情報セキュリティのプロが解説「サイバー攻撃最新動向」(第2回)

次世代セキュリティモデル「ゼロトラスト」とは

posted by NTT東日本 サイバーセキュリティチーム 木村知広

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 世間で騒がれるサイバー攻撃の仕組みや危険性を分かりやすくお伝えしていく連載シリーズの第2回です。

 コロナ禍の状況のもとテレワークが一気に普及し、あらゆる環境から社内ネットワークにリモートで接続する機会が増えている昨今、従来型の「境界防御」モデルで構築された社内ネットワークに外部からVPNで接続した場合、その接続経路からの侵入リスクが高まることが指摘されています。

 実際、テレワークを拙速に導入したことで、情報セキュリティ対策が甘いデバイスから社内ネットワークに入り込まれて機密情報が盗まれ、闇市場で大量に売買されている事例も報道されています。また、VPN接続装置に対するアクセスが集中することにより接続遅延が発生するという事例も発生しているようです。

 第2回のテーマは、そのような侵入リスクの高まりやアクセス集中による接続遅延に対応するための新しい概念として注目されつつある「ゼロトラスト」というセキュリティモデルについて解説します。

ゼロトラストセキュリティの概念とは

 「ゼロトラスト」とは2010年にフォレスターリサーチ社のレポートにてJohn Kindervag氏の提唱したコンセプトモデルです。これは性悪説を前提とし、すべてのアクセスに認証・認可を行うという新しい考え方です。

 従来型セキュリティモデルの代表である「境界防御」モデルは、ネットワーク境界の内部を信頼し、外部からの攻撃を防御するもので、内部侵入後の攻撃に対応できないというデメリットが存在します。その一方で「ゼロトラスト」モデルは、内部・外部を問わずすべてのアクセスを「信頼しないこと」を前提とし、全アクセスに認証・認可を行うため、たとえネットワークの内部に侵入を許したとしても防御ができる考え方となっています。また「ゼロトラスト」への移行に伴い、VPN接続に必要な認証・認可を、VPN接続装置の機能からクラウドプラットフォーム上の機能に代替すれば、VPN接続装置の設置条件(ロケーション、装置数・性能、など)に寄らずに接続性を担保できるようになるため、アクセス集中による接続遅延の解消にもつながるというメリットもあります。

ゼロトラストセキュリティへ移行するには

 このような新しい概念である「ゼロトラスト」に対して、既に大手IT企業や情報セキュリティサービス業界の企業が積極的に取り組みを始めています。例えばGoogle社やMicrosoft社が社内ネットワークをゼロトラストに移行したり、情報セキュリティサービス企業からゼロトラストの考え方をベースにした実装サービスが提供されたりと、新しい技術トレンドとなりつつあります。

 しかし、これまでの「境界防御」モデルから「ゼロトラスト」モデルへ移行するにあたっては、いくつかの機能を同時に実装する必要があり、短期間での完全移行は非常に難しいといえます。

 例えば、「性悪説」に基づいて、内部・外部の区別なくアクセス権の制御をするには、その利用者がアクセスに使用するデバイスがセキュアな環境からの接続であるかどうか、マルウェア感染の可能性がないか、その他不自然な利用がないか(地理的・時間的に、など)といった観点で必要な情報を収集・リアルタイム分析し、その時々の状況に応じてリスクを評価した結果を基にアクセスコントロールを行う仕組みが必要となります。

 このような複雑なアクセスコントロールの実現は現実的には人手では困難です。デバイス制御や振る舞い分析などの検知結果の自動収集・分析とそれに基づくアクセスポリシーへの自動反映、さらにはアクセスコントローラによる制御機能までを自動連携できるシステムの構築が必要となります。

自社の状況に応じた段階的な導入検討を

 このようにゼロトラストモデルへの移行にあたっては、実装を検討すべき要素が複雑なため、 予算上の制約も考慮して段階的な移行をすることが現実的といえます。例えば、STEP1として2要素認証などのユーザ認証の強化、STEP2としてデバイス情報収集・管理システムの導入、さらにSTEP3としてそれらを連携した振る舞い分析の導入などが考えられます。まだ未成熟な分野であるため、既に移行した企業の事例や新しいソリューションの情報収集がポイントです。自社のリスク状況を見極め、必要に応じた情報セキュリティ対策を拡張性も考慮しながら段階的に導入していくことで、一歩ずつゼロトラストモデルへの移行を検討していきましょう。

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷
NTT東日本 サイバーセキュリティチーム 木村知広

NTT東日本 サイバーセキュリティチーム 木村知広

メルマガ登録


「人材不足」を働き方改革で乗り越える


教育機関向け特集


自治体向け特集


イベント・セミナー情報


ICTコンサルティングセンタ

ページトップへ

close