最近よく聞くゼロトラストセキュリティとは?
リモートワークが一般化したコロナ禍以降、組織情報ネットワークは一段と高度なセキュリティが求められるようになりました。高度化の方向性は、これまで見過ごされがちだった組織内部の情報の流れと従業員の行動にも向かい、その先に「ゼロトラストセキュリティ」という概念の実現が理想とされるようになりました。今回は、近年聞くことが多くなった「ゼロトラストセキュリティ」について、簡単にまとめてお話しいたします。
従来のセキュリティ対策の方向性は「境界型」
IPAが公表している「セキュリティ十大脅威2024」のトップ5(法人向け)は「ランサムウェア被害」「サプライチェーンの弱点を悪用した攻撃」「内部不正による情報漏洩等の被害」「標的型攻撃による機密情報の窃取」「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」でした。
これらの共通点はおわかりでしょうか? 組織内部から外部への情報流出をともなう不正な情報アクセスです。人間か、不正プログラムかに関わらず、必ず内部に「犯人」がいて、組織のシステム内部を不正に探索し、情報を外部に持ち出し/送信する手口が含まれているのです。
内部に不正実行者がいる場合の手口は様々ですし、不正プログラムの活動も予測がつきません。また不正プログラムが組織のシステム内部に存在しているか、活動しているかの調査・確認もシステムが大きいほど困難です。不正プログラムは メールやメッセージングツール、Webなどあらゆる通信経路からの侵入し、発見が難しい仕組みで活動するのが今では一般的になりました。活動はしていなくても、組織内になんらかの不正プログラムが潜伏していると考えなければなりません。
従来の組織情報セキュリティは、基本的に外部からの攻撃を、組織内ネットワークのゲートウェイで防ぐために構築されてきました。これは「外部ネットワークは高リスク、内部ネットワークは安全」という考え方に基づきます。これを「境界型セキュリティ対策」と呼ぶことがありますが、その考え方は、上記のような現在の脅威状況にフィットしません。「脅威は内部にも存在する」と考えなければならないのが現在の情報セキュリティです。
ゼロトラストセキュリティの3原則
そこでクローズアップされてきたのが「ゼロトラストセキュリティ」です。これは正当な通信のふりをした不正な通信を排除するために、すべての通信を信用せずに一つひとつチェックし、正当なことが検証された通信だけを流す仕組みを作ることを意味しています。人間や不正プログラムによる、アクセス権限が本来ないはずの情報アクセスや外部送信をキャッチして遮断すれば、内部に不正実行者や不正プログラムが存在していても実害が生じません。
すべてのシステムでユーザーデバイス、サーバー、その他IoT機器などの内部/外部通信を確実にチェックして取捨選択して正当な権限がある情報アクセスだけを許可すれば、たとえ内部で「犯人」が活動しようとしても不正な情報アクセスや送信ができなくなり、実害が生じる可能性は限りなくゼロになります。
ただし、ゼロトラストセキュリティを完璧に実現するのは容易ではありません。全組織のIT環境を見直し、必要な対策を適時・適切に実行することが必要になるからです。これには多くのツールや設定、IT利用ルール、セキュリティポリシーの見直しも必要になり、新規のツールやサービス導入、既存システムのリプレースも必要になることがあります。どこまで、どの領域のセキュリティをゼロトラストに近づけられるのか、あるいはコストをかけても全体システムを再構築したほうがトクなのか、各組織が真剣に考えなければならない時代になりました。これを考える際には、次の「ゼロトラストセキュリティの3原則」にそって既存システムを調査し、改善ポイントを見出していくことがお勧めできます。以下に3原則と、その原則に準じることで得られる主なメリットを示します。
【ゼロトラストセキュリティの3原則】
- 全件検証の原則
ネットワーク内外問わず、すべての通信を常に検証します。つまり端末-サーバー間や拠点間通信、インターネット、SaaS、VPNによるリモート接続、また社内サーバーのアプリケーションやデータへのアクセスすべてを監視し、設定したポリシーやルールを逸脱する通信を判別する仕組みが必要です。これにより非常に強固なセキュリティが担保できます。 - 最小権限の原則
組織内情報にアクセスできるユーザーとデバイスを徹底的に管理して、業務に必要と認められる最小限度のアクセス権限だけを付与します。権限外の情報アクセスを拒否するためです。また利用アプリケーション(SaaSも含め)へのアクセス権限、ドライバ類も含むすべてのソフトウェアの情報アクセス権限も管理、内部不正や不正アクセス・送信を防ぎます。特に不正アクセス活動は情報アクセス権限の拡大を伴うことが多いため、権限管理を徹底することが重要です。 - 継続的モニタリングの原則
社内ネットワークやシステム、クラウドサービスなどの利用状況を常時監視し、継続的に利用状況を可視化、記録する仕組みも必要です。異常な通信、異常なシステムログインや利用などを発見するには、平常の状態を記録しておき、そのベースラインから外れた異常と見做される事象が検出できなければなりません。システムやネットワーク環境は常に変化しますから、それに追随して利用状況を適切に監視し、また異常を分析・発見し、さらに異常箇所に迅速な対処を行う仕組みづくりと体制づくりにより、迅速な異常検知と対応が可能になります。
ゼロトラストセキュリティ構築の課題
ゼロトラストセキュリティは、非常に効果的なリスク管理対策になりますが、次のような課題もあります。
- コストの増大
システム全体を対象とするとコストが過大になるケースがあります。既存システムは上記の原則に沿って見直す必要があり、多くの場合で新たな技術やツールの導入も必要になってきます。その初期投資コストが問題です。運用管理の仕組みも変わりますからランニングコストも変動します。一般的にはセキュリティに関する支出が増える傾向にありますから、費用面での検討が必要です。 - ユーザーの利便性の低下
実装方法によってはユーザーが多要素認証などのセキュリティチェックを求められるこため、作業が煩雑となる可能性があります。 - 既存インフラとの互換性
既存のネットワーク機器やソフトウェア、ネットワークに追加の設定やアップグレードが必要になることがあります。また場合によってゼロベースの再構築になるため、コストや構築期間を考慮すると実現不可能と判断される場合もないとは言えません。
ゼロトラストセキュリティ導入のステップは?
以上のことを念頭に置き、まずは自組織でどのようにゼロトラストセキュリティに近づけるのかを検討されることをお勧めいたします。最低限、次のような項目について自組織内のツールや人員で対応できるかどうかを検討してみるとよいでしょう。
【ゼロトラストセキュリティ導入のステップ】
- デジタル資産の識別と分類を行う
組織内のすべてのデータ、アプリケーション、デバイスなどについて洗い出しを行い、それらを重要度に応じて分類します。 - アクセス制御の強化を行う
各ユーザーやデバイスのアクセス権を見直し、最小権限の原則に基づいて再設定します。例えば、経理の専用フォルダに経理以外のアカウントで入れないかや、個人フォルダに対して管理者権限を持っている人以外のアクセスできないかの確認、そもそもの管理者権限を不必要に多くの人に与えていないかなどを特に重点的にチェックします。 - 継続的なモニタリングと分析を行う
すべてのアクセスリクエストや稼働状況を継続的に監視し、異常を検出した場合は即座にネットワーク遮断などの対処が実行できる仕組みを用意します。 - セキュリティポリシーの定期的な見直しを行う
セキュリティポリシーは時間経過により陳腐化します。ポリシーを定期的に見直し、常に最新の脅威情報や技術進化に対応した対策に取り組むようにします。
なお、ゼロトラストセキュリティ実現には一つのソリューションやツール導入では困難です。どのように技術やツールを組み合わせて、低コストでしかもユーザーの利便性を高められるようにしながら、ゼロトラストセキュリティを構築しなければなりません。何から着手し、どのような手順でゼロトラストセキュリティに近づけられるのかについて、弊社では小さな領域から全組織領域までの改善提案が可能です。ぜひお気軽にご相談ください。
“コスパ最強”の勤怠管理システム
