デジタルトランスフォーメーションを考える(32)〜 新しい時代の働き方を支える新たなセキュリティ概念「ゼロトラスト」とは〜

テレワークで浮き彫りとなった企業のセキュリティ課題

コロナ禍で一気に広まったテレワーク。急いで対応しなくてはならなかった流行第一波では、必要なシステムや環境を十分に整備しないまま、突貫工事でテレワークに突入したという企業も少なくなかったのではないでしょうか。コロナの流行が長期化し、テレワークが当たり前の働き方として定着してつつある今、企業にとってセキュリティ対策が大きな課題となっています。

 

先月、総務省は「テレワークセキュリティガイドライン(第5版)」を公開しました。第4版から3年ぶりとなる改訂となった背景について、ガイドラインでは以下のように説明しています。

このように急速に普及したテレワークですが、この実現を後押しした背景として、テレワークを実現するための多様な製品やサービスが充実してきたことも挙げられます。このような新たな製品やサービスを活用し、テレワークを推進していく姿勢は重要ですが、結果としてシステム構成や利用形態が多様化し、従来から整備してきた情報システムのセキュリティ対策や情報セキュリティ関連規程が十分に対応できていない状況も想定されます。(総務省(2021)『テレワークセキュリティガイドライン(第5版)』, P5)

ガイドラインの第6章ではネットワークセキュリティに関するさまざまなトラブル事例をまとめています。脆弱性を放置したまま運用されていたVPN機器が攻撃を受け、ID・パスワードが世界中から流出し、日本でも40社近くが不正アクセスを受けていたケース、情報へのアクセス権限の設定不備から2000万件以上の情報流出があったというケース、業務利用していた個人所有の端末が新種のマルウェアに感染したが、検知が送れて個人情報が流出してしまったケースなど多種多様な事例があり、背筋が寒くなる思いがします。サイバー攻撃の手法が高度化・多様化していること、そしてセキュリティ対策が不可欠であることを改めて痛感させられます。

 

これまでは、企業の情報は社内に設置されたパソコンやサーバーに保存され、社員は出社して社内ネットワークから情報にアクセスしていました。セキュリティーについては、ファイアウオール製品で企業ネットワークの「内」と「外」を区切り、内側への侵入を防ぐことさえできればほぼ問題ないだろうというのが一般的な考え方でした。

 

しかし、クラウドサービスが普及した今、情報はインターネット上に保存され、社員が個人所有のパソコンやスマートフォンで情報にアクセスすることも増えています。もちろんネットワークの「内」と「外」を切り分けるVPNを使用する企業が多いと思いますが、「テレワークセキュリティガイドライン」にも記載されているように、VPN機器の脆弱性をついた情報流出も増えており、「境界」を設けるという従来のセキュリティ手法では追いつかなくなっています。また、コロナ禍の一斉テレワークではVPNのキャパシティが不足する「VPN渋滞」などの言葉が生まれ、安全性と生産性のバランスの課題も浮き彫りになりました。

 

注目を集める新たなセキュリティ手法「ゼロトラスト」

そんななか、「ゼロトラスト」という新たな概念が注目を集めています。トラスト(信用)がゼロ、つまり情報にアクセスしようとする者は接続経路に関係なく一切信用しないという考え方に基づいたセキュリティ手法です。2017年にGoogleがゼロトラストセキュリティに全面移行したと発表したことをきっかけに、注目されるようになりました。

 

前述の通り、ゼロトラストでは例え社内ネットワークやVPN経由の接続であっても、外部からのアクセスと同様のリスクがあると想定します。安全なネットワークを経由しているから「オールOK」とするのではなく、ユーザーが業務アプリやデータを利用するたびに、「IDは適切か」・「そのIDが業務アプリやデータへのアクセス権を所有しているか」・「端末の製造番号は適切か」・「その端末がいつ認証されたか」・「ウィルス対策ソフトは有効になっているか」などさまざまなチェックポイントを認証し、その結果でアクセスの可否を判定します。

 

「境界線」を設けるのではなく「末端=エンドポイント」の機器を認証して情報を守るという考え方から、「エンドポイントセキュリティー」などとも呼ばれています。

 

ゼロトラストを実現するさまざまな製品

ゼロトラストはあくまでもセキュリティについての考え方であり、製品を単体で導入すればすぐに実現できるというものではありません。企業自らがさまざまな製品を組み合わせて、自社に合ったものを構築しなくてはならないという点が難しいところです。

日本国内での事例もまだそれほど多くありませんが、第一歩としては以下のような製品を組み合わせて構成されることが多いようです。

 

IAM(Identity and Access Management):アイデンティティ/アクセス管理

ユーザーIDと氏名・所属などをひもづけ、アクセスポリシーに基づいてユーザー認証やアプリケーションなどへの認可を管理する製品です。企業が複数のSaaSを同時に利用する場合、1組のID・パスワードによる認証を1度行えば複数のアプリケーションにログインできるというシングルサインオン(SSO)の機能も担います。「認証、認可の厳格化」がゼロトラストの第一歩です。ユーザーの属性・デバイスのセキュリティ強度・アクセス元の場所などによってアプリの利用を細かく制御するIAMは、ゼロトラストの実現に欠かせない要素となります。

 

IAP(Identity-Aware Proxy):アイデンティティ認識型プロキシー

インターネット接続に用いるサーバーの「プロキシ」に高度な認証機能をつけた製品です。VPNを使わなくてもプロキシに接続するだけで、アプリケーションの利用の可否を細かく制御することができます。

 

EDR (Endpoint Detection and Response)、EPP(Endpoint Protection Platform):端末セキュリティ

EPPはエンドポイントとなる端末を守るセキュリティ製品で、マルウェアなどを検知・駆除しするものです。一方、EDRはエンドポイントとなる端末が攻撃されたときにいち早くマルウェアなどを隔離したり、端末を復旧したりなどの対応を行う製品です。EPPは未然に攻撃を防ぐことを目的とし、EDRは攻撃の被害を受けたときに被害を最小化することを目的としています。

 

ここでご紹介したものはごく一部で、ゼロトラストセキュリティに関する製品はさまざまなものがあります。2020年4月には、Googleが同社自身のゼロトラストセキュリティプラットフォームである「BeyondCorp Enterprise」の一般提供を開始しました。ゼロトラスト製品については、今後さらに市場規模が拡大することが予想されており、アメリカではゼロトラスト関連の株価も急騰しています。

 

まずは業務の実態を把握することから

2021年5月21日には経済産業省が「DXオフィス関連プロジェクト管理業務等の効率化に関するデジタルツールの導入実証・調査事業」を「GitHub」上で公開しました。クラウドを基盤とした業務環境構築の実証実験レポートで、ゼロトラストの概念を取り入れています。どのような製品を採用しているかが具体的に記載されており、非常に先進的な取り組みをしていることに驚かされます。民間企業や他の行政機関の指針になるように、との思いで公開したようです。

 

ゼロトラストは業務の根幹に関わることで実現方法も多様なため、何から手をつけたらよいのかというのは非常に悩ましい問題です。いろいろな事例を参照しながらまずは自分たちに何が必要なのかを考える必要があります。情報漏えいや不正アクセスは、外で仕事をしているときに覗き見をされたり、端末やUSBもしくは紙の書類を紛失したりなどの不注意が原因となっている場合も少なくありません。テレワークを含めて誰がどこで何をしているのかなど業務の実態を把握し、デジタル技術によって情報を適切に管理できるような状態にしておくということが、そもそもの第一歩となるのかもしれません。

 

いずれにせよ、ゼロトラストというコンセプトは企業におけるセキュリティー手法のあり方を大きく変えようとしています。「テレワークの定着」から「より安全なテレワークの実現」へと、またひとつステージを上げるときが来ているようです。

 

筆者プロフィール

大澤 香織
大澤 香織
上智大学外国語学部卒業後、SAPジャパン株式会社に入社し、コンサルタントとして大手企業における導入プロジェクトに携わる。その後、転職サイト「Green」を運営する株式会社I&Gパートナーズ(現・株式会社アトラエ)に入社し、ライターとしてスタートアップ企業の取材・執筆を行う。2012年からフリーランスとして活動。
北海道札幌市在住。

クラウドサービスをコネクトしてITをフル活用

ビーブレイクシステムズでは、様々なマネジメントサービスの中からお客様にとって最適なシステム・サービスを選定し、選定された複数のシステムやサービスを繋いだサービス「コネクテッド・クラウド」を提案しています。

ERP、RPA、シングルサインオン、電子請求書、Web会議システムなど様々なクラウドサービスを上手にコネクトして仕事にお役立てください。