
好きな所から読む
昨今の新型コロナウィルス感染症の影響から、快適かつ安全なテレワーク体制の構築が多くの企業を悩ませています。様々な状況からの業務はセキュリティ上のリスクが高く、新たなセキュリティ対策が必要です。今回はそんな堅牢さと柔軟性を両立するゼロトラストセキュリティについて詳しくまとめました。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ゼロトラストセキュリティとは
ゼロトラストとは、アメリカの市場調査会社Forrester Research社が2010年に提唱したセキュリティーソリューションです。「全ての通信を信頼しない」という考えの下、全てのユーザー、デバイス機器からのアクセスに対して毎回認証を行います。そして認証により安全性が確認できたアクセスしか、社内システムやアプリケーションにログインできません。
また、従来は一度アクセスしたらログイン情報が維持された場合でも、ゼロトラストセキュリティの場合は毎回認証を行います。「全てのアクセスにリスクがある」という考えのため、時間軸は関係ないからです。そのため、社内システムを30秒前にログアウトして、再び30秒後にログインしようとする場合も都度認証が行われます。
ゼロトラストセキュリティとも呼ばれる新しいセキュリティモデルは、サイバー攻撃対策、働き方改革への対応、内部漏洩対策など様々な観点にメリットをもたらす対策として、注目されています。
ゼロトラストセキュリティの必要性
従来のセキュリティ対策は、社内ネットワークと社外を区分するファイアウォールを境界線として分けるセキュリティ対策でした。ですが、働き方の多様化による社外からのアクセス機会の増加で、社外と社内を明確に区分けする必要性が薄れてきています。また、多様化するサイバー攻撃に対して「不正アクセスやマルウェアの侵入を防ぐ」ことを優先した従来のセキュリティ対策では、企業のシステムや情報資源を守ることが難しくなりました。
そのため、どの場所で利用しても安心して利用できるセキュリティレベルの確保とマルウェアに感染しても被害を最小限に抑える、ゼロトラストセキュリティの導入が必要になっています。
テレワークを導入しやすくするため
テレワークの導入は社員と企業双方に大きなメリットがあります。社員の場合、特に女性は従来のオフィスへの出勤ありきの働き方だと家庭や育児との両立が難しく、仕事を諦める女性も多くいました、テレワークが導入されれば自宅で働くこともできるので、結婚や育児で仕事を辞める必要はありません。人生の選択肢が拡がるでしょう。
一方で、企業としても優秀な人材の流出は避けたいです。新たに人材を採用するのにもコストがかかる上、前任者と同様のスキルを持ち合わせているとは限りません。また、新たな人材が育てている最中に退職する可能性もあるので、採用コストを回収できるか不安定な面もあります。
テレワークの導入するにあたって、セキュリティ対策を万全にすることは重要な項目の1つです。例えば、プログラマーやデザイナー、営業マンなど個人単位で担当案件や顧客が明確に振り分けられている職種は、自宅や顧客先、カフェなど社外からアクセスする機会も非常に多いからです。社外で社内システムやアプリケーションにログインする際にも、社内にいる時と同様のセキュリティ環境を保つ必要があります。
マルウェアの感染を防止するため
従来の「社内での利用=安全」で、「社外でのアクセス=危険」といった境界線を意識したセキュリティ対策では、マルウェアの感染防止をすることが難しい状況になっています。場所や時間を問わない働き方の変化やファイルレス・マルウェアの存在があるからです。
前者に関しては、社外でスマートフォンやPCを利用して社内システムにアクセスする機会が増えたため、社外からアクセスする場合のセキュリティレベルを上げることが必要になりました。後者は、ファイアーウォールやウイルスソフトに引っ掛りにくいファイルレス・マルウェアが増大したため、対策が必要だからです。
ファイルレス・マルウェアは、WindowsのPowerShellやWMI(Windows Management Instrumentation)を利用してサイバー攻撃をします。どちらもWindowsの標準装備であり、インストール済みの機能です。ファイルのデータ保存やインストールを行う通常のマルウェアと異なり、通常のコマンドと見分けがつきにくいため、対策をするのが困難になっています。
ゼロトラストセキュリティは単体での導入ではなく、複数の製品を組み合わせてセキュリティ強度を高めていきます。例えば、2つの理由に対応する方法として挙げられるのが、EDR (Endpoint Detection and Response)と多要素認証の導入です。EDRは社員が使用するノートPCやスマートフォンをエンドポイントと位置づけ、端末内の行動監視とマルウェアに感染した場合、管理者に素早く異常を知らせる機能を持っています。
EDRはこれまでの「システムやソフトウェア内へのマルウェアの侵入を防ぐ」といった対策ではなく、「マルウェア感染しても最短の時間で対処し、被害を最小限に抑える」対策です。
巧妙化するサイバー攻撃に対して、従来のセキュリティ対策では侵入を防ぐことが困難です。そのため、侵入された後に被害を拡大させないことが重要な対策になってきます。そして、顔認証やスマートフォンのSMSなどを使って認証を行う多要素認証を組み合わせることで、本人確認ができないとログインできない他、仮にマルウェアに感染しても、被害を最小限に抑えることが可能です。
不正アクセスを防止するため
近年、外部からの不正アクセスを守る役割を担ってきたファイアーウォールだけでは、巧妙化したサイバー攻撃や不正アクセスから、社内システムや情報資産を守れなくなっています。理由はデバイス機器と社外からのアクセス機会が増加したことです。
まず、デバイス機器の増加に関しては、スマートフォンやタブレット端末など社員が利用する機器が増えました。社員数が多い会社ほどデバイス機器も多くなるため、数多くのデバイス機器のセキュリティ対策を高めることは、コスト面でもセキュリティ面でも大変な手間がかかります。
そして、社外からのリモートアクセス増加に関しては、働き方の変化にあります。企業から勤務時間内に様々な仕事をこなすよう命じられており、効率性を上げなければならないからです。特に外出機会の多い職種である営業マンやエンジニア、デザイナーは社外からのアクセス機会が多い職種です。顧客回りの営業マンが商談の合間にカフェで資料作成や事務処理を行うことや、プログラマーやデザイナーは顧客先や自宅など社外で作業することも多いです。
特に営業マンが利用するカフェやファストフード店は、無料Wi-Fiが付いていて便利ですが、中には十分なセキュリティ対策ができていない店舗もあります。セキュリティ対策が甘い店舗を利用した場合、取引先や上司に送ったメールが暗号化されず丸見えの状態になったり、データファイルを相手に送る際に不正アクセスに侵入され、データの改ざんや盗取をさせる中間者攻撃をされるリスクも発生します。先ほど述べたEDRの導入や外出先でのPCの利用ルールを社員に課するなどの対策が必要です。
情報流出を防ぐため
内部からの情報流出は企業におけるサイバー上の脅威で、毎年トップ10に入ります。理由は現役の社員だけでなく、退職後の社員に関しても注意を払う必要がある点です。まずは現役社員の場合、シャドーITと呼ばれる自分の私物であるスマートフォンやノートPC,クラウドサービスを企業に許可を取らずに業務に利用し、セキュリティホールとなってしまう問題です。
私物のデバイス機器を業務で使う事(BYOD)は自分が使いやすいようカスタマイズされていて便利な反面、セキュリティ面でのリスクが浮上します。例えば、LINEやGmailをセキュリティ対策が甘いカフェで使用した場合、どのようなリスクが想定されるでしょうか。他人からメッセージ内容を盗み見られる、ID・パスワードなどのハッキング、情報漏洩など様々なリスクが考えられます。ただし、現役の社員の場合はセキュリティ教育の徹底やデバイス機器使用時のルール作成などで、ある程度対処することができます。そして、普段の行動の様子がわかるので企業としても対策を立てやすいです。
問題は退職後の社員です。普段の行動が見えないので、情報漏洩の対応が非常に困難です。退職後の社員が情報漏洩を起こす要因としては、人間関係の悪化やトラブル、解雇への企業への怒り、給与面の不満などが挙げられます。実際に2014年に起きた事件では、東芝の半導体に関する研究データが流出し、韓国の半導体メーカーSKハイニックスに機密情報が売られました。データを流出させた犯人は、東芝のパートナ企業であったサンディスクに勤務していた技術者でした。犯人はサンディスクを転職後、SKハイニックスに転職していますが、データ流出の動機はサンディスク在籍時に待遇に不満があり、転職後に好待遇で働くことを実現するための交換条件だと見られています。
企業としては、退職した社員の社員ID・パスワードの有効期限を短くすることや退職の際のメンタルケアの他、退職後にデータ流出をした場合、莫大な罰則金を課するなどの対処をしていく必要があります。
ゼロトラストセキュリティを導入する際の決め手
決め手は安全性と利便性の両立ができているかといった点です。マルウェアの検知能力やデバイス機器内の行動監視、多要素認証など機能はたくさんありますが、導入することで自社のセキュリティ分野で安全性が高まらなければ、導入する意味がありません。既存のセキュリティ構成で内部犯行に対応できるか、業務面でテレワークなどインターネット環境下で効率的に働く事が出来ているかが大きな判断軸の一つとなるでしょう。
そして、安全性を確保しながらも利便性を失いたくはありません。日々の業務の効率性をビジネスマンは求められているからです。一つのID・パスワードでアプリケーションにログイン可能なシングルサインオンの利用など、利便性を保つ機能の有無をチェックすることも重要です。
コストを捻出できるか
多くの企業にとって難しいのがコスト面ではないでしょうか。ゼロトラストセキュリティは先ほども少し触れましたが、多要素認証によるIDの統合と端末機器であるエンドポイントをEDRで守っていく事が正攻法です。方法は一つだけでなく、企業規模や必要なセキュリティレベルに合わせての導入が可能ですが、それでも初期段階では百万程度の投資が必要になります。
経営状況や売上が順調なときには前向きな検討ができますが、売上が厳しい状態の時にセキュリティ分野への投資は優先順位が落ちます。セキュリティ分野への投資は、直接売上を生むわけではないからです。ゼロトラストセキュリティに関連して、クラウドサービス利用状況の可視化を実現するCASB(Cloud Access Security Broker)なども導入を検討する企業が多いかと思いますが、経営状況を見ながらの判断となるでしょう。
ただし、サイバー攻撃は年々巧妙化し、中小企業を経由する事を狙ったサプライチェーン攻撃も増えており、残された時間はさほどありません。中小企業もセキュリティ対策への投資を真剣に考える段階に入ってきています。また、既存の境界型セキュリティを排除することで、その分の予算を浮かせてゼロトラストの予算に寄せていくのは一般的に多くの企業で取られる動きです。
性能が高いかどうか
どの性能を重視するかは企業によって異なります。それぞれ抱えている問題やシステム上の課題、脆弱性は異なるからです。以下の表を導入の選定材料にしてください。
機能 | 導入メリット | |
アクセス権 |
|
|
セキュリティ機能 |
|
|
可視化と分析 |
|
|
データ分析 |
|
|
扱いやすいかどうか
全てのアクセスに対して認証を行うことは、業務効率性を落とすデメリットがあります。社内システムやアプリケーションにログインする度に、ID・パスワード+認証を求められるのは、手間が発生するからです。
ある程度の利便性を確保するためには、シングルサインオンが利用できると便利です。一つのIDとパスワードだけで、アプリケーションや社内システムにログインできます。ただし、従来の懸念からあるIDやパスワードがハッキングされた場合、情報漏洩のリスクが高まるので、社員に付与するアクセス権を最小限にするなど、工夫が必要です。
サポート内容が充実しているかどうか
商品についての問い合わせやサイバー攻撃を受けた時の対処方法など、商品導入後のサポート体制が整っている企業の商品を選びましょう。例えば、国内の製品プロバイダーは攻撃を受けた際の必要な対策は勿論、業務システムへのインテグレーション段階でも幅広く支援してくれる企業がいます。
業務内容が改善されるかどうか
社外からのアクセスでも問題なく使用できるかどうかといった点を確認して下さい。ゼロトラストセキュリティは、場所と時間を問わない働き方の導入を加速させるメリットがあります。
反面、ゼロトラストセキュリティの特徴をしっかりと認識しないと、せっかく導入してもかえって利便性が失われる恐れがあります。
例えば、これまでオンプレミスで運用・管理をしていた自社システムをIDaaS(Identity as a Service)につなぎ、クラウド上で管理しようとしたとしても、あまり有益な効果は得られないでしょう。社員IDをクラウド上で一元管理するぐらいにしかならず、社外からのアクセス時におけるセキュリティレベルが確保されたとは言い難いからです。
ゼロトラストセキュリティを導入する前に、経営規模と照らし合わせてどういった対策でセキュリティレベルを上げるのかを考える必要があります。
ゼロトラストセキュリティを導入する際の注意点
業務上の効率性や利便性を失わずに、セキュリティレベルを上げるといった考えが大切です。情報漏洩を防ぐことだけを考えると、結果的に不便さが目立ってしまいます。
例えば、社外でのアクセス制限や閲覧できるWebサイトの制限などを強化しすぎると、本来必要な資料やWebサイトを閲覧できず、仕事が進まなくなります。実際に業務効率が下がってしまった企業の方もいらっしゃるのではないでしょうか?
優れたセキュリティソリューションであれば、導入することで必ず何かしらの業務改善を実現出来ます。
外部もしくは社内からのアクセス制限
必要な人に必要な分だけアクセス権を与えましょう。不要なファイルやアプリケーションへのアクセス権を与えると、業務に関係ない場所でのログインがきっかけで、マルウェア感染や情報漏洩のリスクが高まるからです。
例えば、営業マンには顧客データや販売実績など営業に関わるデータのみアクセス権を渡し、技術職には図面や部品図など必要なデータのみ閲覧可能にするといった具合に、最小限のアクセス権だけを付与します。
添付ファイルができなくなること
情報漏洩対策を強化しすぎると、例えば取引先や上司に向けてのメールの添付ファイルも不可にするといったことを考えても不思議ではありません。
例えば、在宅勤務で監視の目が無くなったことにより、社員が悪意を持って行う情報流出やメール誤送信による情報漏洩の防止が狙いとして考えられます。狙いはわかりますが、業務上の効率性が著しく低下するだけでなく、顧客や取引先にも迷惑がかかります。また、場所や時間を問わない働きやすい環境を目指しているにも関わらず、結果的にはデメリットが大きくなっている状況です。
ゼロトラストセキュリティの導入の際は、業務上の効率性や利便性を失わないように導入を考える必要があります。例えば、EDRの導入での端末ごとの管理やCASBの導入によるクラウドサービスの可視化などを行い、従業員の行動管理をしていくことが対策として挙げられます。
ゼロトラストセキュリティのまとめ
今回の記事のポイントをピックアップしておきます。
ゼロトラストセキュリティを導入するメリット
- テレワークの導入加速
- マルウエアや不正アクセス対策
- 内部情報漏洩対策
ゼロトラストセキュリティの導入ポイント
- ランニングコスト&初期費用の捻出
- 利便性と安全性を備えた製品の選定
- サポート体制もチェック
- 過度な情報漏洩対策は業務効率に影響