検索
連載

企業の「ゼロトラスト」導入には何が必要か?――DXやSociety 5.0にもつながる“マンツーマンディフェンス”のセキュリティを手に入れるにはITmedia Security Week 2022夏

ITmedia Security Week 2022夏の「クラウド&ゼロトラスト」ゾーンで、慶應義塾大学 環境情報学部 教授の手塚悟氏による基調講演「企業のゼロトラスト導入に向けて何から始めるべきか」が行われた。コロナ禍においてテレワークの普及が加速するいま、これまでのモデルから脱却し、ゼロトラストの概念を導入するに当たって、主にセキュリティ面における留意点を語るセッションだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

環境の変化、防御の変化


慶應義塾大学 環境情報学部 教授 手塚悟氏

 ゼロトラストの考え方は、よく「性善説から性悪説へ」と表現されることが多い。手塚氏はこれに加え、「ゾーンディフェンスから、マンツーマンディフェンスへの戦略変更」に近いと述べる。

 テレワークが拡大し、システムもオンプレミスからクラウドに移行しつつある。さらには、サイバー攻撃も多様化、巧妙化するなど、現代のIT環境は大きな変化にさらされている。その結果、防御のモデルも変えねば対抗できない。そのモデルこそが、クラウドセキュリティであり、エンドポイントセキュリティであり、ゼロトラストだ。

 「社内で仕事をしていて、社内ネットを使う。これは既に従業員がオフィス内に入れたということ、つまり安全策を1つクリアして作業しているという前提となる。だから、ITを利用する人も社内のデータに自由にアクセスできた。これはボーダー、つまり“境界”を区切り、物理的な施策によって安全性を確保した前提で利用する、性善説の考え方だ」(手塚氏)

 ところが、コロナ禍の影響で、テレワークで仕事をする企業が増えた。これは社外の環境から、社内にアクセスするということだ。しかし、そのアクセスが不正なものなのか、それとも正式なID/パスワードを利用しているのか、さらにはそのIDを利用する人がなりすましをしていないかどうかが簡単には分からない。「だからこそ、考え方を性善説から性悪説にシフトせざるを得ない」と手塚氏は述べる。

 「他の言葉を使うなら、これまではバスケットボールのゾーンディフェンスのようなもの。ゾーンを破られると簡単に得点される。この戦略を変え、マンツーマンディフェンスにしよう。ゾーンを定義するのではなく、リソースにアクセスするときに、それが攻撃者ではないかどうかを判断する。社内/社外の概念から、常にチェックし、都度チェックする概念への切り替えが必要だ」(手塚氏)


境界防御とゼロトラスト(手塚氏の講演資料から引用)

 手塚氏は、これまでの境界防御に加えて、ゼロトラストの機能を組み合わせるのが現実解ではないかと考える。「境界線があいまいになるいま、従来の防御だけでは防げない。境界を侵入してくるだけでなく、エンドポイントも直接狙われる。だからこそ、ゼロトラストの考え方を組み合わせる」(手塚氏)

官民におけるクラウドの動向

 いま、クラウドサービスを活用することはもはや当たり前だ。それは“官”の世界でも例外ではない。「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(2017年5月30日閣議決定)および「デジタル・ガバメント推進方針」(2017年5月30日 高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定)では、政府情報システムにおいても「クラウド・バイ・デフォルト原則」が明言されており、今後はシステム環境がオンプレミスからクラウド型に変わることが国を挙げての基本方針だ。政府情報システムはクラウドサービスを、重要なツール、環境としている。

 クラウドサービスのメリットは、これまでも多数挙げられている。「非常にバラ色な環境に見える。が、最も重要なのは、クラウドに入った人がさまざまなところにアクセスできては困る。そこを、ゼロトラストの考え方で、きっちりマンツーマンディフェンスを取れるようにする」(手塚氏)

 そうしなければならない理由の一つは、クラウド利用における最も大きな課題として挙げられるのが「セキュリティ」だからだ。民間企業に聞くアンケートにおいても、政府内の調査においても、クラウドサービス導入時の不安要素としてセキュリティが最多となることが多い。これをゼロトラストの考え方を駆使し、不安を払拭(ふっしょく)する必要がある。


クラウド利用の課題はやはり「セキュリティ」(手塚氏の講演資料から引用)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る