ゼロトラストセキュリティとは?対策も一緒にわかりやすく解説(vol.11)
ランサムウェアなど新たな脅威が日々出現する中、セキュリティ対策はどの企業にとっても重要な課題でしょう。従来、ファイアウォールなどで社内/社外の境界線を強固にすることで、企業の持つ情報は保護されるとされてきました。社内であれば安全だろう、と考えられていたということですね。
しかし、テレワークの拡大や企業におけるクラウドサービスの利用などにより、もはやその境界線は意味をなさなくなっています。さらに社外から攻撃されることによる情報漏洩等の危機だけではありません。社内から機密情報等が不正に持ち出される危機もあり、「社内なら安全!」という考え方は成立しなくなっているのです。
こういった状況で広まっているのが「ゼロトラスト」という考え方です。「Zero+Trust」、つまり「何も信頼しない」。これはどのような考え方なのでしょうか。本記事ではゼロトラストの考え方の基本をおさえ、それを前提としたセキュリティ対策の在り方についてご紹介していきます。
ゼロトラストとは
ゼロトラストという言葉はスティーブン・ポール・マーシュによる造語であり、1994年に彼のコンピュータセキュリティに関する博士論文で提唱されたものです。セキュリティの信頼性について境界をなくしていくという議論は続き、2010年代後半になってようやくゼロトラストを原則としたアーキテクチャが普及していくこととなります。
在宅勤務をする場合、自宅のネットワークを業務に利用するケースがあるでしょう。業務に利用する端末そのものも企業から支給されるものに限らず、個人のスマートフォンなどを業務関連で利用している方もいるかと思います。業務のためのネットワークが「社内」という限定的な場所に留まらなくなってきたのです。これが「セキュリティの信頼性について境界をなくしていく」というゼロトラストの考え方であり、「ゼロトラストを原則としたアーキテクチャの普及」への流れになっています。
クラウドサービスを利用する企業が増えてきていることも、ゼロトラストアーキテクチャ普及の一因となっています。クラウドサービスは提供されるサービスの種類も様々で、物理サーバーの管理・運用保守の負担を軽減しながら社外からのアクセスも可能にする、利便性の高いものです。しかし、従来社内で管理していた情報資産が外部に置かれるため、やはり社内/社外の境界線での防御が難しくなります。
ゼロトラストの原則では、社内外問わずすべてのトラフィックを信用しません。情報資産や社内システムのアクセスについてはすべてチェックし、アクセスの制御などを行っていきます。何も信頼せずに確認し、それぞれを認証・認可することによってランサムウェアをはじめとした脅威を防ぐのです。
ゼロトラストのセキュリティ対策
では社内のトラフィックも信用しないとするなら、どのようなセキュリティ対策を講じることができるのでしょう?
危険な端末やユーザーからのアクセスそのものを防ぐというのが真っ先に考えられるかもしれません。こういった防御策のためには、認証情報を利用して許可された端末・ユーザーしか使用できないようにしてしまうという対策が考えられます。より効果的な策としては、ID・パスワードによる認証のみではなく、多要素認証の導入、定期的なパスワード変更の義務化、なども考えられるでしょう。
内部不正の対策としては、ユーザーの動作を監視するようなログ収集を行うという方法が考えられます。しかし、いくら監視をしていても、すでに不正な情報持ち出しや攻撃が行われた後では意味がありません。その対策としてセキュリティ製品を導入することが重要なのです。
まとめ
システム管理者の負担や対策のためのコストなど、ゼロトラストセキュリティ実現の壁は高いように思われます。しかし、対策を怠ることによる被害や損失はそれよりも甚大であり、取り返しのつかない状況に陥ります。
自社のセキュリティ対策について、いま一度確認してみませんか?
本記事ではユーザーの挙動監視によるセキュリティ対策に触れましたが、AppGuardはマルウェアや不正プログラムに対して、まさにゼロトラストの思想で設計されたセキュリティ製品となっております。ランサムウェア対策やemotet(エモテット)対策にも効果的なソリューションです。
そこで「ランサムウェア対策」と「emotet(エモテット)対策」について学習できる資料があります。弊社ではランサムウェア対策やEmotet(エモテット)対策を学びたい方に参考になる資料「ランサムウェア被害・EMOTETの脅威をこっそり学べるガイド」をご用意しています。本資料は企業のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。