明日からでも実践できるゼロトラスト セキュリティ


いやはや、世知辛い世の中になりましたなぁ~

とは昭和のホームドラマで聞いたようなセリフですが、最近は聞かなくなりました。たとえば、玄関の戸締りが日中は要らなかった時代があって、それがやがて徐々にいつでも鍵をかける習慣に変わってきた頃、世知辛くなったなぁと表現するおじさんがいたのでしょう。

今はドアの施錠はセキュリティの基本中の基本なので、それが厳し過ぎるかのような感想を述べる人はいなくなりました。

以上は、住環境のはなしです。システム環境は、住環境より時代がひと回り新しいみたいで、当初はのんびりゆるやかな時代があったものの、年々物騒になってきて、近頃では身代金目当てのデータ誘拐事件(ランサムウェア攻撃)も頻発するようになりました。

まったく世知辛くなったものです。人(ユーザー)を見たら泥棒と思え、が合い言葉になりつつあります。

いや、実際には、そんな合い言葉は誰も使っていないのですが、ゼロトラスト(Zero Trust)セキュリティはたしかに合い言葉になりつつあるので、同じようなものです。つまり、誰も信用してはならない、ということです。

でも、ここ数年セキュリティ コンセプトとして脚光を浴びているゼロトラストを実際に導入している企業はまだ少ないようです。ITセキュリティの専門家コミュニティで構成されるCybersecurity Insidersのレポートによれば、2019年末までにゼロトラスト ポリシーを施行した企業は15%にすぎず、50%以上の企業が近い将来の施行を計画しているそうです。ゼロトラストを目指している企業は非常に増えているのですが、実践している企業は少ないのが現状です。

IT業界に新しいコンセプトが登場すると、導入を検討するものの実践するには敷居が高かったりするのは毎度のことです。「検討することに意義がある」みたいなことが常態化している感があります。

しかし、ゼロトラストをそれと一緒にするべきではありません。

災害への備えは思い立ったが吉日、考えるよりも行動をすべきなのと同じで、システムセキュリティの強化も検討している暇があったら、すぐに実践すべきです。もちろん、ゼロトラストを完璧にするには、それなりの準備が必要ですが、ゼロトラストのコンセプトを取り入れるのは、明日からでも始められます。

そもそもゼロトラストとは

従来、企業は、社内システムのセキュリティを確保するために、ネットワーク アクセスやセグメンテーションを管理して、社内のトラフィックを外部のトラフィックから隔離していました。つまり、内部のトラフィックは信用でき、外部のトラフィックは信用できない(ゼロトラスト)という考え方です。

これは、戸締りをしっかりすれば泥棒に入られないが、一度入られてしまったら盗み放題を許す状態に似ています。

実際に、データ侵害のもっとも深刻な被害は、企業内部のシステムにハッカーの侵入を許してしまったときと相場が決まっています。侵入経路は、システムの脆弱性だったり、誰かのパスワードが盗まれたり、あるいは、ファイアウォールの穴だったりします。一度侵入を許してしまったら、侵入者は社内システムを自由に行き来し、業務上欠かせない重要データに被害をもたらします。

これに加え、コロナ禍は在宅勤務の普及とSaaSの活用を加速させました。つまり、これまで企業ネットワークの内側にあった重要データが、企業ネットワークの外側にも置かれるようになったのです。

そこで注目され出したのがゼロトラストです。外部のユーザーは信用できないが内部のユーザーは信用できるというこれまでの前提をくつがえし、内部のユーザーも完全には信用しない、まさに「ユーザーを見たら泥棒と思え」の世知辛いコンセプトです。

したがって、社内システムにアクセスを試みるユーザーは一人残らず認証する必要があり、顔パスなんて論外です。ユーザーの権限は最低限に絞られ、個々のユーザーには担当業務を遂行するのに必要なアクセスだけが許されます。企業は、多要素認証、IAM(アイデンティティ・アクセス管理)ポリシー、ネットワーク アクセス制御、暗号化などを組み合わせ、これらを適用することができます。

さらに重要なのがモニタリングです。ゼロトラストを実践するためには、外部、内部を問わず、すべてのリクエストを監視対象にしなければなりません。たとえ必要最低限のアクセスだけを認可していたとしても、当然ながら、誰かしら重要データにアクセスできるユーザーは必ず存在することになります。その人物がどんなに清廉潔白でも、その人の人間性が問題なのでなく、そのアクセス権限が存在する、ということが問題なのです。そのアクセス権が盗用され、そこを通じてシステム設定が変えられたり、データが漏洩する可能性は否定できません。

同時に、どんなに絶大な信用をおけるユーザーも突然、悪人になるかもしれない、という考え方も不可欠です。そう、この世の誰も信用してはいけないのです。もはや、単に世知辛いだけでなく、激辛レベルの世知辛さです。

だから、ユーザーアクティビティも、一切の例外を作らず、すべて継続的にモニタリングし、分析する必要があります。セキュリティ リスクは早期発見でつぶしていくのが鉄則になります。

ゼロトラストは新しいテクノロジーではなく、セキュリティモデル

ここまでの説明からわかるように、ゼロトラストは新しいテクノロジーではなく、取り組み方の問題です。もちろん、徹底するためには新しいツールの導入も必要な場合があるでしょうが、ゼロトラストの取り組み自体は、すぐにでも着手できるはずです。ゼロトラスト モデルを施行するかしないかの違いは、セキュリティ侵害が発生したときに、その被害を最小限に食い止めるか、重要データにおよぶ大惨事につながるかの分かれ目になる可能性があります。ユーザーのアクセス権限が最小限に設定されていれば、そのアクセス権が乗っ取られても、あるいは、そのユーザーが産業スパイでも、被害はその権限がおよぶ範囲内だけに抑えられます。

まだゼロトラスト セキュリティに着手していない企業は、既存のユーザーID、ネットワーク設定、アプリケーションをひと通り点検することから始めるのが得策です。すべてをくまなく点検すれば、幽霊アカウントや、誰かが無許可でインストールしたアプリケーション(シャドーIT)の一つや二つは出てくるに違いありません。権限過多のユーザーも少なからずいることでしょう。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください