情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

社長に「ゼロトラスト」について聞かれたら?…ニューノーマル時代のセキュリティ対策の考え方

ITインフラ
情報システム部門
人材
働き方

「ゼロトラスト」という語が注目されています。新しいセキュリティの考え方として、政府や数多くの日米企業でも検討がはじまっていますが、どのようなものでしょうか。本コラムでは、これまでのセキュリティ対策の限界とゼロトラストの概略についてわかりやすくまとめました。経営層や上司とこれからのセキュリティ対策について話し合う時のヒントとしてもご活用ください。

この記事の内容
これまでのセキュリティ対策をすり抜けるサイバー攻撃
「ゼロトラスト」の考え方とは
まとめ

これまでのセキュリティ対策をすり抜けるサイバー攻撃

標的型サイバー攻撃、ビジネスメール詐欺、なりすまし…これらのサイバー攻撃は、ファイアウォールなど従来のセキュリティ対策では防ぐことが難しい攻撃です。例えば、取引先や関係者、就職活動中などを装うメールに対しての警戒心はあまり高くないでしょう。しかしもし、そのメールがサイバー攻撃者のものであったとしたら? 社内に容易に侵入を許し、PCやサーバなどにマルウェア感染を許し、社内の重要なデータ資産が漏えいしてしまう可能性もあります。これまでの対策では守り切れずに発生したセキュリティインシデントを見てみましょう。

また昨今、サイバー攻撃は経済犯・組織犯になり、金銭等を目的に企業を狙うようになりました。大手企業がランサムウェア攻撃(システムを暗号化し、もとに戻すためには“身代金”を支払うことを要求するサイバー攻撃)の被害に遭うケースも報じられたので、ご存知の方も多いことでしょう。この攻撃は、企業規模に応じて身代金を数百万円〜数千万円に設定してくるとのことで、中堅・中小規模の企業も他人事ではありません。

また、サイバー攻撃者は、標的としている企業の弱点となる関連企業や取引先企業から侵入するケースもあります。この攻撃は、サプライチェーン攻撃と呼ばれていますが、サプライチェーン上の企業が知らないうちに攻撃されてアカウントが乗っ取られてしまい、その後、乗っ取られた企業は標的となる企業に攻撃するための踏み台とされてしまうこともあります。つまり、気づかぬうちに被害者から加害者になってしまうという恐ろしさがあります。その結果、取引先を失うだけではなく、膨大な賠償金が発生し存続の危機に陥るかもしれないのです。

「ゼロトラスト」の考え方とは

ITの進歩とともに、サイバー攻撃も高度化・巧妙化してきました。セキュリティ対策の考え方も、新たな考え方を取り入れる必要があります。そこで、新たな考え方として注目されているのが「ゼロトラスト※1」です。ゼロトラストは、すべての人や端末、ネットワークを信用しない「性悪説」に基づいた考え方とされます。それは、『政府情報システムにおけるゼロトラスト適用に向けた考え方 ※2』によると、従来の対策の考え方が「城」だとすると、ゼロトラストは「街」のイメージと例えています。その考え方をもとに図式化すると次のようになります。

※1ゼロトラスト/ゼロトラストモデル
「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という「性悪説」に基づいた考え方。利用者を疑い、デバイス(機器)を疑い、許されたアクセス権でも、なりすまし等の可能性が高い場合は動的にアクセス権を停止する。防御対象の中心はデータ、デバイス等のリソース。
(『 政府情報システムにおけるゼロトラスト適用に向けた考え方』政府CI O 補佐官等ディスカッションペーパー 2020 年6月 より引用)

※2 政府CIO ポータル「政府情報システムにおけるゼロトラスト適用に向けた考え方(政府 CIO 補佐官等ディスカッションペーパー)」
https://cio.go.jp/dp2020_03

すべてを「信用しない」ゼロトラストでは、ログインや接続の際には、例えば次の4つのプロセスを経ることになります。
1.デバイスチェック
2.本人確認
3.アクセス制御
4.通信可視化

一見、複雑に思えますが、先述の『政府情報システムにおけるゼロトラスト適用に向けた考え方 』では、「ゼロトラストとは利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定、常に監視・確認する次世代のネットワークセキュリティの考え方」とも言われています。つまり、今後、必要な時にすぐに使える、柔軟で便利なITを実現するための一助となるというわけです。

現在、「ゼロトラスト」はまだ普及段階で、取り組み検討企業は約3割です。しかし、政府CIO ポータルや米国国立標準技術研究所(NIST)、数多くの企業でもゼロトラストへの言及が進んでいることから、今後はその考え方がますます広がってくるものと考えられます。

まとめ

今回は、「ゼロトラスト」という新しい考え方について、その概要と背景についてご紹介しました。セキュリティ対策が重要な経営課題となる今、経営層と情シスが目線を合わせて対話することが重要です。本記事や下記のダウンロード資料を参考に、ぜひ、次世代のセキュリティ対策について考えてみてはいかがでしょうか。

この記事に関連するお役立ち資料を無料でダウンロード
セキュリティ対策の新しい考え方「ゼロトラスト」。セキュリティ対策の考え方を経営層とともにアップデートするための資料をダウンロードできます。本記事はその一部を編集したものですが、より詳細な内容は下記よりご覧いただけます。
関連キーワード
ITインフラに関するおすすめ記事
情シスの人材不足対策。その第1位とは?
コロナ禍前後で情シスはどう変わった?…2021アンケートから読み解く情シスの働き方
新手のサイバー攻撃に対策は待ったなし…2021アンケートから読み解くセキュリティ対策
ITインフラが把握できていない企業に起きた怖い話
情シスレスキュー隊の Twitter & Facebook はじめました!