こんにちは。スプラッシュトップ編集部です。
働き方改革や新型コロナウイルスの影響でテレワークは急速に普及しつつありますが、企業がテレワーク実施時に必須要件として考慮しなければならないのはセキュリティ対策です。
従来は社内で行っていた業務を社外でも行うようになり、セキュリティ対策そのものへの変化が求められています。そこで注目されているセキュリティ対策の新しいモデルが“ゼロトラストネットワーク”です。
この記事では、ゼロトラストネットワーク登場の背景や、具体的にどう進めていくべきか、リモートアクセス環境に必要なセキュリティ対策について解説していきます。
ゼロトラストネットワークとは?
“ゼロトラスト”の歴史は割と古く、2010年にForrester Research社が提唱した「すべてのトラフィックで信頼できるものはない」という考え方を指します。
その考えを前提としたセキュリティ対策のことを“ゼロトラストネットワーク”と呼びます。
外部からの社内ネットワークへの攻撃だけでなく、社内のトラフィックさえも信頼せず、あらゆるセキュリティリスクを対象とし、対策を講じます。
ゼロトラストが求められる背景
働き方やICT環境の変化で、セキュリティ対策に求められる条件そのものが変わってきています。まずはここ最近の企業のセキュリティ環境の変化について振り返ってみます。
テレワークの増加
2019年に施行された働き方改革、その後の新型コロナウイルスでテレワークが加速度的に普及しました。テレワーク環境下では社外から社内ネットワークへの接続は常態化し、社内と社外の境界線は、ますます曖昧となる状況です。
従来の境界線型のセキュリティ対策では十分に監視できなくなった現在の環境に対応するには、境界に捉われないゼロトラストの考え方が重要となっているのです。
クラウドサービス利用の増加
さらに、多くの企業でクラウドサービスの利用が増えています。総務省の「情報通信白書令和2年版」によると、2019年にクラウドサービスを一部でも利用している企業の割合は64.7%となり、2015年の44.6%から約1.5倍急増しています。
クラウドサービスでは、従来社内保存していたデータを外部に保存することになります。クラウドサービスを利用すれば、テレワークを実施していない企業でも社外と社内の境界線は曖昧な状態となります。
クラウド環境が進むなかで、それを狙った攻撃の方法は高度化し、手口は巧妙化しています。自ずと企業の扱うアプリケーションやデータは不安に曝されることになります。しかし、クラウド利用で得られるメリットも大きいため、今後企業が「クラウドを利用しない」という選択肢を採ることは非現実的です。
クラウドをやみくもに不安視するのではなく、安全かつ効果的に活用することで企業競争力の強化につなげる、という“攻め”の発想が主流となっていくでしょう。“攻め”の戦略に必須のクラウド化は、ゼロトラストを含めたセキュリティ戦略とセットで立案されるべきなのです。
内部不正やシャドーITの脅威
従来、“社内のネットワークは安全”という前提でセキュリティ対策を行なえば事足りていました。ところが、情報処理推進機構(IPA)の「情報セキュリティ10大脅威2020」で、組織において注意すべき脅威の2位に“内部不正による情報漏えい”がランクインしました。昨年の5位から2位と大きく上昇した脅威のひとつです。これは、従来安全であった社内由来のセキュリティリスクの高まりを示唆していると言えるでしょう。
情報セキュリティ10大脅威 2020
1位
標的型攻撃による機密情報の窃取
2位
内部不正による情報漏えい
3位
ビジネスメール詐欺による金銭被害
4位
サプライチェーンの弱点を悪用した攻撃
5位
ランサムウェアによる被害
6位
予期せぬIT基盤の障害に伴う業務停止
7位
不注意による情報漏えい(規則は遵守)
8位
インターネット上のサービスからの個人情報の窃取
9位
IoT機器の不正利用
10位
サービス妨害攻撃によるサービスの停止
当然ですが、内部不正などのリスクは従来の境界線型のセキュリティ対策だけでは対応できません。さらに、情報システム部門が把握できないところでユーザー部門(ITを利用する側の部門)が独自にクラウドサービスなどを利用する“シャドーIT”も問題視されています。
シャドーITは情報漏えいや不正アクセスの原因になりやすく、情報システム部門が気付かないうちに社内の脆弱性が膨らむことになります。こうした社内の脅威に対してもゼロトラストの考え方が有効です。
ゼロトラストネットワークの実現方法
では具体的に、どのようにゼロトラストネットワークを実現するのかについて解説していきます。
従来のセキュリティ対策との違い
従来の対策は、あくまで“社内は安全である”という前提なので、ネットワークの境界線にファイアウォールやIDS/IPS(侵入検知・防止システム)などのセキュリティ製品を導入し外部からの攻撃を防ぐのみの対策でした。
前述の通り、テレワークやクラウドサービスの利用増加などが、社内と社外のネットワーク境界線を曖昧にしている今、社内・社外の境界線に捉われず、常に攻撃される前提の対策を取ることが必須となります。
そこでゼロトラストネットワークでは、すべてのトラフィックを検査してログの取得を行なうことで、不正アクセスや情報漏えいなどのあらゆる脅威に対して備えます。
さらに認証に関しては従来よりも厳しい対策となります。例えば、アクセスしたデバイスが社内で認証されたものかどうかのチェックや、不審な振る舞いをしていないかなどのチェックが実施されます。
ゼロトラストを実現させる方法
ゼロトラストネットワークは、“何か一つの技術を利用すれば実現できる”というものではありません。既存技術と複数のアプローチを組み合わせて、包括的な多層防御を構築することで、はじめて実現されます。
例えば、認証にユーザーIDとパスワード以外の要素(スマートフォンや生体認証など)を組み合わせた“多要素認証(MFA)”で認証を強化することなどの対策が挙げられます。
ゼロトラストネットワークは、以下のような施策がポイントとなります。
- 特権アカウントの保護
- 複数ステップの認証
- エンドポイントセキュリティの強化
- 特権アクセス経路を監視
- 最小限の特権の原則を導入
など
まずは、自社のICT環境の脆弱性や改善点の有無を把握するところからはじめ、課題を明確にし、対策できるセキュリティツールの導入を検討するとよいでしょう。
リモートアクセスでゼロトラストを実現するには?
次にリモートアクセスのセキュリティをゼロトラストの観点から見てみましょう。
残念ながら、昨今のリモートワークの普及に伴い、リモートアクセスを狙ったサイバー攻撃も急増しているという報告がなされています。
代表的なものとしては、リモート接続へのログイン画面にIDやパスワードの入力を繰り返して不正アクセスを試みる「総当たり攻撃」や、データと引き換えに身代金を要求する「ランサムフェア」による被害などがあげられます。
従来型のリモートアクセスは、多くの場合、境界線型セキュリティの考えに則った対策が採られているため、こうした被害につながっていると言えるでしょう。
Splashtopはゼロトラストセキュリティフレームワークを念頭に置いて設計されているリモートワークツールです。ランサムウェアなどの被害を防ぐために、以下のような方法を取り、日々進化するサイバー脅威に対抗しています。
- セキュリティ更新プログラムと修正プログラムの自動化
- デバイス認証をサポート
- 多要素認証 (MFA) とシングル サインオン (SSO) を採用
- 広範なセッションログと記録機能を提供
- エンドポイントのセキュリティを提供
など
詳細なセキュリティに対する実践については、こちら(英語サイト)をご覧ください。
まとめ
ゼロトラストネットワークは、「信頼できるものは何もない」という前提に立ったセキュリティ対策です。従来の境界線型セキュリティ対策は、社内は安全とする前提で対策を行なっていましたが、社内においても様々なセキュリティリスクが登場し、万全の対策が取れなくなってきています。
加えて、テレワークを始めとする働き方の変化もゼロトラストの必要性を高めています。
現在多くの企業でテレワーク実施のためにVPNやリモートデスクトップツールが利用されていますが、境界線型セキュリティを前提とし設計されたものでは、日々進化、多様化する攻撃に対応するのは困難です。
“Splashtop”はSSL/AES256ビット暗号化通信、2段階認証やデバイス認証機能を採用し高セキュリティ環境を実現したリモートデスクトップサービスです。ゼロトラストが求められる今、導入を検討されてはいかがでしょうか?
>【無料トライアル実施中】Splashtopについて詳しく知りたい方はこちら
