好きな所から読む
今回の記事では、昨今の新型コロナウィルス感染症における感染拡大の影響で注目を集める事になったゼロトラストネットワークについて詳しく解説します。VPNやリモートデスクトップでは実現の難しい安価・強固なセキュリティ・快適な業務環境の3つを実現する夢のセキュリティモデルに迫ります。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ゼロトラストネットワークとは?
ゼロトラストとは、2010年にテクノロジー領域の調査を行っているアメリカのForrester Research社が提唱した考え方です。
従来の「社内にいるときのシステム利用は安全」で、「社外アクセスは危険が伴う」という社内外の境界線を意識したセキュリティ対策では、巧妙化するサイバー攻撃から自社システムや情報資産を守れなくなってきました。
そのため、「全ての通信を信頼しない」という考えの下、全てのユーザーからのアクセスを認証をして安全を維持しようとするセキュリティ対策です。
ゼロトラストは次世代のネットワークセキュリティ
サイバー攻撃への対策や働き方改革に対応するため、企業のクラウドサービスの利用増加がここ数年目立ってきました。
クラウドサービスを利用するためのセキュリティ対策として、ゼロトラストが注目されています。
総務省が発表した2018年の企業におけるクラウドサービスの利用動向では、約60%の企業が何らかの形でクラウドサービスを利用しています。
クラウドサービスには、GメールやOutlookなどのメールソフトも含まれるため、何らかの形で導入している企業も多いのではないでしょうか。
クラウドサービスの利点は、必要なときに必要な分のコンピューターリソースを使える点です。
自社内にサーバーやネットワーク機器を用意して運用を行うオンプレミスと異なり、ネットワーク経由でサーバーやストレージを利用します。
自社でネットインフラ環境を整備する必要が無いため、オンプレミスと比べてコストをカットできます。
また、以前はクラウドサービスの懸念点であったセキュリティ対策への面も、自社で管理するよりもクラウド上のファイルサーバーで管理した方が安全という考え方に傾いてきました。
クラウドサービスを提供するベンダーが高い安全性を示す認証を取得している点と内部情報漏洩対策が、理由として挙げられます。
ゼロトラストネットワークは「すべての通信を信頼しない」
全てのユーザー、デバイス機器からのアクセスにリスクがあると疑い、都度認証を行います。
従来の「社内での利用=安全」で「社外アクセス=危険」という境界線を意識した考え方では、ファイアウォールやウイルスソフトに引っ掛りにくいファイルレス・マルウェアなど、多様なサイバー攻撃を防げません。
また、内部からの情報漏洩の増加など、社内での利用が安全という状況はもはや無くなりつつあります。
さらに、スマートフォンやiPadなど社員が利用するデバイス機器が増加したこともあり、もはやファイアウォールだけでマルウェアやサイバー攻撃の脅威を社内ネットワークに入る前に防ぐことが困難になりました。そのため、「全ての通信を信頼しない」ゼロトラストでは、ユーザーや機器を問わずに毎回認証を行います。
ゼロトラストネットワークの仕組みとは
以下のようなチェック項目を設け、安全の確認が取れたデバイスのみアクセスを許可します。
- アクセスした人物が社員本人であるかどうか
- アクセスした端末機器が登録されたものと一致しているか
- アプリケーション、セキュリティソフトは最新の状態か
- マルウェアの感染はしていないか
一度ログインしたらしばらくの時間は認証を受けずに自由に出入りできる従来の方法に対し、ゼロトラストネットワークの特徴は、例えログアウトしたのが1分前でも、再度ログインする際は認証が課せられます。
なぜ今、ゼロトラストネットワークが注目されるのか
社内は善、社外は悪の時代はもう終わり
従来の社外からの不審なアクセスや通信をファイアウォールで守るというセキュリティ対策だけでは、一度社内システムに入られたら企業の情報資源を守るのは困難です。
理由としては、サイバー攻撃の種類の増加、時間や場所を問わない働き方の多様化、内部漏洩のリスクが以前より増している点が挙げられます。
一つ一つみていきます。
サイバー攻撃の多様化
予兆や対策がしづらいサイバー攻撃が増加しています。例えば、パワーシェルを利用したファイルレス・マルウェアの増加や対象サーバーやWebサイトになりすまして攻撃対象に多大な負担をかけるDDoS攻撃など、攻撃者の手口が年々巧妙になってきました。
他にも修正パッチの配布前に攻撃を行うゼロデイ攻撃、利用しているシステムを操作不能な状態に追い込み、復旧を条件に多大な金銭を要求するランサムウェアなど、多大な被害をもたらすサイバー攻撃も増えてきました。
結果、日本の法人組織のサイバー攻撃による被害総額は、2015年~2019年にかけて4年連続で2億円を超えています。
早急な対策が必要だと思いませんか。サイバー攻撃を行う目的は金銭的盗取、システムの破壊、機密情報や顧客データ、従業員の個人情報など情報の盗取などが挙げられます。
とりわけ、ここ数十年のインターネットの普及もあり、企業の保有する情報への価値は飛躍的に上がってきました。
社会で情報を評価する体制ができつつあり、情報がお金を生む対象になっています。
企業の持つ情報が専門性や独自性が高いほど、他の企業が真似できず莫大な経済的利益を生むためです。
そのため、企業が保有する技術データや機密情報を競合のライバル企業に売ることで、多大な金銭的報酬を得るハッカーや犯罪者が増えています。
それだけでなく、従業員の個人情報を盗んでインターネットバンキングやクレジットカードを悪用するといった被害も増えてきました。
こうしたサイバー攻撃の被害を防ぐため、「全ての通信を信頼しない」ゼロトラストネットワークが注目されています。
BYODなど社外にデバイスを持ち出すテレワークが普及
顧客回りが多い営業マン、案件ごとに担当が異なるプログラマーやデザイナーなどの職種は、社外からのアクセス機会も多くなっています。現在は出勤ベースでの働き方となっている職種もコロナウイルスの影響で、今後はテレワークの導入が加速していくでしょう。
社外からのアクセス増加に伴い、社内と社外といった境界線を設定する意味が薄れてきているため、従来のセキュリティ対策では十分な安全性を確保できません。特にBYODなど個人端末を業務に活用するシーンも出てきています。ゼロトラストは、今後加速する時間を場所を問わない働き方にも対応するためのセキュリティ対策でもあります。
情報の内部漏えいの増加
情報の内部漏洩は、企業の情報セキュリティ上の脅威でトップ10に入ります。内部漏洩を防ぐ難しさは、現役の社員だけでなく退職後の社員にも気を配らないといけない点です。まず現役の社員の場合は、企業で許可していない私用のスマートフォンやPC、クラウドサービスを勝手に業務に利用するシャドーITが問題視されています。
自分が愛用しているスマートフォンやPCは使いやすい反面、セキュリティ上のリスクがあるアプリケーションもあるので注意が必要です。ただし、現役社員の場合は、徹底的なセキュリティ教育や企業によるセキュリティ対策の強化などで、ある程度情報漏洩を防げます。
問題は退職後の社員です。現役の社員と違い行動を監視できないため、情報漏洩を防ぐことが難しいです。例えば、解雇されたことへの不満、職場の人間関係のトラブル、業務面や給与の不満などはトラブルの原因になるので、退職時のケアや対応にも気を配る必要があります。
実際2015年に、当時家電量販店に勤めていた元課長が退職する前に遠隔操作ソフトをインスト―ルして、競合企業に転職後、機密情報を盗み出すという事件が起きていました。退職した社員のIDを90日間有効だった設定を利用されたのが原因だと言われています。職種に関わらず、企業情報に関わる機会が一度でもあれば情報漏洩のリスクが発生するので、退職した社員のIDやパスワード管理は慎重に扱う必要があります。
クラウドの利用拡大によるセキュリティ問題
社外からのアクセス時のセキュリティ確保が課題です。例えば、営業マンが顧客回りの際に利用するカフェやファストフード店では、無料Wi-Fiが利用できますが、十分なセキュリティ対策が施されていない場合があります。
安全性に問題ある場所で作業を行った場合、取引先に送るメールの内容が暗号化されず丸見えの状態になっていたり、データ通信のやりとりの際に不正アクセスを受けて、データの改ざんや盗取をされる中間者攻撃を受けるリスクがあります。
無料のWi-Fiスポットの利用時には十分に注意が必要であり、場合によっては利用の規制を課するなど、使用時のルールを決めておくことが重要です。
ゼロトラストネットワークのメリットとは?
シンプルかつ強固なセキュリティ
ユーザー認証とデバイス機器の認証が確認できなければ、社内システムやアプリケーションにログインできません。
例えば、スマートフォンのSMSに送られる認証番号を入力しないとログインできない認証を導入すれば、本人確認とデバイス確認を同時にできます。
社員にとっては管理者の業務負担の軽減、企業にとっては運用コスト削減や業務効率の改善につながります。
どこからでもアクセス可能
自宅やサテライトオフィス、顧客先のオフィスなど、場所を問わずに社内ネットワークやアプリケーションにアクセス可能です。
現在増えているテレワークをさらに加速させるだけでなく、これまで出産や育児などで仕事を辞めざるをえなかった優秀な女性の確保にもつながります。
社員にとっては働き方の選択肢の増大、企業にとっては優秀な人材の流出防止、残業代などのコストカットといった双方にメリットがあります。
ファイヤーウォールで守り切れない情報も防御可能
社内や社外といった場所に関係なく、全てのアクセスへの認証を行います。端末とユーザーの認証が確認できなければ、システムやアプリケーションにログインできません。従来のファイアウォールは社外と社内の間で悪質なマルウェアや不正アクセスから社内システムを守る役割をしていました。しかし、社外からのアクセス増加、デバイス機器の増加、ファイルレス・マルウェアの増加などで、サイバー攻撃を守り切れないことも増えてきています。
ゼロトラストは全てのアクセスに対しての認証を行い、安全性が確認できなければログインできないので、従来では侵入を許していたマルウェアからも情報資源を守ることが可能です。
ゼロトラストネットワークの課題とは?
業務面の効率性が落ちる可能性とコスト面の問題があります。業務面の効率性に関していえば、どんなに直前の情報もゼロトラストでは信頼されません。仮に1分前にシステムをログアウトして再度ログインする場合でも、必ず認証が必要になります。業務効率を落とさないためにも、社内で社内システムを利用する場合は、シングルサインオンでのアクセスを許可するなど、ある程度利便性を保った対応が求められます。
一方、コスト面の課題は、どこまでゼロトラストに資金を投じられるかと言った経営的な部分です。ゼロトラストは単体での導入ではなく、EDRや多要素認証、VPN(Virtual Private Network)と呼ばれる社外からのアクセスを実現するネットワークの導入など、様々な要素を取り入れてセキュリティレベルを上げていく方法です。
新規で設備を入れる場合コストがかかるのは当然ですが、セキュリティ分野への投資を中小企業をはじめとして、経営的に厳しい企業がどこまで決断できるかは疑問が残ります。売上が厳しい場合、経営者は既存のビジネスの見直し・強化で売り上げを回復させることを優先します。直接売り上げを生み出さないセキュリティ分野への投資を躊躇なく行える経営者は、残念ながら少ないと言わざるを得ません。
気になるゼロトラストネットワークのコストは?
確実に一定の初期投資が必要です。ただし既存のネットワーク構成よりも安くなることは確実でしょう。高くなったとしても、それは元の構成で放置されていた脆弱性が正しくセキュリティ対策されるようになっただけだと言えます。
先ほども少し触れましたが、複数の製品を組み合わせて安全なネットワーク環境を構築する必要があります。自社でのセキュリティ対策がどういった部分に課題があるか、経営状態を見て何年後に導入できそうかといった総合的な判断を経てからの検討になるでしょう。
ゼロトラストネットワークの今後の展望
取引先や顧客と共同でのビジネスを行う機会が多い企業向けの導入が増加することが予想されています。例えば、東芝デジタルソリューションズ社では、ビジネス上共同で利用するアプリケーションやシステムをクラウド上で管理することをイメージしていました。
システムやアプリケーションの認証サービスによって、「どの社員が、どの機器で、どのシステムにアクセスをしたか」といったことがわかります。その後、行動の様子をセキュリティーオペレーターセンターが監視します。
さらに、セキュリティーオペレーターセンターの行動監視の振り分けにAIを導入して、監視漏れの防止や管理の効率化が狙いです。また、監視の精度を上げることで、デバイス機器の増加にも柔軟に対応することができます。セキュリティ対策もしながら場所やデバイスを問わず、自由にアクセスすることが実現します。
ゼロトラストネットワークまとめ
今回のゼロトラストネットワークについてのポイントをまとめました。
- 全てのアクセスを信頼しない
- ユーザーとデバイス機器の認証を同時実現
- 働き方の多様化や内部情報漏洩対策に貢献
- 初期費用は数百万単位
- 取引先や顧客との共同利用も想定
経営層がゼロトラストネットワークの導入意義を理解した後、経営状態を見ながらの判断になります。
今すぐの導入ではなく、今後数年間で導入が増えていくでしょう。
