企業の「ゼロトラスト」導入には何が必要か?――DXやSociety 5.0にもつながる“マンツーマンディフェンス”のセキュリティを手に入れるには:ITmedia Security Week 2022夏
ITmedia Security Week 2022夏の「クラウド&ゼロトラスト」ゾーンで、慶應義塾大学 環境情報学部 教授の手塚悟氏による基調講演「企業のゼロトラスト導入に向けて何から始めるべきか」が行われた。コロナ禍においてテレワークの普及が加速するいま、これまでのモデルから脱却し、ゼロトラストの概念を導入するに当たって、主にセキュリティ面における留意点を語るセッションだ。
環境の変化、防御の変化
ゼロトラストの考え方は、よく「性善説から性悪説へ」と表現されることが多い。手塚氏はこれに加え、「ゾーンディフェンスから、マンツーマンディフェンスへの戦略変更」に近いと述べる。
テレワークが拡大し、システムもオンプレミスからクラウドに移行しつつある。さらには、サイバー攻撃も多様化、巧妙化するなど、現代のIT環境は大きな変化にさらされている。その結果、防御のモデルも変えねば対抗できない。そのモデルこそが、クラウドセキュリティであり、エンドポイントセキュリティであり、ゼロトラストだ。
「社内で仕事をしていて、社内ネットを使う。これは既に従業員がオフィス内に入れたということ、つまり安全策を1つクリアして作業しているという前提となる。だから、ITを利用する人も社内のデータに自由にアクセスできた。これはボーダー、つまり“境界”を区切り、物理的な施策によって安全性を確保した前提で利用する、性善説の考え方だ」(手塚氏)
ところが、コロナ禍の影響で、テレワークで仕事をする企業が増えた。これは社外の環境から、社内にアクセスするということだ。しかし、そのアクセスが不正なものなのか、それとも正式なID/パスワードを利用しているのか、さらにはそのIDを利用する人がなりすましをしていないかどうかが簡単には分からない。「だからこそ、考え方を性善説から性悪説にシフトせざるを得ない」と手塚氏は述べる。
「他の言葉を使うなら、これまではバスケットボールのゾーンディフェンスのようなもの。ゾーンを破られると簡単に得点される。この戦略を変え、マンツーマンディフェンスにしよう。ゾーンを定義するのではなく、リソースにアクセスするときに、それが攻撃者ではないかどうかを判断する。社内/社外の概念から、常にチェックし、都度チェックする概念への切り替えが必要だ」(手塚氏)
手塚氏は、これまでの境界防御に加えて、ゼロトラストの機能を組み合わせるのが現実解ではないかと考える。「境界線があいまいになるいま、従来の防御だけでは防げない。境界を侵入してくるだけでなく、エンドポイントも直接狙われる。だからこそ、ゼロトラストの考え方を組み合わせる」(手塚氏)
官民におけるクラウドの動向
いま、クラウドサービスを活用することはもはや当たり前だ。それは“官”の世界でも例外ではない。「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(2017年5月30日閣議決定)および「デジタル・ガバメント推進方針」(2017年5月30日 高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定)では、政府情報システムにおいても「クラウド・バイ・デフォルト原則」が明言されており、今後はシステム環境がオンプレミスからクラウド型に変わることが国を挙げての基本方針だ。政府情報システムはクラウドサービスを、重要なツール、環境としている。
クラウドサービスのメリットは、これまでも多数挙げられている。「非常にバラ色な環境に見える。が、最も重要なのは、クラウドに入った人がさまざまなところにアクセスできては困る。そこを、ゼロトラストの考え方で、きっちりマンツーマンディフェンスを取れるようにする」(手塚氏)
そうしなければならない理由の一つは、クラウド利用における最も大きな課題として挙げられるのが「セキュリティ」だからだ。民間企業に聞くアンケートにおいても、政府内の調査においても、クラウドサービス導入時の不安要素としてセキュリティが最多となることが多い。これをゼロトラストの考え方を駆使し、不安を払拭(ふっしょく)する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ゼロトラストは今どうなっているのか? セキュリティとネットワークの最前線
2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。 - シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。 - 日本の「ゼロトラストに向けた取り組み」は後れを取っている NRIセキュアテクノロジーズがセキュリティ実態調査の結果を発表
NRIセキュアテクノロジーズが実施した「情報セキュリティ実態調査」によると、日本は米国やオーストラリアに比べて、ゼロトラストセキュリティに向けたソリューションの導入で後れを取っていることが分かった。