今までのネットワークセキュリティでは、会社内部と会社外部を分け、会社外部からの攻撃をブロックするようセキュリティを設け、会社内部からのアクセスだけを許可するという「境界型セキュリティ」というタイプが主流となっていました。ところがリモートワークを始め、ここ数年の働き方の変化に伴い社内外においてインターネットを経由し様々な業務をこなしたりサービスを利用する機会が増えたことにより、新しいセキュリティ対策である「ゼロトラスト」という考え方が広がってきました。この記事では、「ゼロトラスト」について調べ、その意味を理解できるよう説明していきたいと思います。
なぜ「境界型セキュリティ」ではセキュリティが不十分なのか?
境界型セキュリティ対策において、信頼できる会社内(内側)と信頼できない社外(外側)が境界線であり、この境界線でファイアウォールやプロキシ、セキュリティ機器などで対策を講じていました。インターネット通信を境界で制御したり監視したり、遮断することでサイバー攻撃を回避するというものでしたが、これだと保護の対象であるシステムやデータは会社内にないといけませんね。しかしながら、クラウドなどの普及などにより、会社外のインターネット上にも保護する対象が生まれてきました。この場合、境界型セキュリティやその考え方では対策しきれなくなってしまい、結果サイバー攻撃を回避できなくなってしまいます。そこで登場するのが「ゼロトラスト」という考え方です。
「ゼロトラスト」とは
ゼロトラストとは 会社内外のネットワーク環境における、今までの「境界」という概念ではなく、守るべき情報資産にアクセスする全てのものは、信用せずにその安全性を疑う。と言う情報資産への脅威を防ぐ、新しい考え方です。ゼロトラストセキュリティは、「全てを信用しない」という概念で、社内外のインターネットアクセスも、過去の認証や検証のデータも信用しません。データへアクセスする度に、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化や、ネットワークやそれに接続される各種デバイスの統合的なログ監視など厳密な認証を実施し、データそのもののセキュリティを保証するのです。
現在インターネット通信は社内外のパソコンだけでなくスマートフォンやタブレットなどのデバイスでも行えるようになったのもあり、どこからでも会社の情報資産にアクセスできるため、正規のアクセス権限などが攻撃者に悪用されることを想定したセキュリティモデルである「ゼロトラスト」は企業にとって新たなセキュリティということになり必要性はかなり高いです。こうした管理を実現する一つの方法が、IAM(Identity and Access Management)とよばれる技術です。ID・位置情報など、本人認証を精密に行い、アクセスを最小限にすることで正しいユーザーおよび正しい目的のアクセスのみを許可できるのです。
ゼロトラストのデメリットとは
ゼロトラストにもデメリットがあります。それが、費用と時間です。ゼロトラストセキュリティを導入するためには、現在のセキュリティを見直し、ゼロトラストセキュリティ対応の製品を検討し購入します。購入後は導入設置、そしてそれが終了するとセキュリティ担当部署は全通信、全端末の監視を行うようになります。もちろんそれは膨大な数に昇るため、今まで以上の作業が必要になってくるというわけです。
世界的に見たゼロトラストとは
日本だけでなく、もちろんゼロトラストへの注目は世界全体でも高まってきています。2021年にOkta Japanが、日本、アジア太平洋、北米、欧州、中東、アフリカを対象に実施した調査「The State of Zero Trust Security 2021」によれば、今後2年以内には全世界の7割~9割以上がゼロトラストの取り組みを実施するというデータが出ました。そんな中、日本は「ゼロトラストの導入予定はない」という回答が3割強となっており、世界的にもゼロトラストへの取り組みが遅れているという結果でした。また別の調査では2022年、サイバー攻撃がいちばん多かったのはアジア地域という結果も出ており、ゼロトラストへの遅れは、さらなるサイバー攻撃への危険因子となりうる可能性があります。
まとめ
ゼロトラストについて、説明してきましたが、いかがだったでしょうか。各企業がどのセキュリティ対策を強化すべきかよく検討が必要ではありますが、ゼロトラストでは、サプライチェーンやテレワークを狙ったランサムウェアの脅威に対しても対策できるため、早急な対応が望まれますね。