近年、IT技術の発展が著しく、テレワークやクラウド化などにより、これまでの生活や働き方に大きな変化を与えました。そんな中、常に意識していかなければならないのはセキュリティの問題です。
IPA(情報処理推進機構)で公開された「情報セキュリティ10大脅威 2021」では、組織における脅威の第1位は「ランサムウェアによる被害」、そして第3位には、昨年ランキング入りしていなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」となっています。
情報化社会の中で、これらの脅威に対抗するため、日々セキュリティへの意識を高めていくことが必要です。本記事では、様々なセキュリティ対策の導入が求められる現代で注目されている「ゼロトラスト」というセキュリティ概念について解説します。
<目次>
「全てを信用しない」セキュリティが必要とされる理由
・働き方改革におけるテレワークの普及
・多くの企業に求められるDX戦略
脅威は外部からだけではない! 内部のセキュリティを強化すべき理由
・境界型セキュリティとゼロトラストセキュリティの違い
・内部不正による情報流出を防ぐ
ゼロトラストとは? 近年注目されるセキュリティモデル
ゼロトラストとは、「全てを信用しない」というセキュリティ概念です。具体的なシステムやデバイス、製品の名称ではありません。「全てを信用しない」という従来のセキュリティ概念とは異なる考え方が基盤となっています。
従来のセキュリティでは、「このデバイスからの通信は信用する」「このユーザーからの通信だから信用する」といった設計をして、通信やアクセスを制御します。しかし、現代ではこの防御方法では脅威を排除することが非常に困難となっています。
「全てを信用しない」セキュリティが必要とされる理由
なぜ「全てを信用しない」ゼロトラストがここまで注目されているのかというと、現代の急速なIT化に伴う変化が影響しています。冒頭でも述べたように、現代では様々なIT技術が活用され、昔では考えられなかった多種多様なサービスや新しいプロセスが生まれています。
だからこそ、昔からのセキュリティでは対応できない新たな脅威も増えているのです。そのため、どのデバイスやユーザーからの通信も「全てを信用しない」前提でセキュリティを設計するゼロトラストが注目されることとなったのです。
働き方改革におけるテレワークの普及
厚生労働省や総務省は、働き方改革の一環としてテレワークの普及促進のため様々な施策や助成金などの支援を行っています。また昨今の情勢もあり、IT企業を中心に新たな働き方が促進され、社外から社内システムにアクセスする環境が増加したのです。
業務やシステムが社内ネットワークで完結していた環境から、外部から社内システムへのアクセスを許可する必要ができたため、そこが従来では想定していない脅威となり、課題となりました。そのため、より安全性の高いゼロトラストが注目されるようになったのです。
多くの企業に求められるDX戦略
経済産業省では様々な企業に対して、デジタル技術を活用し、これまでにないビジネスモデルを展開してもらうためにDXを推進しています。そのため、今までテクノロジーとは縁がなかった業界・企業もDX戦略の導入を検討しています。
これに伴い、働き方改革のテレワークと同様に、IT技術を活用する企業が増えています。仮にクラウドサービスを利用して、社内システムの一部をクラウド化させた場合、外部からの攻撃に対する新たなセキュリティリスクが発生します。これもゼロトラストが注目されることとなった大きな要因の一つでしょう。
脅威は外部からだけではない! 内部のセキュリティを強化すべき理由
一般的にセキュリティといえば、外部からの不正アクセスのような外からの攻撃を防御するイメージを持つ人が多いと思います。この従来のセキュリティを「境界型セキュリティ」と言います。
代表的なセキュリティ機器であるファイアウォールは、外部から不正な通信や攻撃を検知し、防御する機能で安全なセキュリティを提供してきました。しかし、現代ではこれでは充分な対策とは言えません。なぜなら、内部からの不正アクセスには対応できないからです。
境界型セキュリティとゼロトラストセキュリティの違い
従来のセキュリティ対策である境界型セキュリティと、新しいセキュリティモデルであるゼロトラストセキュリティとの最大の違いは、内部に対するセキュリティ対策ができているかどうかになります。
たとえば、境界型セキュリティでは、一度突破されてマルウェアに感染してしまった場合、社内ネットワークに致命的なダメージを受けてしまいます。なぜなら「社内の通信は信用する」という前提で設計されているからです。
それに対して、ゼロトラストは「全てを信用しない」前提で設計するため、社内通信も監視、認証、ウイルス感染の検査を実施します。そのため、仮にセキュリティを突破されてしまったとしても、被害を最小限に抑えつつ、素早く対応することが可能となるのです。
内部不正による情報流出を防ぐ
内部不正のセキュリティ対策は、外部からのセキュリティ対策と比べて非常に難しくなります。社内の人間は業務としてシステムにアクセスするため、もしも悪意のある人間が社内にいた場合、境界型セキュリティでは充分な対策は難しいでしょう。
また、IPAの調査によると、内部不正により情報流出を起こしてしまった理由の約6割が、悪意のない「うっかり」で違反をしてしまったという結果が出ています。つまり、内部不正は悪意の有無にかかわらず発生してしまうリスクなのです。
だからこそ、社内ネットワークでも監視や厳重なセキュリティを設計するゼロトラストは、この内部不正にも有効な対策となります。重要な情報へアクセスする権限は必要最低限な人数に与え、接続するには本人確認やデバイス確認などの多要素認証を実施し、監視ログで通信を可視化することもできます。そのため、よりセキュリティを強化することが実現可能なのです。
ゼロトラストセキュリティを導入するために
より安全なセキュリティ対策であるゼロトラストですが、全てが従来の境界型の上位互換というわけではありません。なので、導入する前にはゼロトラストのメリット・デメリットを把握しておくことが大切です。
もしも、このメリット・デメリットを把握せずにゼロトラストを導入し、境界型セキュリティから完全移行してしまったら、後悔してしまう可能性があります。そのため、特徴をしっかりと理解しておく必要があるのです。
ゼロトラストセキュリティのメリット
ゼロトラストセキュリティの最大のメリットは、なんといっても信頼できる強固なセキュリティ対策が実現できることです。これまで説明してきたように、多様なIT技術の活用に伴い、新しいセキュリティリスクが生まれています。このセキュリティリスクに対して、非常に安心できる対抗策の一つとなります。
また、外部から社内システムへアクセスする代表的な方法にVPN接続がありますが、これは機器ごとに手間のかかる個別設定が必要です。ゼロトラストセキュリティではこれらの手間が不要となる点も非常に大きなメリットと言えるでしょう。
ゼロトラストセキュリティのデメリット
ゼロトラストセキュリティのデメリットは高いコストが必要となる点です。外からの防御だけではなく、社内通信の監視、認証を実施するため、多くのセキュリティ機器を導入する必要があります。そのため、境界型セキュリティと比べるとコスト面で大きな差が生まれてしまうのです。また、既存の社内ネットワークにゼロトラストセキュリティを導入するには大きな工数が必要となります。これらのデメリットがゼロトラストセキュリティ導入への高いハードルとなっているのです。
また、システムを利用するため接続する度に認証を求められるなど、利便性を欠く面もあります。従来のセキュリティに慣れている人からすると、少々煩わしく感じる人が出てくるかもしれません。
まとめ
テクノロジーの進化と共に、悪意あるセキュリティの攻撃の手法は多種多様化しています。新しいITサービスが生まれれば、新しいセキュリティリスクも発生してしまう可能性があるのです。
もしも企業が、たった一度でも不正アクセスを通してしまえば、社内システムに致命的なダメージを受け、大切な顧客のデータや個人情報を流出させることに繋がってしまう可能性があるのです。そうなってしまえば、企業の信頼やブランドイメージを失うことになります。
このようなリスクを回避するためにも、今回紹介したゼロトラストは有力なソリューションとなります。今後も成長が予想される急速なIT化に向けて、時代の波に乗り遅れないようにするために、ゼロトラストセキュリティを検討してみてはいかがでしょうか。
