テレワークやデジタルテクノロジーの活用が前提の時代に求められる「デジタルトラスト」とは:働き方改革時代の「ゼロトラスト」セキュリティ(1)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。初回は、「デジタルトラスト」「ゼロトラストセキュリティ」という考え方が求められる背景について。
デジタルテクノロジーの活用により企業や組織が新たな価値を創出するDX(=デジタルトランスフォーメーション)、新たなデジタルサービスを駆使して多様な働き方を実現する働き方改革、デジタルによって生み出された膨大なデータの活用により社会課題を解決するSociety 5.0など、現代の社会はICT(情報通信技術)による変革が一気に進もうとしています。
デジタルの世界と現実世界の融合が進むとともに、情報セキュリティに対する意識にも変化が起こっています。
「デジタルトラスト」という考え方
デジタルが単なるコンピュータ技術による省力化の領域を超え、新たな価値を生み出し、時には価値そのものとなっている今日、デジタルによってもたらされた恩恵に生じるリスクを正確に把握し対処する、「デジタルトラスト」という考え方が注目を集めています。デジタルの世界が私たちの日常的な生活領域にまで広がったことで、従来の情報セキュリティで語られてきた、組織のネットワークの安全だけではなく、データの安全性、信頼性、利用者のプライバシーやデータを取り扱う倫理・ポリシー、データに関する法律への対応といった考え方が必要とされるようになりました。
データは企業にとって重要な資産であるとともに、サービス利用者のプライバシーの一部でもあります。デジタルトラストは、デジタルによる社会の進化が進む上で、組織や利用者が生み出したデータをどのように活用すべきかを考える指標として、今後全ての組織が向き合うべき考え方といえます。
本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、デジタルテクノロジーのさらなる進化によって今後到来するデータ主導社会において、デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けします。
ゼロトラストセキュリティ=信頼しないセキュリティ
近年、注目を集めている新たなセキュリティコンセプトに、「ゼロトラストセキュリティ」があります。一見、デジタルトラストと反するような名称であるゼロトラストセキュリティは、その名の通り「全て信頼しない」ことを大きなコンセプトとしています。
従来の情報セキュリティの考え方では、ファイアウォールの外側にあるインターネットは「信頼しない」、組織の管理していないハードウェアは「信頼しない」、一度IDとパスワードを認証したユーザーは「信頼する」など、物理的な制約やルールとポリシーによって「信頼するもの」と「信頼しないもの」を区別してきました。
ゼロトラストセキュリティでは、守るべきものを「データ」とし、データへのアクセスを「全て信頼しない」ことで実現する情報セキュリティの考え方です。デジタルトラストや働き方改革時代に即したセキュリティコンセプトであるゼロトラストセキュリティについて深く掘り下げてみたいと思います。
ペリメタモデル=境界型セキュリティモデルの課題
ゼロトラストセキュリティが注目される背景として、働き方改革やM&Aなどの企業統合の加速による就労環境の多様化が考えられます。現代の働き方は、これまでのようにオフィスに同じ時間帯に出勤して働くといった通勤型の就労形態だけではありません。テレワーク(リモートワーク)やシェアオフィスの利用、拠点を持たないノマドワーカー的な働き方など、ネットワークやデジタルツールの利便性の高まりと併せて、多様なライフスタイルや生活環境に合わせた働き方が可能になっています。
物理オフィスを拠点とした就労環境では、多くの場合社内ネットワークが用意されています。テレワークやシェアオフィスからは、VPN(Virtual Private Network)でインターネット回線を経由して社内ネットワークに接続し、業務に必要な情報にアクセスして業務を行うのが通常です。
さまざまな人が利用する公共空間であるインターネットから、社内ネットワークを切り離すことで情報にアクセスできる利用者を制限し、情報を保護するコンセプトが従来の境界型セキュリティモデル(ペリメタモデル)です。
インターネットと社内ネットワークの境界に、ファイアウォールやIDS/IPS(侵入検知装置/侵入防止装置)、アンチスパム/アンチマルウェア、UTM(統合脅威管理)などのセキュリティソリューションを多層的に配置し、境界を出入りするパケットを検査することで社内ネットワークの安全を保障する方法です。利用者は社内ネットワークの中で、本人であることを確認する認証サービスを通して「自分が正当な利用者」として、与えられた権限の範囲で自由に利用することができます。
どのような悪者がいるかも分からない外の世界から、強固な城壁によって街を囲み、出入り口に配置した屈強かつ精鋭の門番たちが出入りする人や荷物を検閲して中の街を守るイメージは、一見鉄壁の守りが実現できているようにも思えます。
社内ネットワークが事業所や拠点といった物理的領域に制約されていた時代を経て、今ではモバイルネットワークとVPNを通じて、どこからでも社内ネットワークへの接続が可能です。また、通信モジュールを内蔵した小型のIoTデバイスが安価に入手できるようになり、社内ネットワークのどこに接続されるかも分かりません。デジタルテクノロジーの進化によって、守られるべき内側と危険な外側の間にはこれまでになかった新たな経路が誕生しているのです。
さらに、「Office 365」「Google Suite」をはじめとしたクラウドサービスの活用が進むことで、データはクラウド上にも広がり、守るべきデータの所在は社内ネットワークの中にとどまりません。
従来「危険」と考えていた境界の内側と外側の両方にデータがあり、外部からアクセスしてデータを参照する。利用者もデータの所在も、境界の内側にとどめておくことは不可能になっています。
守られているはずの境界の内側も、セキュリティ装置の監視を潜くぐり抜けるサイバー攻撃手法の進化や、従業員のメールやWebサイトの利用した侵入など、常に新たな脅威にさらされています。
従来型のペリメタモデルによる防御は、現時点でも有効で現実的なセキュリティ対策であることは間違いありません。しかし、ネットワークとデジタルツールを駆使した働く環境の変化により、完全なセキュリティ対策とは言い難い状態になっています。
このような状況に対して注目を集めるようになったのがゼロトラストセキュリティです。ゼロトラストセキュリティには、境界型のセキュリティモデルと比較して、下記のような特徴があります。
- 社内ネットワーク、インターネットといったネットワーク境界にとらわれない
- 過去に行われた認証や検証を信頼しない
- データにアクセスするたびに評価する
境界型セキュリティモデルが一度検査したパケットや認証した利用者を「信頼する」ことに対して、ゼロトラストセキュリティでは、過去に行われた認証や検証を信頼しません。データにアクセスするたびに行われる厳密な認証により、データそのもののセキュリティを保証します。
次回は、ゼロトラストセキュリティについて、詳細に
働き方改革やデジタルテクノロジーの進化によって新たに注目を集めるゼロトラストセキュリティ。次回は、ゼロトラストセキュリティについてより詳しく紹介します。
筆者紹介
仲上竜太
株式会社ラック SSS事業統括部次世代デジタルペネトレーション技術開発部 部長
進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラスナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。
Copyright © ITmedia, Inc. All Rights Reserved.