ゼロトラストの考え方
近年、内部からの情報漏洩が多発し、クラウドサービスの利用拡大に伴うセキュリティリスクの増大を危惧する声も高まっていました。
ここに、新型コロナウイルス感染拡大防止に向けたテレワークの普及と、それに伴うセキュリティリスクの増加が、ゼロトラストへの関心に拍車をかけたと言えます。
今回、最近よく聞かれる「ゼロトラスト」について解説を試みようと考えています。
テレワークの普及に伴い、社内で許可していないアプリケーションやクラウドサービスを利用する “シャドーIT” が増加していることや、セキュリティ対策が十分に施されていない私有PCを使って仕事をすることで、マルウェア感染や情報漏洩のリスクが拡大しています。顕在化していないセキュリティインシデントが多数発生している可能性もあります。
☞ IT部門にとってクラウドは、社員の活動やデータの移動を見えなくするカーテンのような存在になっている !!
☆シャドーIT… 情報システム部門などが関知せず、ユーザー部門が独自に導入したIT機器やシステム、クラウドサービスなどのこと。
こうしたIT機器やクラウドサービスは適切に管理されないことが多く、仮に脆弱性が発見されたとしても対策されない可能性が想定されることから、シャドーITはセキュリティ上のリスクとなっています。特に昨今ではクラウドサービスの無断利用が問題となっていることから、CASB の導入によるクラウド利用の把握と社内のセキュリティポリシーに基づいた制御を検討する企業が増加。
☆CASB「キャスビー」と呼ぶ(Cloud Access Security Broker)… 従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うためのソリューション。CASBが備える機能は、クラウドサービスへのアクセスの可視化や不正アクセスやデータ流出の阻止、適切なクラウドサービス利用のための監視や制御、送受信するデータの暗号化などがあります。
* ゼロトラストとは
社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。
クラウドサービスの普及、モバイル端末の活用やテレワークによる働く環境の多様化によって、企業システムの内部と外部を隔てる「境界」そのものが曖昧になりつつあります。
その結果、従来の社内・社外の境界でセキュリティ対策をする「境界型防御」では、情報漏洩やマルウェア感染などの脅威から情報資産を守ることが難しくなってきています。
こうしたセキュリティリスクを解消するものとして、脚光浴びるようになったのが「ゼロトラストモデル」です。
☆Verify and Never Trust(決して信頼せず必ず確認せよ)
ゼロトラストの概念は決して新しいものではなく、2010年に米国の調査会社であるForrester Research社によって提唱されました。それまでは「社内は安全だが、外部は危険」という考えに基づき、社内ネットワークと社外ネットワークの境界線上にセキュリティ対策を施す「境界型防御」が主流でした。
「境界型防御」が「Trust but Verify(信ぜよ、されど確認せよ)」であるのに対して、ゼロトラストは「Verify and Never Trust(決して信頼せず必ず確認せよ)」を前提としています。
つまり、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ごうとします。
※ メール・BLOG の転送厳禁です!! よろしくお願いします。
コメントをお書きください