ゼロトラストで変わる情報セキュリティ
セキュリティを知りたい
先生、「ゼロトラスト」って最近よく聞くんですけど、どういうものなんですか?
セキュリティ研究家
良い質問だね。「ゼロトラスト」は、簡単に言うと「誰も信用しない」という考え方でセキュリティ対策をすることなんだ。昔は会社のネットワークの中は安全と考えられていたけど、今はそうとも言えなくなってきているよね。
セキュリティを知りたい
確かに、家で仕事したり、カフェで会社のデータを見たりすることもありますもんね。でも、誰も信用しないって、具体的にどうするんですか?
セキュリティ研究家
例えば、会社のパソコンを使う時だけじゃなくて、スマホから会社のデータを見ようとする時でも、毎回厳しくチェックするんだ。パスワードが合ってるかだけでなく、アクセスして良い人か、アクセスして良い場所かなどを確認することで、より安全性を高めるんだよ。
ゼロトラストとは。
守るべき大切な情報を守るための考え方の一つに、「ゼロトラスト」というものがあります。これは、簡単に言うと、情報にアクセスしようとする人やシステムを、誰でも彼でも信用するのではなく、「みんな怪しいものだ」と疑ってかかる、という考え方です。「ゼロトラストセキュリティ」と呼ばれることもあります。昔ながらの情報セキュリティの考え方では、会社のネットワークの中など、安全だと思われている「内側」と、インターネットなど、あまり信用できない「外側」に分けて、それぞれに合った対策を考えていました。しかし、今では、クラウドが広まったり、仕事の仕方が変わったりしたことで、「内側」と「外側」の境界線が曖昧になってきています。そこで、ゼロトラストの考え方が役に立ちます。この考え方を取り入れたセキュリティ対策では、会社の中からアクセスする場合でも、外からアクセスする場合でも、すべてを監視し、誰がアクセスしようとしているのかを厳しく確認します。そして、状況に応じてアクセスを許可したり、制限したりすることで、情報の安全を守ることができるのです。
信頼から検証へ
– 信頼から検証へ従来の企業における情報セキュリティ対策は、社内ネットワークのような、いわば会社の敷地内は安全な場所とみなして、外部からのアクセスを制限することに重点を置いていました。しかし、近年ではクラウドサービスの利用やリモートワークの普及により、社内と社外の境界線が曖昧になってきています。このような状況下では、従来型の境界防御型のセキュリティ対策では、十分な効果を期待することが難しくなっています。そこで登場したのが『ゼロトラスト』という考え方です。ゼロトラストは、従来のように場所やデバイスによって接続の可否を決めるのではなく、あらゆるアクセスを信頼せず、常に検証を行うという概念です。具体的には、接続元が社内ネットワークであろうと、社外ネットワークであろうと、あるいは利用端末が会社支給のPCであろうと、個人のスマートフォンであろうと、アクセスする度に本人確認やアクセス権の確認を行い、正当なアクセスのみを許可します。ゼロトラストを実現するためには、従来型のセキュリティ対策に加えて、多要素認証やアクセス制御、ログ分析などの技術を組み合わせることが重要になります。ゼロトラストは、変化の激しい現代のビジネス環境において、情報セキュリティを確保するための重要な考え方と言えるでしょう。
| 従来のセキュリティ対策 | ゼロトラストセキュリティ対策 |
|---|---|
| 社内ネットワークは安全な場所とみなす(境界防御) | あらゆるアクセスを信頼せず、常に検証を行う |
| 外部からのアクセス制限に重点 | 接続元やデバイスに関わらず、アクセスごとに検証 |
| クラウドサービスやリモートワークの普及に対応困難 | 変化の激しい現代のビジネス環境に適応 |
境界防御の限界
– 境界防御の限界従来のセキュリティ対策は、城壁のように外部からの侵入を防ぐことに重点を置いてきました。これは-境界防御-と呼ばれ、ファイアウォールや侵入検知システムなどをネットワークの境界に設置することで、外部からの攻撃を遮断しようとする考え方です。しかし、インターネット上の脅威は日々高度化しており、境界防御だけでは完璧な防御は不可能になりつつあります。高度な技術を持った攻撃者は、巧妙な手口を使って境界防御を突破し、内部ネットワークへの侵入を企てるからです。さらに、近年では、従業員による情報漏えいや、盗難された端末から情報が流出するなどの内部からの脅威も増加しています。従来の境界防御は、あくまで外部からの攻撃を想定しているため、内部からの攻撃や、一度境界を突破されてしまった後の攻撃に対しては効果が薄いという弱点があります。このような状況を踏まえ、近年では境界防御だけに頼るのではなく、内部ネットワークを含めた包括的なセキュリティ対策が求められています。ゼロトラストはそのような新しいセキュリティモデルの一つであり、社内ネットワークであっても常にアクセスを監視・検証することで、内部からの脅威にも対応できる強固なセキュリティを実現します。
| 従来のセキュリティ対策(境界防御) | 問題点 |
|---|---|
| ファイアウォールや侵入検知システムなどをネットワークの境界に設置し、外部からの攻撃を遮断する。 |
|
ゼロトラストの基本原則
近年、従来の境界型セキュリティ対策が通用しないほど巧妙化したサイバー攻撃が増加しており、新たな対策として注目されているのが「ゼロトラスト」です。ゼロトラストは、「決して信頼せず、常に検証する」という原則に基づき、組織の内外を問わず、あらゆるアクセスを信頼せず検証することでセキュリティを担保する概念です。
ゼロトラストを実現するための原則は、大きく分けて以下の3つあります。
1つ目は、アクセスするユーザーやデバイスが誰であろうと、必ず認証と認可を行うことです。従来のように、社内ネットワークに接続しているからといって無条件にアクセスを許可するのではなく、アクセス要求の度に正当性を検証します。2つ目は、アクセス制御の徹底です。これは、ユーザーやデバイスに対して、必要最低限の権限のみを付与することを意味します。過剰な権限を与えないことで、万が一、不正アクセスが発生した場合でも、被害を最小限に抑えることができます。3つ目は、通信の暗号化です。データの盗聴や改ざんを防ぐため、ネットワーク上を流れるデータは常に暗号化する必要があります。
これらの原則に基づき、多層的なセキュリティ対策を講じることで、ゼロトラストを実現することができます。
| ゼロトラスト原則 | 内容 |
|---|---|
| 認証と認可 | アクセスするユーザーやデバイスが誰であるかを常に検証し、正当なアクセスのみを許可する。 |
| アクセス制御の徹底 | ユーザーやデバイスに対して、必要最低限の権限のみを付与する。 |
| 通信の暗号化 | データの盗聴や改ざんを防ぐため、ネットワーク上を流れるデータを常に暗号化する。 |
多要素認証の重要性
昨今、組織の内外を問わず、あらゆる情報にアクセスできる「ゼロトラスト」という考え方が重要視されています。ゼロトラスト環境では、接続元や利用端末に関わらず、全てのアクセスを検証する必要があります。この検証をより強固にするために必須となるのが多要素認証です。
従来の認証方法は、パスワードのように「知っていること」のみで認証を行うものが一般的でした。しかし、パスワードは漏洩のリスクがつきものであり、セキュリティ強度が高いとは言えません。そこで、多要素認証を導入することで、セキュリティを強化します。
多要素認証とは、パスワードのような「知っていること」に加えて、スマートフォンアプリで発行されるワンタイムパスワードのような「持っているもの」や、指紋認証や顔認証のような「自分自身」を組み合わせる認証方式です。仮にパスワードが漏洩したとしても、他の要素での認証が突破できなければ、不正アクセスを防ぐことができます。
このように、多要素認証はゼロトラスト環境におけるセキュリティ対策の要と言えるでしょう。
| 認証要素 | 説明 | 例 |
|---|---|---|
| 知っていること | パスワードなど、記憶している情報によって認証を行う要素 | パスワード、PINコード、秘密の質問 |
| 持っているもの | スマートフォンや物理トークンなど、所持しているデバイスや情報によって認証を行う要素 | スマートフォンアプリで発行されるワンタイムパスワード、ICカード、ハードウェアトークン |
| 自分自身 | 生体情報など、ユーザー自身であることを証明する要素 | 指紋認証、顔認証、虹彩認証、声紋認証 |
継続的な監視と改善
– 継続的な監視と改善
「ゼロトラスト」は、一度システムを構築したら終わりというわけではありません。むしろ、そこからが本当の始まりです。外部環境の変化や新たな脅威の出現など、情報セキュリティを取り巻く状況は常に変化しています。そのため、システムを安全に運用し続けるためには、継続的な監視と改善が欠かせません。
まず、システムのあらゆる活動を記録した「ログ」を分析し、不正アクセスの試みや不審な挙動がないかを常に監視する必要があります。これは、まるで建物のセキュリティカメラをチェックして、不審者がいないかを確認するようなものです。
さらに、最新の脅威に関する情報や攻撃の手口を収集し、分析することも重要です。これは、犯罪者がどのような方法で侵入を試みるのかを事前に予測し、対策を立てるためです。警察が犯罪の手口を分析し、市民に注意喚起を行うのと似ています。
このように、継続的な監視と改善によって、潜在的な脅威を早期に発見し、迅速に対応することで、システムの安全性を高いレベルで維持していくことが可能になります。
| セキュリティ対策 | 実施内容 | 例え |
|---|---|---|
| 継続的な監視 | システムのあらゆる活動を記録した「ログ」を分析し、不正アクセスの試みや不審な挙動がないかを常に監視する。 | 建物のセキュリティカメラをチェックして、不審者がいないかを確認するようなもの |
| 継続的な改善 | 最新の脅威に関する情報や攻撃の手口を収集し、分析する。 | 警察が犯罪の手口を分析し、市民に注意喚起を行うのと似ている。 |