新型コロナ問題もあり、「職場に行って仕事をする」という当たり前の日常はあっという間に覆され、テレワークを前提とした業務体制を構築せざるを得なくなりました。テレワークのセキュリティ対策は、企業が直面する新しい課題となっています。
そこで今回は、解決策の一つとして注目されている「ゼロトラスト」という考え方を紹介します。
■ テレワークできる人数に上限があったのはなぜ?
従来、多くの企業では、インターネットとの境界に「城壁」を築き、外部との通信を制限・遮断することで、脅威から身を守ってきました。職場で仕事をする人たちは、この「城壁」の中にいます。
一方、テレワークをする人たちのためには、外部からでも安全に通信ができるトンネル(VPN)をあらかじめ用意しておく必要があります。テレワーク急増の場面でこのトンネルが大渋滞を起こし、足かせになった企業も多かったと思います。
■ ゼロトラストでロケーションフリー
クラウドストライク社による2019年の調査によると、サイバー攻撃を受けた企業では、攻撃者は平均95日間も「城内」に潜伏していました。城内、すなわち「社内ネットワーク内の通信」ならば100%安全だ、と言うことはできない状況なのです。
ならば、社内の端末・社外の端末という区別をやめたうえで、「すべての通信に疑いの目を持って認証を行う」ことでセキュリティを確保しよう、というのがゼロトラストの基本的な考え方です。
社内・社外を区別しないことから、「城壁」や「トンネル」も不要になり、地理的制約からも解放されます。
建材・住宅設備のLIXILはゼロトラストネットワークの先進的な導入企業として知られており、20年4月からは本社従業員の98%以上、グループ全体で最大2万5000人がスムーズにテレワークに移行できたと報じられています。
■ 信用スコアに基づくアクセス制御
では、どうやって実現するのでしょうか。
ゼロトラストでは、ID・パスワードによる認証に加え、アクセスを行うたびに「信用スコア」を算出し、そのスコアに基づいてアクセスを許可します。
この「信用スコア」とは、「今回のアクセス」に対する信頼性を数値化したものです。アクセス元の位置情報やソフトウエアのアップデート状況といった端末の状況のほか、機械学習をベースとしたAI判定を活用して、ユーザーの「振る舞い」もスコア化します。これを活用すれば、普段と異なるアプリケーションやデータベースへのアクセスには多要素認証を追加要求する、といった運用も可能です。
■ 「何も信じない」、だからセキュリティが向上
企業の情報漏洩事件では、「1台の端末から、次々と社内に感染が広がっていった」という事例をよく耳にします。これは従来のセキュリティモデルが、「社内ネットワーク内の通信」ならば信頼できる、という前提で設計されているからです。
しかし、ゼロトラストで設計されたネットワークならば、こうした悪意ある行動も「普段と異なる振る舞い」として捕捉が可能になり、感染の拡大を防いでくれます。
■ ゼロトラスト戦略でパラダイムシフト
ゼロトラストはこれまでのセキュリティ思想を覆すものですが、既存のネットワーク技術を否定するものではありません。実際には、既存の技術を組み合わせることで実現しています。
しかし、これらの構成要素を段階的に導入して、徐々にゼロトラストネットワークに移行していくためには、中長期の戦略が必要です。テレワークなどの働き方の見直しを含めたトップダウンでのアプローチが、効果的なセキュリティ対策導入の近道といえるのではないでしょうか。