“今”と“これから”のセキュリティへの関わり方:セキュリティのWhy(終)
セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。最終回となる今回は、コロナ禍やDXなど、「今」と「これから」を見据えたセキュリティとは何か、基礎から解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
本連載の第1回でセキュリティの基本、第2回ではサイバー攻撃の動向と対策について見てきました。最終回となる今回は、世の中の変化とセキュリティの関係について見ていきます。新型コロナウイルスの感染拡大による環境の変化が起き、業種を問わずデジタルトランスフォーメーション(DX)の波が押し寄せる中、セキュリティへの関わり方について「今」と「これから」を紹介します。
激動の変化とセキュリティ
2020年初頭から始まった新型コロナウイルス感染症(COVID-19)の感染拡大により、私たちの生活と働き方は大きく変わりました。感染拡大防止のためにテレワークが定着し、ウィズコロナ、ポストコロナに向けてテレワークと出社を組み合わせるハイブリッドワークへの移行も進みました。こうした労働環境の変化はセキュリティの捉え方や考慮点を見直す契機となりました。
境界型防御からゼロトラストへ
サイバーセキュリティの世界ではこれまで、組織の「内側」と「外側」という考え方が一般的でした。簡単にいうと、組織の中と外を出入りするやりとりには注意するものの、組織内部のやりとりにはあまり注意しないというもので、「境界型防御」と呼ばれています。
境界型防御は組織内の最も外に近いところにファイアウォールなどのネットワーク機器や専用機器を設置して、ネットワークを内側と外側に区切り、外部から内部への通信、内部から外部への通信の両方について、許可する/許可しないを制限することで、怪しい通信を遮断します。この手法は長らく当たり前でしたが、弱点もありました。それは内部からは攻められないであろうという前提においてのみ有効という点です。内部で悪意ある攻撃者がいる、つまり内部不正があった場合には、対処できません。劣悪な労働環境下で、自分次第でセキュリティの隙を突く、自由に改変できるとしたならば、その人は何を考えるでしょうか。性善説に立った運用には限界があります。
そこで新たな潮流となっている概念が「ゼロトラスト」です。直訳すれば「何も信じない」――言葉だけを聞くとなんとも暗い気分にさせられますが、これが最近のセキュリティ対策で標準になりつつある考え方で「あらゆる場所、あらゆるユーザーからのアクセスを都度認証し、条件に合致する場合にはアクセスを許可する」というものです。
これによって、組織の内外を問わず、適切であればアクセスを許可する(不適切であればアクセスを拒否する)という形になり、境界型防御では機能しなかった内部不正にも有効な対策となります。
コロナ禍による働き方の変化
関連記事
真っ先にセキュリティ教育が必要なのはむしろ社長? 大日本印刷が経営層向けに講習を提供開始
大日本印刷は、経営層を対象とした情報セキュリティ講習を提供すると発表した。サイバートラストと連携し、情報セキュリティの潮流や各種ガイドライン、サイバー攻撃の実態などについて解説する。
残念なITリーダーが考えがちな「プログラムを増やせばセキュリティが強化される」の誤り
Acronisは、「Acronisサイバープロテクションオペレーションセンターレポート(上半期)」の日本語版を発表した。それによると2021年だけで、ビジネスメール侵害(BEC)によって24億ドルの損失が発生していることが分かった。
サイバー保険、企業が保険会社から加入を拒否される「不備」とは
BlackBerryはサイバー保険に関する調査結果を発表した。それによると調査対象となった企業の45%が、サイバー脅威に対する保険に加入していないことが分かった。一方、「加入しようとしたが保険会社から拒否される」ケースがあることも分かった。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。