“今”と“これから”のセキュリティへの関わり方：セキュリティのWhy（終）

セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。最終回となる今回は、コロナ禍やDXなど、「今」と「これから」を見据えたセキュリティとは何か、基礎から解説する。

[星野靖，ニュートン・コンサルティング]

　本連載の第1回でセキュリティの基本、第2回ではサイバー攻撃の動向と対策について見てきました。最終回となる今回は、世の中の変化とセキュリティの関係について見ていきます。新型コロナウイルスの感染拡大による環境の変化が起き、業種を問わずデジタルトランスフォーメーション（DX）の波が押し寄せる中、セキュリティへの関わり方について「今」と「これから」を紹介します。

激動の変化とセキュリティ

　2020年初頭から始まった新型コロナウイルス感染症（COVID-19）の感染拡大により、私たちの生活と働き方は大きく変わりました。感染拡大防止のためにテレワークが定着し、ウィズコロナ、ポストコロナに向けてテレワークと出社を組み合わせるハイブリッドワークへの移行も進みました。こうした労働環境の変化はセキュリティの捉え方や考慮点を見直す契機となりました。

境界型防御からゼロトラストへ

　サイバーセキュリティの世界ではこれまで、組織の「内側」と「外側」という考え方が一般的でした。簡単にいうと、組織の中と外を出入りするやりとりには注意するものの、組織内部のやりとりにはあまり注意しないというもので、「境界型防御」と呼ばれています。

　境界型防御は組織内の最も外に近いところにファイアウォールなどのネットワーク機器や専用機器を設置して、ネットワークを内側と外側に区切り、外部から内部への通信、内部から外部への通信の両方について、許可する／許可しないを制限することで、怪しい通信を遮断します。この手法は長らく当たり前でしたが、弱点もありました。それは内部からは攻められないであろうという前提においてのみ有効という点です。内部で悪意ある攻撃者がいる、つまり内部不正があった場合には、対処できません。劣悪な労働環境下で、自分次第でセキュリティの隙を突く、自由に改変できるとしたならば、その人は何を考えるでしょうか。性善説に立った運用には限界があります。

　そこで新たな潮流となっている概念が「ゼロトラスト」です。直訳すれば「何も信じない」――言葉だけを聞くとなんとも暗い気分にさせられますが、これが最近のセキュリティ対策で標準になりつつある考え方で「あらゆる場所、あらゆるユーザーからのアクセスを都度認証し、条件に合致する場合にはアクセスを許可する」というものです。

　これによって、組織の内外を問わず、適切であればアクセスを許可する（不適切であればアクセスを拒否する）という形になり、境界型防御では機能しなかった内部不正にも有効な対策となります。

コロナ禍による働き方の変化