信頼しないことが重要！ゼロトラスト・セキュリティの必要性と対策

昨今のサイバーセキュリティで必須となっている考え方に「ゼロトラスト」があります。

言葉として広く知られるようになったゼロトラストですが、実際にどのような考え方なのか、何に注意するべきなのかについて理解している人はまだ少ないのではないでしょうか？近年のサイバーセキュリティの状況やテレワークなどの働き方に伴うセキュリティ環境の変化を含めて、改めて確認してみましょう。

ゼロトラストとは

そもそもゼロトラストの概念自体は、2010年にアメリカForresterResearch社という調査会社に所属する調査員だったジョン・キンダーバーグ氏によって提唱されたものです。

ゼロトラストが提唱される前までは、社内と社外のネットワークの境界線になる箇所に重点的にセキュリティ対策を施す「境界型防御」というものが主流されていました。境界型防御とは「閉鎖された社内は安全だが、それ以外の外部は危険」という考えが元になっており、英語でも「Trust but Verify（信ぜよ、されど確認せよ）」と表現されています。

それに対してゼロトラストは、社内と外部のネットワークを区別せずに、守るべきシステムやデータにアクセスする全てを信用せずに検証することで脅威を防ぐという考えによるもので、英語では「Verify and Never Trust（決して信頼せず必ず確認せよ）」と表現されています。

「すべてのアクセスを信頼することなく、最初から攻撃されることを前提とする」というセキュリティへの取り組み方がゼロトラスト・セキュリティです。

サイバー環境やセキュリティの現状から考えるゼロトラスト・セキュリティの必要性

近年、企業内部からの情報漏洩や、大企業や病院でのセキュリティインシデントが多発していますが、これにはサイバー環境の充実と背中合わせの複数の原因が重なり合っています。

様々なクラウドサービスが広がることは利便性が向上する一方、外部のサービスに接続する機会が増えることでセキュリティレベルを保てなくなります。

テレワークの普及も地域に左右されない働き方が可能になるものの、作業場所ごとのセキュリティが担保できないという問題があります。

一方、標的型攻撃やゼロデイ攻撃、ファイルレスマルウェア、マルウェア生成ツールの闇サイトでの流通などによりセキュリティインシデントの多様化・複雑化が進み、既存のセキュリティソフトでは防ぎ切ることが困難となってきています。

このようなサイバー環境の変化に伴うセキュリティリスクの増加により、新たなセキュリティの取り組みを考える必要が生じたといえます。

ゼロトラストモデルの実現に必要な条件とは

総務省は令和3年5月に「テレワークセキュリティガイドライン（第5版）」を発表しています。その中でゼロトラスト・セキュリティに関する考え方についても下記のようにまとめています。

・ネットワークの内部・外部を区別せずに、データや機器などの最小単位でのセキュリティを考える

ゼロトラストの「すべてのアクセスを信用しない」という基本にもとづいて、セキュリティを考えるべきとしています。また、これまでのような入り口だけ防御を強化するようなセキュリティ構築というよりは、守るべきデータや機器レベルで防御方法を考えるべきとしています。特にクラウドサービスを使用する場合は、そもそもサービス本体が外部に存在しているので内部外部の概念が通用しないため、例えばそのサービスにアクセスする個々のPCなどのエンドポイントに対する防御が必要といえます。

・利用認証やアクセス管理の強化を徹底する

システムへのアクセスには、適切な認証やアクセスの管理が必要不可欠です。

何らかの理由でIDとパスワードが外部に流出してしまった場合、システムに第三者がアクセスできてしまうため、これらの管理には慎重を期す必要があります。また、ID・パスワード以外の要素を認証に使用する2要素認証やワンタイムパスワードなどを積極的に活用することも有効といえます。

・環境の制約を設けないでセキュリティ対策を実施・徹底する

最近は個人所有の端末を業務に使用するBYODも広がっています。また、公共WiFiやコワーキングスペースなどの管渠も整備されています。ただ、複数の端末利用や様々な場所でのアクセスには危険が潜んでいることも認識しなければなりません。このような場所やデバイスなどの環境的な制約を設けないでゼロトラストを実施できるようにする必要があります。

ノートPCやスマートフォン、タブレットなど利用する様々なデバイスでのアクセスや、外出先からのアクセスなどでも、セキュリティレベルが低下しないよう、使用するすべての端末に適切なマルウェア対策を施したり、アクセスする端末を登録するなどして認識できるようにしたりなど、場所や端末に左右されない対策が予め構築することが必要です。

企業として実施すべきゼロトラスト・セキュリティ対策

総務省「テレワークセキュリティガイドライン（第5版）」では企業として実施するべきセキュリティ対策についてもまとめられています。この中からゼロトラスト・セキュリティを実現する上でも必要な対策と絡めて説明します。

・セキュリティソフトを導入するなどマルウェア対策を実施する

標的型攻撃やなりすましメールなど企業への攻撃は多様化しており、もはや完璧な対策を極めて困難となっています。

マルウェアに感染する可能性避けられないことを前提に、PCやタブレット、スマートフォンなど使用するデバイスすべてにウイルス対策ソフトなどのセキュリティソフトの導入を進めることが求められます。これまでのウイルス対策ソフトではウイルス定義ファイルを元にした防御でしたが、その方法で防御できるものは既に半分もないとの研究結果も出ています。既存のセキュリティソフトはEPP（Endpoint Protection Platform）と呼ばれ、いわゆる「境界型防御」ですが、感染することを前提とする場合EDR（Endpoint Detection and Response）により、端末内部に侵入したマルウェアが活動を始めた瞬間を捉えて隔離し、場合によっては変更されたデータを元に戻すなどの対策も必要となっています。最近ではこれらの防御にAIを活用し、より迅速な対応ができる製品も出てきているので、そういった製品の活用も必要といえます。

・データの利用ルールを決める

社内のスタッフによる機密データの不正な持ち出し事件では、USBメモリなどのリムーバブルメディアが使用されるケースがよくあります。

内部不正を防ぐ観点からも使用するメディアは限定しそれ以外の利用を禁止するなど、企業内でのルールづくりが必要です。

またマルウェアはUSBメモリにも感染します。USBメモリに感染するタイプのマルウェアは、PCに接続しただけで不正プログラムが自動で実行され、PCにマルウェア感染させるものもあります。社内での利用には十分注意が必要です。

・ログを保管する

マルウェアなどによる不審な動作を監視したり、万が一セキュリティインシデントが発生した際の証拠にしたり、分析をできるようにするためにログを保存しておくべきです。

昨年改正された個人情報保護法でも、漏洩した情報の特定や被害規模などの報告が義務付けられています。

アクセスログやイベントログ、認証ログなどさまざまなログを取得しておくことで、情報漏えいなどが発生した際に詳細な分析に役立てることもできます。

また、ログの確認には実際の時間と同期していることが重要です。またログデータの書き換えや改ざんが行われないよう、厳格な管理も必要です。ログデータの時刻設定と保管方法、バックアップにも注意が必要です。