テレワークで注目、ゼロトラストセキュリティとは?
経営


新型コロナウイルス感染症の影響等により、テレワークを導入する企業が増加しました。テレワークでは情報機器を活用して行われることが多いことから、情報機器の利用についてのセキュリティ対策が一層企業に求められることになりました。
情報機器に対するサイバー攻撃の高度化等に伴い、新たなセキュリティに対する考え方として、「ゼロトラストセキュリティ」というものが注目されています。
今回は、ゼロトラストセキュリティについてご紹介致します。

この記事の目次

1.ゼロトラストセキュリティとは

ゼロトラストセキュリティとは、外部ネットワークであるインターネットと、内部ネットワークであるLANとの境界による防御である境界型セキュリティには限界があり、内部ネットワーク内にも脅威が存在しうるという考えのもと、データや機器等の単位でのセキュリティ強化をうたった考え方のことです。

従来のセキュリティでは、境界型セキュリティは原則としてセキュリティ効果について信用して良いが、確認は必要であるという考え方に対して、ゼロトラストセキュリティでは、境界型セキュリティについては決して信用せずに必ず確認が必要であるという考え方となります。

2.ゼロトラストセキュリティを実現するための要件

ゼロトラストセキュリティを実現するためには、一般的に下記の要件を満たす必要があるといわれています。

①ネットワークの内部と外部を区別せず、データや機器等の最小単位でセキュリティを考える
②強固な利用者認証と厳密なアクセス管理
③セキュリティ対策に関して場所や端末等の環境の制約を設けない


3.ゼロトラストセキュリティが注目される背景

ゼロトラストセキュリティが注目される背景として、サイバー攻撃の高度化をはじめとした下記のような課題があることが挙げられます。

そして課題に対する対処法のひとつとして、ゼロトラストセキュリティが有効であると期待されているためです。ゼロトラストセキュリティは、境界型セキュリティに代わるものではなく、両者を組み合わせて複合的に防御することが期待されています。

①サイバー攻撃の高度化

近年、サイバー攻撃はますます高度化、複雑化してきています。一般に認知された既知の攻撃手法ではなく、未修正、未発表のセキュリティ上の脆弱性を悪用した攻撃であるゼロデイ攻撃といわれる未知の攻撃手法によるサイバー攻撃も活発に行われています。

また、一見すると不審な点のないメールを、取引先を偽って特定の組織に対して送り、セキュリティ意識の甘い従業員を標的としてマルウェア感染させる標的型攻撃等の手法もあります。
このような攻撃手法は、境界型セキュリティの考え方のように完全に防御することは困難であり、内部に侵入されることを念頭においた対策が重要になっています。

②マルウェア感染後の検知の難しさ

標的型攻撃では、攻撃初期に比較的防御の弱い端末を乗っ取り、当該端末からアクセス可能な範囲の情報や権限を活用して長期的に情報収集を行い、より高い権限を持つアカウントを順次乗っ取っていくという水平展開型の攻撃が行われます。企業内の利用者の正規の権限を一旦でも奪取されると、境界型セキュリティの考え方では正規ユーザにしか見えず、その後の検知は困難です。

そのため、自組織内に攻撃者が存在することを念頭に置き、水平展開による攻撃が容易に行われないように、ネットワーク全体を一律の権限で取り扱うのではなく、データ等へのアクセスを必要最小限かつ正当な権限を有する者のみに制限することや、対策に不備のあるPCや不審な振る舞いをする利用者等によるアクセスついてはブロックすること等を行うことが重要になっています。

③ネットワーク構成の多様化に伴う境界の複雑化

情報通信技術の発展に伴い、大容量のデータ活用が進んでいることから、オフィスやデータセンター等の特定の拠点を介したネットワーク構成では、トラフィック集中によるボトルネックが発生し、業務の障害となるケースが増えてきています。

このような状況を受け、テレワーク端末からWebページ閲覧等をする場合に、オフィスネットワークやデータセンター等の拠点を介することなく、テレワーク端末から直接インターネットへアクセスするローカルブレイクアウトというネットワーク構成が注目され、導入が進んでいます。

ローカルブレイクアウトの普及とあわせて、クラウドサービスの普及や個人所有の端末を業務に用いるBYODの活用等も進んでおり、特定の拠点を防御する境界型セキュリティだけでは対応が難しくなっています。データや機器等を防御の中心としていくことが重要になっています。

4.まとめ

上記のように、ゼロトラストセキュリティは新たなセキュリティに対する考え方です。従来以上に、テレワークの普及やサイバー攻撃の高度化により、今後セキュリティ対策は企業に一層求められていきます。
企業のセキュリティ対策についてご不明な点がございましたら、身近な専門家に相談されることをお勧め致します。
セキュリティ対策について
専門家に相談する

記事のキーワード*クリックすると関連記事が表示されます

クラウド テレワーク 新型コロナウイルス セキュリティ対策

メルマガ登録(毎週水曜配信)

SHARES LABの最新情報に加え、
経営に役立つ法制度の改正時事情報などをお送りします。

この記事もおすすめです

IT導入ってハードル高いんだよなぁ… そう思ったことありませんか?
雇用調整助成金の特例措置の経過措置は令和5年3月で終了です。
マスク着用の方針見直しで労働現場の影響は。
自治体との連携による地方創生事業の始め方
令和4年12月以降の雇用調整助成金の特例措置が決まりました。
セキュリティ対策について 専門家に相談する