ゼロトラストが必要とされる意味と課題を知ってみよう(vol.22)
サイバー攻撃の手法は日々巧妙化を極め、セキュリティリスクは顕在化してきています。 その流れをうけて提唱されているのが「ゼロトラスト」というセキュリティの考え方になります。ゼロトラストの概要をわかりやすく説明いたします。
ゼロトラストとは
ゼロトラストとは、『トラスト』が『ゼロ』 つまり、「何も信頼しない」という大前提のもとに、対策を考案する考え方のことです。
サイバー攻撃は日に日に進化し、その手法は巧妙化を極め、セキュリティリスクは高まるばかりです。その流れをうけて提唱されるようになったキーワードの一つが「ゼロトラスト」というセキュリティの考え方になります。
「Verify and Never Trust(決して信頼せず必ず確認せよ)」。ゼロトラストの概念は決して新しいものではなく、2010年に米国の調査会社であるForresterResearch社によって提唱されました。それまでは「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線上にセキュリティ対策を施す「境界型防御」が主流でした。
「境界型防御」が「Trustbut Verify(信ぜよ、されど確認せよ)」であるのに対して、ゼロトラストは「Verify and NeverTrust(決して信頼せず必ず確認せよ)」と提唱しています。
つまり、ネットワーク・アクセスの内部と外部を区別せず、守るべき情報資産にアクセスするものは全て信用せずに検証することで、脅威を防ぐ考え方です。ここ数年、内部からの情報漏洩が多発し、セキュリティ管理に対する危惧が急激に高まっていました。さらにテレワークの普及と、それに伴うセキュリティリスクの増加が、ゼロトラストへの関心を一気に助長したと言えます。
ゼロトラストの必要性
①リモートアクセスの日常化
コロナによる生活形態の変化に伴い、オフィス業務もテレワークが主体となり、従業員が使用するデバイスも多様化していることから、データの保護が困難になってきています。従来は、物理的な社内ネットワークがセキュリティ対策としての役割を担っていましたが、クラウド環境の活用がいまや当たり前となりました。セキュリティの境界線がネットワークから個人の端末へとシフトし、新たな対策が求められています。
②セキュリティ境界の変化
これまでのセキュリティ対策は、機器や人、ネットワークなどを「外」と「内」に分け、境界上で監視や制限、検証を行う「境界防御」が一般的でした。インターネットとの通信など「外」とのやり取りは厳重に制御する一方で、社内LANの端末は認証無しでサーバにアクセスできるなど、「内」の存在は無条件に安全である前提で信頼していました。しかし、近年ではクラウドサービスの導入や、自宅からのリモート接続や出先からのモバイル接続などで「内」と「外」の区別が曖昧になってきています。
ゼロトラストはこうした状況に対処する考え方です。「内」の存在であっても「外」同様に信頼せず、外からのアクセスと同様に認証や権限の検証、通信経路の暗号化、操作や通信の記録(ログ)の保全、不審な通信や操作の検知や阻止といった対策を行います。
③内部不正対策
企業にとって脅威となるのは外部の攻撃者やマルウェアだけではありません。例えば、悪意を持つ従業員が不正に重要な情報を持ち出したり、外部に企業システムの認証情報を提供したりするリスクも存在しています。そういった内部不正への対策においては、従業員であっても信頼せず都度認証を行うというといったゼロトラストセキュリティも非常に重要になってきます。
このように注目されてきているゼロトラストの考え方ですが、当然課題もあります。では、いくつか見ていきましょう。
ゼロトラストの課題
①業務効率の低下
これまで内部のシステム間を往来する際などは一度の認証で業務を進められました。しかしゼロトラストベースになると内部も信用しないため、その都度認証行程やアクセス権限の付与などが必要になってきます。必然的に工数が増えていき、業務効率が低下していく恐れがあります。
②セキュリティコストの上昇
ゼロトラストベースのセキュリティ環境を構築するには、SOARやEDRなど、さまざまなツールやサービスを導入する必要があります。結果としてセキュリティコストが増加してしまうのは悩ましいところです。
③セキュリティ運用担当者の必要性
前述したように、ゼロトラストに基づいたセキュリティ環境を構築するには、さまざまなツールを導入しなくてはなりません。自社の業務にマッチした適切なツールを選定する必要があるため、運用担当者には必要な知識をもつ専任のスタッフが求められます。
④都度認証の煩雑さ
ゼロトラストベースのセキュリティ環境で業務を行う場合、社内のデータや業務で使用するアプリなど、その都度何度も認証を強いられるため、その煩わしさから社内に反発が生じ、本業の遂行に支障をきたすケースがあります。
⑤トラストの信憑性
ある時点で信用できるものと判断されたものが、今後も無条件に信用できる保証はありません。ゼロトラストにおいても、完全に信頼性のある、かつ完璧なセキュリティシステムは不可能です。クラウドサービスを利用した業務が日常となった今日、「外部」と「内部」の「境界」というものが非常に曖昧となり、完全な区別が困難な状況になってきています。
まとめ
「ゼロトラストが必要とされる意味と課題を知ってみよう」と題して、ご紹介してまいりました。ここまで見てきましたとおり、すべてのものを『信用できるもの』『信用できないもの』に完全に分類することは不可能です。また現時点で『信用できるもの』が明日以降もずっとそうであり続けるかどうか、も不透明です。
ではどうすればよいのでしょう? 解決策のひとつとして、対象を『もの』ではなく『行為』でとらえるのです。『誰』もしくは『何』が行うかによらず、『不正行為』を防止すればよいのです。
もはやウィルスを完全に除外することは不可能な時代です。我々の実社会の現状と同じように、システム環境もウィルスと共存しながら安全に生きていく術を見出せばよいのです。ウィルスの存在を認めた上で『不正行為』は許さない、という新時代のセキュリティ対策があります。
AppGuardは、『侵入』『感染』されても『発症』させない、いわば、サイバー攻撃に対するワクチンのような存在になります。
もしランサムウェアなどに侵入されても、「発症させない」ようにクライアント・OS環境を悪質な動作から防御します。ゼロトラスト時代の新しいセキュリティ・ソリューションAppGuardについては、当サイトを特長・機能ページをご覧ください!