ゼロトラストネットワークの考え方をセキュリティに反映すべき理由とは
- INDEX
-
ゼロトラストネットワークについて理解し、セキュリティ強化に役立てたいと考えた場合、今までとは違った考え方を受け入れる必要があります。
今回は、ゼロトラストネットワークに関する基礎知識やゼロトラストネットワークの考え方をセキュリティに反映すべき理由、ゼロトラストネットワークを導入するために必要なものについてご紹介します。
ゼロトラストネットワークに関する基礎知識
はじめにゼロトラストネットワークに関する基礎知識を押さえておきましょう。
ゼロトラストとは何か
ゼロトラストとは2010年にJohn Kindervagが提唱したものであり、性悪説に基づいてすべてのアクセス及びトラフィックを信頼せず、疑うことを前提としたセキュリティの考え方です。そしてゼロトラストネットワークはゼロトラストに基づいたネットワークセキュリティの構築を指します。
例えば、サイバー攻撃によって社内や組織内のサーバーにログインされてしまった場合、システム的には悪意のある第三者と認識できず、ログインした権限内で悪さをされてしまいます。これは従来基本とされてきた「境界型のセキュリティ対策」の弱点といえる部分です。
ゼロトラストネットワークの考え方であれば、ログイン情報による認証以外に、下記のような形で検証を試みます。
・承認されたデバイスからのアクセスかどうか
・普段と違うロケーションやネットワークからのアクセスではないか
・怪しい行動や不適切と思われる操作をしていないか
検証した結果、信頼に値しない場合は拒否、もしくは利用させない対応を取ります。悪意のある第三者はIDとパスワードを奪っただけでは何もできず、企業や組織側は被害を受けずに済みます。
ゼロトラストネットワークが必要な理由
ゼロトラストネットワークが必要な理由はサイバー攻撃や内部不正など、IT技術が進んでも対処しきれないリスクに対応するためと言えます。悪意のある第三者の不正ログイン及び不正アクセスによってネットワークやデバイスにログインされても、それ以上は何もさせない。または内部不正において本人が自分のアカウントやログイン情報を悪用したとしても、不審な動きがあればすぐに察知し対処できる。これらは、従来の境界型のセキュリティでは防げない部分です。ゼロトラストネットワークの考え方に基づいて認証や検証を行うことは、サイバー攻撃やマルウエアに感染したデバイス、または内部不正よる被害を最小限、またはゼロにするために有効な対策と言えるでしょう。
ゼロトラストネットワークがセキュリティの在り方を変える
ゼロトラスト及びゼロトラストネットワークは決して新しい仕組みや考え方ではありません。しかし、実際問題としてサイバー攻撃も高度な技術や心理的に「人」を騙すことに長けてくるようになったことから、認証したから信じるという仕組みでは情報資産を守りきれなくなりました。
例えて言うと、従来の境界型のセキュリティでは警察官の服装をしていれば警察官だと信じてしまうような方法です。警察官の服装をしていたとしても警察官とは信じない。警察手帳が本物に見えたとしても信じない。警察本部に直接連絡し、本人が在籍していることを確認して初めて警察官だと信じるというプロセスを踏むのが、ゼロトラストネットワークの考え方と言えます。そしてこのような考え方でセキュリティを見直すこと、在り方を変えることが、内外問わず様々なリスクから従業員や企業、組織を守るためには必要だということです。
ゼロトラストネットワークの考え方をセキュリティに反映すべき理由
次に、ゼロトラストネットワークの考え方をセキュリティに反映すべき理由をご説明します。
性悪説に基づいたセキュリティ設計で安心・安心を手に入れられる
性悪説に基づいたセキュリティ設計を構築することで、従来の境界型のセキュリティよりも安心・安全を手に入れることができます。
・IDやパスワードを奪われた
・デバイスを乗っ取られた
・マルウエアに感染してしまった
・内部不正を試みられた
・デバイスを盗まれて悪用された
上記のような場合においても、システム的に検知し、リスクに対処できるようになります。もちろん、ゼロトラストネットワークに基づいたセキュリティ設計、システムの導入は必要となりますし、社内や組織内のセキュリティに関する意識改革や情報共有、注意喚起も必要です。
人はミスをするもの、間違えるものという考え方
ゼロトラストネットワークの考え方では、うっかりミスやヒューマンエラーなど、人はミスをするもの、間違えるものということを前提にシステムや仕組み、作業手順を構築します。
・間違えて重要なデータをUSBメモリにコピーしてしまった
・USBメモリや記憶デバイスを置き忘れてしまった
・顧客情報や機密情報を誤って送信してしまった
・別の顧客の契約と勘違いして割引してしまった
・誤って怪しいメールを開いて、しかも添付ファイルを開いてしまった
上記は誰にでも起こり得ることであると同時に、情報漏えいによる重大なインシデントとなるような状況と言えます。これらの状況になった場合に水際で食い止められる仕組みを構築することも、ゼロトラストネットワークの考え方のひとつです。
クラウド技術やテレワークより安全に利用できる
インターネットやスマートフォンの普及により、誰でも最新技術の恩恵を受けられるようになりました。しかし、必ずしもインターネットでつながった相手が善意の顧客やユーザーとは限らないのも事実です。そして、クラウド技術やテレワークにおいては、外部からのアクセスを正確かつ安全につながなくてはなりません。
ゼロトラストネットワークの考え方を取り入れることで認証を受けた人、承認されたデバイス、以前と同じロケーションやネットワーク環境だと検証されれば、利便性や効率性を損ねることはありません。悪意のある第三者の介入を防ぎ、善意の顧客やユーザー、もしくは従業員がアクセスしやすくなる仕組みを構築するためにも、ゼロトラストネットワークを意識したセキュリティ対策が必要となるのです。
ゼロトラストネットワークを導入するために必要なもの
次にゼロトラストネットワークを導入するために必要なものをご紹介します。
外部からのアクセスや認証、行動を制限・監視・管理できる仕組み
ゼロトラストネットワークにおいては、外部からのアクセスや認証、行動を制限・監視・管理できる仕組みが必要です。従来の境界型のセキュリティと似ている部分ではありますが、そして、ひとつの方法による認証で終わらせるのではなく、複数の要素で認証と検証を行う仕組みが必要です。
透明性の確保と従業員や顧客及びユーザーの行動を可視化するシステム
従業員が作業した内容、アクセスしたファイル、PCの操作ログ、ブラウザで開いたページなど、様々な情報を取得し監視できる仕組みで、不審な行動をしていないか、乗っ取られたデバイスではないか、内部不正ではないかなどを検知するシステムも必要になります。オンラインサービスを提供するのであれば、顧客やユーザーのアカウントが悪用されていないかを検知する仕組みも必要です。
また、監視や管理と聞くと息苦しさを感じる方もいらっしゃいますが、現実的にはPC操作ログやアクセスログなどを取得し監視や管理することで透明性が確保されます。言い換えれば、内部不正をしにくい環境作りになること、システム的にログが残っていることでお互いがお互いを信頼できるということです。パソコンが乗っ取られた、マルウエアに感染した、他の人が勝手にデバイスを触った、または何らかのサイバー攻撃を受けて被害が起きた場合に、本人ではないという証明となり、身の潔白を示せるようになります。
情報資産の一元管理やセキュリティ強化が可能なツール
基本的になぜゼロトラストワークが必要かと言えば、情報資産やIT資産を守るためです。そのためにセキュリティ強化やセキュリティ意識の向上を行うのが企業や組織としての務めでもあります。そして情報資産を守るためには一元管理やセキュリティ強化が可能なツールを導入する必要があります。
例えば、当社の提供する「AssetView」であれば、承認したデバイスのみネットワークにアクセス可能にしたり、PC操作ログやアクセスログの取得や監視をしたりすることが可能です。その他にもサイバー攻撃対策、内部不正対策、情報漏えい対策など、セキュリティ全般の対策となる機能が備わっています。ゼロトラストネットワークを構築するための基盤になることは間違いありませので、この機会にぜひご相談、お問い合わせください。
まとめ:サイバー攻撃に強く、従業員が安心できるツールの導入を
今回は、ゼロトラストネットワークに関する基礎知識やゼロトラストネットワークの考え方をセキュリティに反映すべき理由、ゼロトラストネットワークを導入するために必要なものについてご紹介しました。
ゼロトラストネットワークを実現したいと考えていても、具体的にどうすれば良いかわからない場合もあるでしょう。まずはサイバー攻撃に強く、従業員が安心できるツールの導入を検討してみてください。同時にセキュリティの強化のために監視や管理があること、透明性が確保されることで逆に疑われずに済むということを理解してもらうことも大切です。
安易に信じないこと、疑うこと自体がセキュリティ性を確保するためであり、結果として情報資産やIT資産、そして従業員や顧客及びユーザーをリスクや脅威から守ることにつながります。そのためにもゼロトラストネットワークという考え方に基づいて、改めてセキュリティ対策を再構築することを検討してみてください。