます。
独自性や専門性の高いデータほど他社が真似できず、企業に莫大な利益をもたらすので、情報を保護するセキュリティ対策の強化が早急に必要です。
サイバー犯罪の検挙件数は過去5年で15%以上増加
警視庁の調査では、2019年のサイバー犯罪の検挙数は9,542件でした。
5年前の2014年が7,905件だったことを比べると、5年で約1,600件増加しています。
近年に発生しているサイバー犯罪の特徴としては、仮装通貨やオンラインゲームの不正利用が目立っていました。
特に仮装通貨のサイバー犯罪の被害総額が約677億円と、前年の100倍以上の被害総額となっています。
反面、インターネットバンキングの被害件数は金融機関のセキュリティ対策の強化により、5年前の2014年と比べて1/6程度の322件に減少をしていました。
サイバー攻撃の手口としては、ID・パスワードのハッキングやメールアドレスや企業になりすました標的型メールを利用した情報盗取が目立っており、個人レベルでのセキュリティ対策における意識改革も必要です。
内部からの情報流出も少なくない
内部からの情報流出は、情報セキュリティ上の脅威で毎年トップ10に入る脅威候補です。
内部情報の対策の難しさは、現役社員だけでなく退職した社員にもケアが求められる点です。
退職した社員への対策の難しさは、現役社員と異なり普段の行動の様子が監視できません。
現役社員であれば、セキュリティ分野の教育機会の設定や罰則を与えてリスクを減らせますが、退職した社員にはそのような対策はできません。
そして、退職した社員の情報流出の動機は、職場での人間関係のトラブル、給料や労働時間など待遇への不満、解雇通知や契約切れといった理由などが挙げられています。
実際、2018年に糖尿病検査や遺伝子検査など医療用検査システムの開発・研究を行うアークレイ㈱では、元従業員が機密情報を持ち出す事件が発生しました。
被害内容は、885人分の患者の個人情報の他、アークレイが抱えている技術データなどが犯人に持ち出されています。
犯人は逮捕され、流出した情報の外部漏洩は確認されていませんが、タイミングが遅ければ大きな被害となっていました。
企業における働きかたの変化
テレワークへ移行する企業が増え、あらゆる場所からアクセスが必要に
自宅やサテライトオフィスなど、時間と場所を問わない働き方を認める企業が増えています。
テレワークの導入を認める背景には、企業と従業員の双方にメリットがあるからです。
下にそれぞれのメリットと導入効果をまとめました。
| メリット | 期待される効果 | |
| 企業 |
|
|
| 従業員 |
|
|
IT業界においても「デジタルワークプレイス」が取りざたされるように
デジタルツールを活用して働き場所が違くても、同じ環境で作業ができるよう労働環境を整えることです。
チャットワークなどのビジネスチャット、ZoomなどのWeb会議システム、業務上で利用するファイルなどを保存するDropboxなどを活用します。
同じ部署やチームのメンバーの仕事の進捗状況が見えるようデジタルツールを導入することで、業務の効率化や生産性向上に期待ができます。
システム利用の多様化
クラウドサービスの利用が増加している
総務省が発表したデータによると、2018年の時点で約60%の企業が何らかの形でクラウドサービスを利用しています。
主な使用用途とメリットをまとめました。
今後、テレワークの導入によりクラウドサービスの利用はさらに加速するでしょう。
| クラウドサービス | 使用例 | メリット | |
| 使用用途 |
|
|
|
「シャドーIT」によるセキュリティ問題
シャドーITは、自分の私物であるスマートフォンやノートPC,クラウドサービスを企業に使用許可を取らず業務に利用することです。
自分の私物は使い慣れていて業務効率向上につながる反面、情報漏洩のリスクを高めます。
例えば、営業マンであるあなたが商談終わりにカフェで、LINEやDropboxなどを使った場合はどのようなリスクがあるでしょうか。
LINEであれば、他者からのメッセージ内容の盗み見やアカウントのハッキングによる不正利用が考えられます。
そして、Dropboxの場合は、あなたが利用したカフェのセキュリティ対策が甘かった場合、他者に不正アクセスを許し、企業が持つ顧客情報や機密情報の情報流出へのリスクが高まります。
利便性を求める気持ちも理解できますが、企業が認めていない機器を使って情報流出した場合、莫大な経済的損失と社会的信用の損失を補填しなければなりません。
個人で取り返せるレベルでは無いので、デバイス機器の扱いには十分注意しましょう。
ゼロトラストのメリットとは
「どこからでも」安全にアクセスできる
ゼロトラストは全てのユーザーとデバイス機器からのアクセスに認証を求めます。
安全性さえ認証できれば自身のいる場所は関係ないので、どこの場所にいても仕事ができます。
外出機会の多い営業マンや自宅で作業することも多いエンジニアやデザイナーなどの業務効率化にも期待できるでしょう。
また、これまでオフィスへの出勤が求められいた職業にもゼロトラストが導入されることで、テレワークの導入が加速するでしょう。
生産性向上が見込める
自宅やサテライトオフィスなど自身の好きな場所で仕事を行なえるので、作業に集中ができます。
職場の人間関係に気を遣う必要が無いからです。
自分のペースで仕事を進められるのは、体力的にも精神的にも良い影響を及ぼします。
また、通勤の必要性が無くなるので、職場から遠い地域に住んでいる方は体力の消耗やストレスの増大を避けられます。
ビジネスサービスの連携が期待できる
様々なプラットフォームとの連携が可能です。
Google、Dell、Oktaなど、セキュリティレベルの向上やマルウェア対策に有効なSIEM製品(Security Information and Event Management)との連携ができます。
セキュリティリスクの軽減と管理者の業務負担軽減につなげられます。
企業間コラボレーションもセキュリティ問題をクリア
ゼロトラストは、パートナ企業や取引先との共同開発業務が多い企業にも対応可能です。
例えば、東芝デジタルソリューションズが開発している「ゼロトラストネットワーク」は、クラウド上にセキュリティゲートウェイを設け、取引先のメンバーを含めた全てのアクセスに対して認証機能や暗号処理を実施します。
認証を確認できた全てのユーザーの行動は、オペレーションセンターが監視します。
東芝デジタルソリューションズでは、認証機能の際にAIを導入することで、監視漏れの防止と業務の効率化を図っています。
そして、業務上利用するファイルやアプリケーションを全てクラウド上で管理しているため、場所を問わずに働くことが可能です。
ゼロトラストのデメリットとは
通信を常に確認しなければならないコストがかかる
社内システムやアプリケーションにログインした後も、常に不審な動きや異常がないか行動監視をしているため、ランニングコストが発生します。
ですが、セキュリティ対策を怠って顧客データや機密情報などの情報資産が流出した場合、莫大な経済的損失と社会的信用の損失が考えられます。
経営状況をみながらの検討になりますがメリットも多いので、検討価値があるセキュリティソリューションだといえます。
実装する場合、システム全体の変革が必要になることも
CASB(Cloud Access Security Broker)を導入してのゼロトラストを始める場合は、実装と運用に至るまで時間が必要な場合があります。
例えば、サーバーやCPUなどを自社運用でのオンプレミスで行っていた場合、社内システムやファイルサーバーなどをクラウド上で管理・運用する形に変更しなくてはなりません。
また、従来使っていなかったアプリケーションの採用など、クラウド化に対応するためにシステム全体の変革が求められます。
効果的な運用を行うまでは多大なコストと時間がかかるため、CASBの導入意義を理解しての検討が必要です。
ゼロトラストの実装のポイントは4つ
最小限のアクセス管理
あなたが所属している部署や課など、必要な人数にしかファイルやシステムのアクセス権を付与しません。
マルウエアやサーバー上の脅威の横移動を防ぐためです。
限られた人数にしかアクセスしないことで、マルウェアに感染した場合でも被害を最小限に食い止めます。
必要なだけのアクセスを許可
業務に使うシステムやファイルのみアクセスを許可します。
例えば、営業職であれば売上実績、見積データ、顧客情報などに関するファイルのみ閲覧可能な状態にします。
一方で、人事・総務であれば、従業員データ、給与計算など必要な資料のみ閲覧可能な状態にすることで、情報漏洩のリスク軽減やマルウェアの感染拡大を防ぎます。
マイクロセグメンテーションの利用
マイクロセグメンテーションは、ネットワーク上のセグメント(区画分け)を細かく分割することで、マルウェアやサイバー攻撃の被害を最小限に抑えられます。
ネットワーク上に仮想されたサーバーと使用しているPCが、ファイアウォールを実装した状態で1台ずつ個々の区画に分離してつながる形になるからです。
もし、マルウェアに感染した場合でも、セグメントの境界にあるファイアウォールがブロックするため、被害を最小限に抑えることができます。
多要素認証
社内システムやアプリケーションにログインするときに、ユーザーID・パスワードの他に、スマートフォンのSMS機能や指紋認証などを使って、複数の認証を求める機能です。
2段階での認証となるため、精度の高い認証機能を実現できます。
例えば、スマートフォンのSMSに送られてくる番号入力を求めた設定にした場合、スマートフォンが手元に無いと番号を入力できないため、本人確認とデバイス機器の認証を同時に実現します。
エンドポイントデバイスの検証
エンドポイントデバイスは、社員が利用しているスマートフォンやPC、タブレット端末を指します。
エンドポイントデバイスの検証には、EDR(Endpoint Detection and Response)の導入がおすすめです。
EDRはエンドポイントデバイス内の様子を常に監視し、異常や不審な動きがあればすぐに管理者に知らせる機能を持っているからです。
また、感染経路や原因を把握できるので、システムやアプリケーションの脆弱性を発見し、改善につなげられます。
ゼロトラストまとめ
ゼロトラストのメリット・デメリットと実装のポイントをまとめました。
| メリット | デメリット | 実装ポイント | |
| 特徴 |
|
|
|
コメント