
好きな所から読む
ゼロトラストとは何か?
ゼロトラストは、2010年に市場調査を得意としているアメリカのForrester Research社が提唱したセキュリティモデルです。
ゼロトラストはあくまで概念であり単一のセキュリティツールを導入するのではなく、複数のツールを組み合わせてセキュリティレベルを上げていくのが特徴です。
近年、在宅勤務やモバイルワークなど場所を問わない働き方を導入し、それに対応するため企業はクラウドサービスの利用を増加させてきました。
境界線型のセキュリティ対策とこれまで企業のテレワークを実現してきたVPNでは、社外からのアクセス時における安全で快適な通信環境の提供と強固なセキュリティ対策の実施が困難な状況です。
VPNが抱える課題の克服と強固なセキュリティ対策を実現するために、ゼロトラストへの注目度が高まっています。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ゼロトラストの特徴とは?
ゼロトラストの特徴は、マルウェア感染やサイバー攻撃の予防と被害を最小化する対策が取れる点です。
アプリやデータファイルへの全てのアクセスに認証を要求
ゼロトラストは「全てのアクセスを信頼しない」との考えの下、ユーザーやデバイス機器を問わず毎回のアクセスに認証を求めます。
本人確認と安全性が確認できたアクセスしか、社内システムやクラウド上のアプリにログインできません。
そのため、不正アクセスの侵入リスクを大幅に軽減できます。
また、社内ネットワークにログインするアクセス地点や時間も関係ありません。
たとえ、データファイルをログアウトとしたのが1分前でも1時間前でも、アクセス地点が自宅や社内でも必ず認証は求められます。
社外や社内といった場所を区分する必要性が薄まるので、場所を問わない働き方が可能です。
複数のセキュリティツールで構成
多要素認証やEDR(Endpoint Detection and Response)、SOAR(Security Orchestration, Automation and Response)など複数のツールを組み合わせることで、セキュリティレベルを上げていきます。適切なセキュリティツールを導入することで、たとえ社内ネットワークに脅威が侵入したとしても被害を最小限に食い止めることが可能です。一例をあげてそれぞれの特徴をまとめました。
種類 | 機能 | 導入効果 |
多要素認証 |
|
|
EDR |
|
|
SOAR |
|
|
現在のテレワークを支えているVPNとは?
VPNは、特定の拠点間でのデータ通信を可能にしたネットワークです。仮想環境に専用線を敷いて社内から離れた場所からでも、社内システムにアクセスできるような環境を整えています。
現在多くの企業がVPNを利用して在宅勤務やモバイルワークを導入していますが、VPNは通信の脆弱性や安定性に課題を残しています。実際、2019年には三菱電機が中国拠点でVPNの接続機器を中国のハッカー集団「BlackTech」にハッキングされ、三菱電機の従業員や退職者、採用応募者の個人情報の流出、防衛に関する機密情報が流出する被害に遭っています。
VPNが抱える3つの課題
VPNが抱えている脆弱性の課題、通信の不安定性、スケーラビリティの低さを紹介します。
脆弱性の課題
VPNは一度社内システムへの侵入を許すと広範囲に影響が出やすいのが、課題です。社外からのアクセスを受けるために、侵入口を広くしているからです。ゼロトラストの場合は、アクセスを要求したときにだけ社内システムに入るための侵入口を用意するので、不正アクセスのリスクを軽減しています。
また、自社で利用しているVPNの脆弱性についてベンダーから発表があった場合は、早急に修正プログラムを配布する必要があります。
最新のソフトウェアにアップデートしないと、修正プログラムの配布前に脆弱性を突くゼロデイ攻撃を受けた場合に、更に被害が大きくなるからです。
通信が不安定
VPNはユーザーが外部からアクセスする際、特定の拠点間をつなぐためのVPNゲートウェイを経由して社内システムに侵入します。
VPNゲートウェイは、1:1の拠点同士のネットワークを実現するための通信経路であるため、1か所しか設置されません。
そのため、ユーザーがアクセスする場所によっては、通信速度が遅くなる可能性があります。
VPNゲートウェイの位置や業務上のデータファイルやアプリが複数の地域のデータセンターやクラウド上に点在している場合は、ログインするために複数の回線経路を利用しなければなりません。
WAN( Wide Area Network )を利用してアクセスしないといけないため、遠回りした通信経路での通信のやりとりになります。
通信距離が長くなるため、通信速度の低下や途中で通信が切れるといった通信の不安定性が、従来より叫ばれていました。
スケーラビリティ性が低い
スケーラビリティとは、システムの拡張・負担の増加に応じてどれだけ柔軟に対処できるかといった意味です。
つまり、ユーザーの人数や使用するデバイス機器の増加しても、通信速度や通信のやりとりに影響が出ず、安定したパフォーマンスができるかといった意味になります。
VPNの場合は、使用するネットワーク機器のコンピューターリソースの消費量も多いため、導入後のユーザー数増加に対応するには限度があります。
対応できるレベルを超えた場合は、通信速度や通信障害が出やすいため、ユーザー数が多い場合は適切なサイジングの製品の再購入が必要です。
再購入の場合は、経済的コストの増大と新たなVPNの導入に時間がかかるため、業務効率性が落ちる懸念があります。
境界線型セキュリティの限界
「社内アクセス=安全」、「社外アクセス=危険が伴う」といった、社内と社外を明確に分けていたのが境界線型のセキュリティ対策です。
そのため、不正アクセスやマルウェアの侵入をいかに防ぐかといった点に重点的に置かれていました。
ですが、サイバー攻撃の多様化と社外から社内ネットワークへのアクセス機会の増加により、従来の対策では企業の機密情報を守ることが困難になっています。
詳しくみていきましょう。
社外でのデバイス機器の利用増加
社外でのPCやスマートフォンといったデバイス機器の増加は、テレワークや在宅勤務だけに留まりません。企業から仕事の効率性を問われることが多いので、外回りの多い営業マンは商談の合間でメールチェック、資料作成などの事務作業を行っている方も多いのではないでしょうか。
セキュリティ対策を十分に行っていないカフェやファストフード店を利用した場合、情報の取り扱いには十分注意が必要です。情報漏洩のリスクが至る所に潜んでいます。
考えられるリスクとしては、取引先や上司へのメール内容が暗号化されないだけでなく、社内ネットワークとのデータ通信のやりとりの最中に不正アクセスの侵入を受けるリスクが高まります。結果として、機密情報や企業データの改ざんや盗取、悪用といった被害につながる可能性があるので、十分注意しましょう。
また、社内ネットワークに不正アクセスやマルウェアの侵入を許した場合、「最小限の被害に抑えるか」といった視点での対策が、境界線型セキュリティ対策では不十分であり、一度侵入を許すと被害が拡大する傾向にありました。
近年はサイバー攻撃の多様化や攻撃者の技術が上がっています。ウイルスソフトやファイアウォールに引っ掛りにくいファイルレス・マルウェアの存在や脆弱性を狙ったゼロデイ攻撃、ランサムウェアなど、予兆を感じさせずに大きな被害を与える攻撃が増えています。
特にファイルレス・マルウェアはWindowsのPowershellを利用するため、通常のマルウェアと違いダウンロードやデータ保存をしないため、非常に見分けがつきにくいのが特徴です。境界線型のセキュリティ対策では、一度社内ネットワークに侵入すればあとは自由に動けるため、被害を防ぐのが難しいマルウェアです。
そして、ネットワーク上の脆弱性を突いてくるゼロデイ攻撃も非常に脅威で、脆弱性を改善した修正プログラムの配布前に攻撃をします。特にシステム管理者や開発者が把握していない脆弱性を攻撃者に突かれた場合は、脆弱性の特定に時間がかかるため、復旧作業に多大な時間を必要とします。上記の理由から従来の境界線型セキュリティ対策とVPNでは、サイバー攻撃の被害を防げなくなっているため、ゼロトラストが注目が高まっています。
ゼロトラスト導入の3つのメリット
不正アクセスのリスク軽減、情報漏洩対策、テレワークの導入推進といったゼロトラストの3つのメリットを紹介します。
不正アクセス侵入リスクの軽減
ユーザーやデバイス機器を問わずに毎回認証を求め、本人認証や安全性が確保できないとデータファイルやアプリは利用できません。そのため、不正アクセスの侵入リスクを大幅に軽減します。
また、VPNと異なりアクセスを求められた場合のみ侵入口を用意するため、攻撃者から侵入経路を隠すこともできます。
情報漏洩対策
社内ファイルやアプリへのアクセス権を最小限に制限できるため、外部への情報漏洩のリスクを軽減します。
例えば、社員が所属している部署に関連する以外のデータファイルや業務で必要ないWebサイトの閲覧を禁止することが可能です。
あなたが技術者だった場合は、担当している顧客の図面や部品表などのデータは閲覧できますが、営業実績などは閲覧できません。
閲覧範囲を広げすぎると、信頼性の低いWebサイトや攻撃者の用意した偽サイトでの情報漏洩のリスクが高まるので、大きなメリットでしょう。
ただし、社員の利便性や業務の効率性を失わないようなバランス感覚が求められます。
また、データファイルへのアクセス制限は、機密情報や技術データの持ち出しを防ぐ抑止力にもつながります。
内部からの情報流出は、企業の抱えるセキュリティ上の脅威でトップ5に入るほどで、今後も脅威であり続けることが予想されます。
毎年のように個人情報や機密情報の流出事件が起きていますが、対策が立てづらい点が内部流出の厄介な点です。
オフィスへの出勤がデフォルトの場合はまだ社員の普段の行動は見えやすかったですが、テレワークの導入により在宅勤務が多くなりました。
監視の目も届かないため、社員がその気になれば情報を盗み出し、多額の金銭を得るために情報を転売することも可能な状況です。
ゼロトラストを導入することで、毎回の認証の際に「どのユーザーが、どのデバイス機器で、どのデータファイルにログインしたか」といった情報がわかるので、犯人を特定できます。悪事を働いた場合はすぐに判明するので、情報漏洩を防止する抑止力となります。
テレワーク導入推進
ユーザーがどこにいたとしても認証を求めるため、働く場所は関係ありません。テレワーク導入の懸念点であったセキュリティレベルの確保は、複数のセキュリティツールの導入によって担保されるため、現在導入が進んでいない企業や一部の職種しか導入していない企業でも、今後はさらにテレワーク導入の動きが加速するでしょう。
企業にとっては、結婚や出産を機に退職を検討している優秀な女性社員の流出防止や地域を度外視した優秀な人材の確保といった働き方改革によるメリットにもつながります。
ゼロトラストの導入を検討する前にやるべき3つのこと
セキュリティコストの捻出、自社のIT環境の把握、情報セキュリティの知識に富んだ人材の有無を確認してください。
自社のIT環境の把握
自社のIT環境の脆弱性や改善点の有無を把握することがまずは大切です。
何が課題であるかわからないと適切なセキュリティツールを導入することはできません。
例えば、デバイス機器内の異常やセキュリティ監視を行いたい場合は、EDRの導入が有効です。
一方、セキュリティ分野での人材が不足しており、効率的な運用を行いたい場合はSOARの導入を検討しましょう。
自社に欠けている部分をゼロトラストの導入で補うためには、まずは自社のIT環境で何が課題になっているかを把握してください。
情報セキュリティの知識に富んだ人材の有無
社内でセキュリティ分野の知識に長けた人材の有無も重要です。
知識や経験が豊富な人材がいれば、自社のIT環境の課題や状況についてわかるだけでなく、セキュリティインシデントが起きた際にも早急な対応が期待できるからです。
一方で、セキュリティ分野への知識や経験に長けている人材がいない企業は、SOARの導入で業務をこなしながら対処方法を学ぶか、社内システムやデバイス機器のセキュリティ監視を24時間行うセキュリティ集団、SOC(Security Operation Center)の利用を検討するべきでしょう。
セキュリティコストの確保
セキュリティ分野は売上に直接寄与しないため、企業にとってコストをかける優先順位が低いのが現状です。
特に業績が厳しい状況の時には、業績を回復させるための施策やアイデアが最優先されるため、さらにゼロトラストの導入は遠のくでしょう。
ですが、近年は中小企業をターゲットにしたサプライチェーン攻撃も増加しています。
自社のセキュリティ対策が不十分で顧客情報や機密情報が流出した場合は、莫大な経済的損失と社会的信用を失います。
残された時間はさほど多くありません。
業績が好調な時期にセキュリティコストを確保し、状況を見ながら段階的な導入を検討するべきです。
ゼロトラストで全てが解決するわけではない
ゼロトラストはサイバー攻撃やマルウェア感染のリスクを大幅に減らすだけでなく、効率的なセキュリティ運用を実現する優れたセキュリティソリューションです。
ただし、ゼロトラストを導入すれば全てが終わりではありません。
社員や経営層が情報漏洩やセキュリティ分野に高い意識を持っていなければ、些細なきっかけで情報が流出します。
例えば、業務で認めていない私物のスマートフォンやPCを業務で利用したことがきっかけで情報が流出したり、退職した社員のIDやパスワードを利用されて情報流出が発覚したりと、攻撃者はわずかな隙でも見逃しません。
企業の大切な情報資産を守るためには、情報漏洩を防ぐための意識付けと行動が大切です。
いかがでしたでしょうか。本記事でもかなり網羅性を持ってゼロトラストについて解説してまいりましたが、新型コロナウィルス感染症やテレワークの切り口でゼロトラストセキュリティについてまとめているホワイトペーパーもご用意しています。ゼロトラストセキュリティについてどこよりも詳しく全28ページでまとめておりますので、是非ご覧ください。