少し前からセキュリティ業界で「ゼロトラスト」という用語をよく耳にするようになりました。そのままの意味でとらえると「信頼がない」となります。セキュリティに関わる用語ではあるのですが、一体どのようなものでしょうか。今回は「ゼロトラスト」とは何か?どのうように実現するのか?について説明したいと思います。

ゼロトラストとは

「ゼロトラスト」とは、「ネットワークに関するすべてを信頼しないという考え方」のことをいいます。ここでのすべてとは、企業や組織におけるネットワークの利用者であり、デバイスであり、アプリケーションであり、ネットワーク自体のことを指します。そして信頼しないとは、上述したすべては「安全ではない可能性があり、外部及び内部から攻撃される可能性がある」という前提条件に基づいてネットワークを利用することです。

このような考え方が重要視されるようになった背景としてはいくつか考えられます。

クラウドサービスの普及

背景の一つとして、企業のクラウドサービス利用率が増加したことが挙げられます。従来の社内ネットワーク(オンプレミス環境)では、社内だけで重要情報を保管・処理していたので、ネットワークの外部と内部の境界だけしっかりと監視・防御していれば安全だと考えられていました。それに対してクラウドサービスでは、データは外部サーバーに保管されます。つまりクラウドサービスの普及によって、内部ネットワークと外部ネットワークの境界が曖昧になり、ネットワーク内で安全とされる場所が変化しました。

テレワークによる影響

働き方改革の施策の1つであるテレワークが、企業のネットワーク体制に与えた影響は非常に大きく、それと同時に「ゼロトラスト」の重要性を高めました。テレワークでは、働く場所や使う機器が社内のものとは異なります。データにアクセスするためのネットワークも普段とは違うものになるため、危険なネットワークにアクセスしてしまうリスクがあります。そのようなリスクを避けるためには、社外においても業務に使用されるデバイスやネットワークを監視することが大切です。

内部における信頼性の欠如

近年、外部からサイバー攻撃だけでなく、内部不正による情報漏えいが多発しています。IPAが公開している「情報セキュリティ10大脅威 2020」では、第2位に「内部不正による情報漏えい」がランクインしています。2019年では第5位だったことを考えると、一概には言えませんが、クラウドサービスの普及によって情報の可用性が向上した反面、情報が持ち出しやすくなってしまったことが原因の1つだと考えられます。

また、使用可能なソフトウェアやデバイスは、本来は企業の情報システム部が管理していることが多いですが、社員や部署が独自でソフトウェアを導入したり、クラウドサービスを利用したりする「シャドーIT」が横行していることも問題の1つです。「シャドーIT」は情報漏えいや不正アクセスされやすというリスクがあリます。その対策として、業務で利用されるデバイスやソフトウェアを会社でしっかりと管理することが望ましいです。

ゼロトラストネットワークに必要なこと

ネットワークを外部と内部で分けて境界のみを監視する方法では、外部にあるデータの安全を確保したり、内部不正を防ぐことが難しくなってきました。その課題を解決するために「ゼロトラスト」という考え方に基づいて構築するネットワークが、「ゼロトラストネットワーク」です。

「ゼロトラストネットワーク」を実現するためには、「通信アクセスの可視化」や「ログの取得・保護」、「必要最低限のユーザー権限の付与」といったことが重要です。これらの目的は、従来の内部と外部でネットワーク境界を分けた結果、「外部ネットワークからのアクセスだけ監視する」や「外部からのアクセスだけログを取得する」などの偏ったセキュリティ対策から抜け出し、「業務で利用されるネットワークをすべて監視する」といった点で共通しています。

具体的に対策すべき点としては以下が挙げられます。

  • ID/ パスワードは正規のユーザーが利用しているか
  • 利用しているクラウドサービスに脆弱性がないか
  • アクセスが正規のネットワークを通じて行われているか
  • ユーザーの操作PCで不審な挙動がないか
  • デバイスがマルウェアに感染していないか

おわりに

今回はセキュリティ業界で注目されている「ゼロトラスト」について説明しました。

「ゼロトラストネットワーク」の実現には、本稿で紹介した対策以外に、デバイスやアプリケーションの監視を自動で行うセキュリティソリューションの導入や、インフラ部分の高度な技術力が効果的な場合もあります。しかし、まずは自分たちの組織の現状をよく知ってから、効果的なセキュリティ対策を検討することが必要です。

ISMSを検討・構築することで自分たちに必要なセキュリティ対策を特定することができるので、既にISMS認証を取得している組織も、これからの組織も、ISMSに「ゼロトラスト」を組み込みつつ、セキュリティレベルの向上を目指してはいかがでしょう。

参考

セキュリティ業界で話題の「ゼロトラスト」とは

カテゴリー: 情報セキュリティ

少し前からセキュリティ業界で「ゼロトラスト」という用語をよく耳にするようになりました。そのままの意味でとらえると「信頼がない」となります。セキュリティに関わる用語ではあるのですが、一体どのようなものでしょうか。今回は「ゼロトラスト」とは何か?どのうように実現するのか?について説明したいと思います。

ゼロトラストとは

「ゼロトラスト」とは、「ネットワークに関するすべてを信頼しないという考え方」のことをいいます。ここでのすべてとは、企業や組織におけるネットワークの利用者であり、デバイスであり、アプリケーションであり、ネットワーク自体のことを指します。そして信頼しないとは、上述したすべては「安全ではない可能性があり、外部及び内部から攻撃される可能性がある」という前提条件に基づいてネットワークを利用することです。

このような考え方が重要視されるようになった背景としてはいくつか考えられます。

クラウドサービスの普及

背景の一つとして、企業のクラウドサービス利用率が増加したことが挙げられます。従来の社内ネットワーク(オンプレミス環境)では、社内だけで重要情報を保管・処理していたので、ネットワークの外部と内部の境界だけしっかりと監視・防御していれば安全だと考えられていました。それに対してクラウドサービスでは、データは外部サーバーに保管されます。つまりクラウドサービスの普及によって、内部ネットワークと外部ネットワークの境界が曖昧になり、ネットワーク内で安全とされる場所が変化しました。

テレワークによる影響

働き方改革の施策の1つであるテレワークが、企業のネットワーク体制に与えた影響は非常に大きく、それと同時に「ゼロトラスト」の重要性を高めました。テレワークでは、働く場所や使う機器が社内のものとは異なります。データにアクセスするためのネットワークも普段とは違うものになるため、危険なネットワークにアクセスしてしまうリスクがあります。そのようなリスクを避けるためには、社外においても業務に使用されるデバイスやネットワークを監視することが大切です。

内部における信頼性の欠如

近年、外部からサイバー攻撃だけでなく、内部不正による情報漏えいが多発しています。IPAが公開している「情報セキュリティ10大脅威 2020」では、第2位に「内部不正による情報漏えい」がランクインしています。2019年では第5位だったことを考えると、一概には言えませんが、クラウドサービスの普及によって情報の可用性が向上した反面、情報が持ち出しやすくなってしまったことが原因の1つだと考えられます。

また、使用可能なソフトウェアやデバイスは、本来は企業の情報システム部が管理していることが多いですが、社員や部署が独自でソフトウェアを導入したり、クラウドサービスを利用したりする「シャドーIT」が横行していることも問題の1つです。「シャドーIT」は情報漏えいや不正アクセスされやすというリスクがあリます。その対策として、業務で利用されるデバイスやソフトウェアを会社でしっかりと管理することが望ましいです。

ゼロトラストネットワークに必要なこと

ネットワークを外部と内部で分けて境界のみを監視する方法では、外部にあるデータの安全を確保したり、内部不正を防ぐことが難しくなってきました。その課題を解決するために「ゼロトラスト」という考え方に基づいて構築するネットワークが、「ゼロトラストネットワーク」です。

「ゼロトラストネットワーク」を実現するためには、「通信アクセスの可視化」や「ログの取得・保護」、「必要最低限のユーザー権限の付与」といったことが重要です。これらの目的は、従来の内部と外部でネットワーク境界を分けた結果、「外部ネットワークからのアクセスだけ監視する」や「外部からのアクセスだけログを取得する」などの偏ったセキュリティ対策から抜け出し、「業務で利用されるネットワークをすべて監視する」といった点で共通しています。

具体的に対策すべき点としては以下が挙げられます。

  • ID/ パスワードは正規のユーザーが利用しているか
  • 利用しているクラウドサービスに脆弱性がないか
  • アクセスが正規のネットワークを通じて行われているか
  • ユーザーの操作PCで不審な挙動がないか
  • デバイスがマルウェアに感染していないか

おわりに

今回はセキュリティ業界で注目されている「ゼロトラスト」について説明しました。

「ゼロトラストネットワーク」の実現には、本稿で紹介した対策以外に、デバイスやアプリケーションの監視を自動で行うセキュリティソリューションの導入や、インフラ部分の高度な技術力が効果的な場合もあります。しかし、まずは自分たちの組織の現状をよく知ってから、効果的なセキュリティ対策を検討することが必要です。

ISMSを検討・構築することで自分たちに必要なセキュリティ対策を特定することができるので、既にISMS認証を取得している組織も、これからの組織も、ISMSに「ゼロトラスト」を組み込みつつ、セキュリティレベルの向上を目指してはいかがでしょう。

参考

Author: 柴田 大輔
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする