ゼロトラストセキュリティの定義
「決して信頼せず、常に検証せよ」
ゼロトラストでは、ユーザーやデバイス機器を問わず毎回認証を求めています。
「全ての通信にリスクが潜んでいる可能性がある」との考え方からです。
そのため、アクセスする場所や時間は関係ありません。
例えば、あなたがアプリケーションを利用していて、ログアウトしたのが1分前だとします。
1分後に再度ログインしようとした場合でも、本人確認の認証が求められます。
ゼロトラストセキュリティでは1分前のアクセスも信頼しません。
安全性が確認できたアクセスしかログインできないため、不正アクセスの侵入リスクを大幅に軽減します。
現在の主流はペリメータ(境界型)セキュリティ
現在、企業で実施されている社内と社外を明確に区分したペリメータ(境界型)セキュリティについて、まとめていきます。
内側は安全であるという考え方
ペリメータセキュリティは「社内ネットワークの利用=安全」、「外部からのアクセス=危険がある」という考えです。
外部から不正アクセスやマルウェアの侵入をファイアウォールが防げれば、社内アクセスを許可されたユーザーやデバイス機器に脅威があるはずがないとの理論に基づいています。
実際、マルウェアの侵入を防ぐ精度が高ければ、限りなくマルウェアに感染するリスクは減らせるでしょう。
ただし現在、ファイアーウォールに頼ったペリメータセキュリティでは、マルウェアや不正アクセスの侵入を完全に防ぐことは困難な状況です。
サイバー攻撃の技術の向上と多様化、社員が利用するデバイス機器の増加、働き方の多様化などが要因として挙げられます。
ペリメータセキュリティの限界
社内と社外で境界線を明確に区別したペリメータセキュリティでは、多様化しているサイバー攻撃の被害を抑えることは困難な状況です。
サイバー攻撃の巧妙化とデバイス機器の増加により、外部からの不審なアクセスやマルウェアをブロックすることが困難になりました。
まず、サイバー攻撃の多様化は、ウイルスソフトやファイアーウォールに引っ掛りにくいファイルレス・マルウェアの増加が代表例として挙げられます。
一旦社内システムへの侵入を許してしまうと「マルウェアに感染した場合、被害を最小限に抑えること」への対策が、ペリメータセキュリティではやや不十分であるため、予兆を感じさせないファイルレス・マルウェアのサイバー攻撃が企業を苦しめています。
また、スマートフォンやノートPC,タブレット端末など、社員が利用するデバイス機器が増加したため、個々のデバイス機器へのセキュリティ対策を高めるには、多くのコストと手間が必要な状況です。
結果として、2015年~2019年のサイバー攻撃による法人企業の被害総額は、4年連続で2億円以上の被害総額を記録しています。
働き方の変化と共にロケーションに依らないアクセスの必要性が出てきた
在宅勤務やモバイルワークなどの導入で自宅やカフェ、顧客先など社外からアクセスする機会も格段に増えました。
優秀な人材の流出防止・人材確保と業務の効率性向上が、企業が多様な働き方を認めている理由です。
働く場所を問わない働き方が増えてきたので、社内と社外で境界線を敷く理由が薄れました。
どの場所にいても利便性を失うことなく、安心して作業ができるセキュリティ対策やネットワーク環境の整備が求められています。
情報の内部流出の危険性が増しており、内側も信頼できなくなっている
情報の内部流出は企業の抱えるサイバー上の脅威で常にトップ10に入ってくるほど、企業にとって悩みの種となっています。
問題を複雑化しているのは、現役社員に加え退職した社員が情報流出を行う可能性がある点です。
退職した社員は現役社員と違い、行動の監視ができません。
その為企業も対策が取りづらくなっています。
退職した社員の情報流出の動機は、職場の人間関係のトラブル、給与や肩書きなど待遇の不満、解雇通知への不満などが挙げられています。
実際2015年には元々エディオンに勤務していた元課長が、転職前にエディオンの機密情報を盗み出し、転職先の企業に情報を売るといった事件が発生していました。
犯人の動機としては、「今後の仕事や人間関係を良くするため」と発言しており、転職先での自らの待遇を有利にするためだと考えられています。
企業としては今後、社員のメンタルケアや退職後に情報流出した場合の罰則、同業他社には一定期間転職しないなど、従来の対処法を強化する以外は方法が無い状況です。
一方で現役社員に関しては、セキュリティ意識を高めることが課題です。
現在、企業が許可をしていないのにも関わらず、私物であるスマートフォンやノートPC、クラウドサービスを業務に利用するシャドーIT が問題視されています。
私物を業務に使用したことがきっかけで、情報流出を高めるリスクもあるからです。
例えば、あなたが営業マンだとしましょう。
外回りが終わった後、あなたがカフェで資料作りやメール処理などをしていた場合、どのようなリスクが生まれるでしょうか。
仮に業務でLINEを使っていた場合、他者にメッセージ内容を盗み見されたり、IDをハッキングされて悪用されるリスクが生まれます。
そして、Dropboxを利用していた場合は、他者に会社の機密情報や顧客データを盗み見されたる可能性があります。
他にも使用したカフェのセキュリティ対策が十分に取っていない場合、メールのメッセージ内容が暗号化されず丸見えになったり、情報のやりとりの最中に不正アクセスを許してデータ改ざんやデータ盗取をされるといった被害が予想されるので、非常に危険です。
あなたの私物利用が原因で情報流出した場合、企業が失う経済的利益と社会的信用の損失は計り知れません。
個人で補償できるレベルを超えているので、許可されていない私物の業務への持ち込みは避けましょう。
クラウドサービスを利用する際、コストやユーザーエクスペリエンスの減退を招く
社員がクラウドサービスの利用に迷いが生じます。
ペリメータセキュリティの場合、一度社内システムに入るとサイバー攻撃やマルウェアに感染する被害が、ゼロトラストセキュリティと比べ大きいからです。
例えば、セキュリティ意識が高いものの、ゼロトラストセキュリティの導入コストが捻出できない企業の場合、社員にWebサイトやアプリケーションの利用制限を厳しく設定するでしょう。
そうなると、製品やサービスを通じて得られる満足感や感動などを指すユーザーエクスペリエンスの減退が起きます。
利用するアプリケーションが減るのでコスト削減にはつながりますが、従業員の満足度は落ちるでしょう。
ゼロトラストセキュリティはどのように導入するか
ゼロトラストセキュリティの導入に関しての4つのポイントを挙げました。
最小限のアクセス管理で、機密部分に触れる可能性をゼロにする
必要な量を必要な人にだけアクセス権を付与します。
閲覧可能な範囲が広いために発生する、マルウェアの感染リスクを軽減するのが狙いです。
例えば、営業マンであれば顧客情報や売上データ、見積データなど営業活動に関連したデータファイルやシステムのみ、アクセス可能な状態にします。
一方、技術職であれば担当している顧客の設計図やシステム要件、使用する部品リストなど、技術者が業務に使うデータファイルのみを閲覧可能な状態にしておきます。
そして、業務上関係ないと判断したWebサイトの閲覧も制限することで、外部から不審なアクセスやマルウェアに感染するリスクを防ぎます。
社員の利便性を失わないように制限するWebサイトやデータファイルの閲覧範囲を決めることが重要です。
マイクロセグメンテーションを利用する
マイクロセグメンテーションは、内部ネットワークを細かくセグメント(区画)して構成していくことです。
メリットはマルウェアに感染した場合でも、被害を最小限に食い止められることです。
それぞれのネットワークが細かくセグメントされ、ネットワークごとの境界線にファイアウォールが設置されているため、マルウェアや不正アクセスをブロックします。
サイバー攻撃やマルウェアにたとえ感染した場合でも、社内システムへの影響を最小化できるため、マイクロセグメンテーションの活用は有効なセキュリティソリューションの1つです。
多要素認証により、ユーザーを検証する
多要素認証は、アプリケーションや社内システムのログイン時に、複数の方法を使って本人確認を求める認証機能です。
複数の認証を要求することで、精度の高い本人認証を実現することができます。
例えば、カメラを使った顔認証や本人の指紋と照合する指紋認証、スマートフォンを利用したワンタイムパスワードなど、IDやパスワードと組み合わせることで、第3者からの不正アクセスのリスクを大幅に軽減することが可能です。
エンドポイントデバイスを検証する
エンドポイントデバイスとは、社員が業務で使用しているスマートフォンやPCを指します。
個々のエンドポイントデバイスにおける利用状況の監視には、EDR(Endpoint Detection and Response)の導入がおすすめです。
EDRはエンドポイントデバイス内の利用状況や通信状況を監視し、不審な動きや異常を感じたらすぐに管理者に知らせる仕組みを持っています。
近年、被害が多発しているシステムやアプリケーションの脆弱性を突いた未知のマルウェアも検知できるので、マルウェア感染による被害を最小限に抑えることが可能です。
サイバー攻撃の巧妙化や守るべきエンドポイントデバイスの増加で、マルウェアや不正アクセスの侵入を完全に排除するのは困難な状況です。
EDRは個々のエンドポイントデバイスの利用状況を監視することで、仮にマルウェアが社内システムに侵入されても最小限に被害を食い止めるだけでなく、マルウェアへの感染を予防することも可能です。
ゼロトラストセキュリティのメリットとは
ゼロトラストセキュリティのメリットを4点挙げました。
データや資産など、重要で価値のある情報を守れる
ゼロトラストセキュリティの最大の目的は、多様なサイバー攻撃から企業の機密情報や顧客データなど情報資産を守ることです。
独自性や専門性の強い技術データやノウハウは莫大な経済的利益をもたらす一方、企業の顧客データや取引先に関するデータを失うと大きな経済的損失と社会的信用を失うためです。
ゼロトラストセキュリティは単一の製品ではなく、複数のセキュリティソリューションを組み合わせてセキュリティレベルを強固にしていきます。
多要素認証とEDRの導入、マイクロセグメンテーションの活用など、企業規模に応じた選択が可能であり正解は1つではありません。
どこからでもアクセスできるので、デジタルワークプレイスが実現
デジタルワークプレイスは、業務上必要になるツールをデジタル上で利用し、自分がどの場所にいても快適に作業ができるよう環境を整えることです。
単純にデジタルツールを集約するだけでなく、互いの仕事の進捗状況を見える化することで社員同士の不安を解消し、モチベーション維持に寄与します。
例えば、チャットワークなどのビジネスチャットツール、Web会議システムのZoom、GmailやGoogleドキュメントなどを活用することで、場所や時間を問わない働き方の実現と社員の満足度を高めます。
ビジネスの提携の場を広げることも可能
業務で必要となるアプリケーションをクラウド上で管理することで、取引先や関連企業とのビジネスの提携が従来以上に図りやすくなります。
資料やデータはクラウド上にまとめられているので、自身が知りたい情報をすぐ閲覧することができ、疑問に思ったことはビジネスチャットですぐに聞くことが可能です。
例えば、クラウドコンテンツを提供しているBox社を活用すれば、ワード・エクセル・パワーポイントのオフィス365、ビジネスチャットのslack,販売促進システムSalesforceなどがクラウド上に管理されており、ID・パスワードが一つで済むシングルサインオンで利用できます。
boxの製品やソリューションを導入している企業数は約10万社にも上り、オリンパスやドバイ空港、モルガンスタンレーなど、様々な業界や企業組織が導入をしています。
ゼロトラストセキュリティの課題は何か
ゼロトラストセキュリティの課題を2点挙げました。
導入と管理が複雑になり、リソースを大量に消費する可能性
ゼロトラストセキュリティは複数の要素を組み合わせてセキュリティレベルを上げますが、必要ない機能まで導入をすると管理が大変です。
また、セキュリティ機能を維持するためのコンピューターリソースを多く消費するので、機能を維持するためのランニングコストもかかってきます。
必要な機能を吟味した上で、企業規模に合ったゼロトラストセキュリティの導入が必要です。
必要なレベルを超えた厳格かつ過度なセキュリティが設けられる可能性
情報漏洩の対策ばかりに重点を置きすぎると、従業員の業務効率性が落ちます。
制限が多すぎて業務が進まないからです。
例えば、社内外におけるアクセス制限や閲覧できる社内ファイルシステムの限定、取引先や上司に送る添付ファイルの禁止などを行った場合、業務が停滞してしまい、取引先に迷惑をかける可能性があります。
本来、ゼロトラストセキュリティは利便性を失わずにセキュリティレベルを上げていくソリューションです。
情報漏洩に傾いた対策をした場合、窮屈な作業環境を作ることになるので、バランスを見た対応が必要です。
ゼロトラストセキュリティの具体例
ゼロトラストセキュリティのサービスを提供している4社の例を挙げました。
googleの「BeyondCorp 」
BeyondCorpは、Googleが2020年4月から「ゼロトラスト」の考えをベースに製作した、リモートアクセスサービスです。
BeyondCorpの特徴はVPN(Virtual Private Network)を使わずに、認証機能が付いたプロキシで社外からのアクセスやアプリケーションの利用を可能にしている点です。
この仕組みにより、従来よりもセキュリティレベルが高いリモートアクセスを実現します。
VPNはインターネット上に仮想の専用線を敷いて、離れた場所からでも社外のシステムを可能にしていました。
ただし、セキュリティ対策が不完全な場所での利用をした場合の情報漏洩のリスクや定期的なアップデートを怠った結果、脆弱性を突かれたサイバー攻撃に遭うといったリスクがありました。
プロキシは、内部と外部をつなぐサーバーとしての役割だけでなく、ウイルスチェックも可能であるため、VPNを使用するよりも情報漏洩のリスクを軽減することが可能です。
Amazonの「AWS」
AWS(Amazon Web Services)は、Amazonが提供しているクラウドサービスです。
業界・企業の規模別に用意した様々なソリューションや製品を用意しています。
導入している企業例の一部をまとめました。
| 企業 | 活用例 | 導入効果 |
| パナソニック |
|
|
| NTT東日本 |
|
|
| ANAホールディングス |
|
|
ciscoの「Cisco Duo セキュリティ」
世界トップクラスのネットワーク機器販売会社のシスコが開発した、多要素認証とエンドポイントデバイスの監視を組み合わせたソリューションです。
多要素認証ではアプリやSMS機能、指紋認証や顔認証といった生体機能をユーザーIDとパスワードと組み合わせることで、精度の高い本人認証機能を実現します。
利便性を失わないように、シングルサインオンの併用も可能です。
一方、エンドポイントデバイスの可視化は、ノートPCやスマートフォン、タブレット端末など、使用している機器を問わずにアクセス状況やデバイス機器の使用状況を把握できます。
また、OSやブラウザのアップデートが未実行の場合は、アクセスをブロックしてアップデートを促し、セキュリティレベルを保ちます。
Microsoftの「Azure AD」
Microsoftが提供しているAzure Active Directory(Azure AD)は、クラウド型のディレクトリサービスです。
Active Directoryは、ユーザーデータやコンピューターリソースを一元管理する機能になります。
オンプレミスで運用するActive Directoryとは異なり、クラウド上で利用するAzure ADは以下の3点がメリットになります。
| メリット | 導入効果 |
| コストカット |
|
| カスタマイズが楽 |
|
| 管理者の業務負担軽減 |
|
ゼロトラストセキュリティまとめ
ゼロトラストセキュリティの導入による効果とメリット・デメリットをまとめました。
| メリット | 導入効果 | デメリット | |
| 特徴 |
|
|
|
コメント