with azbil
A to Z知って、なるほど! Keyword
- NEW
ゼロトラスト
情報システムや業務データへのアクセスや行動に対し、常に正当性を検証し、監視するセキュリティの考え方。従来のように「信頼できる内側」と「信頼できない外側」に分け、その境界を守るのではなく、すべてのアクセスや行動を信頼しないことを前提に、様々なセキュリティ対策を講じる。
© 林宏之
なぜ今、セキュリティの在り方が変わったのか
近年、コンピュータウイルスやサイバー攻撃に関するニュースを目にする機会が増えています。手口も巧妙化し、業務連絡を装ったメールを受け取った利用者がリンクからログインしてしまい、気付かないうちに被害に遭うケースも少なくありません。このような状況を踏まえて、企業の情報セキュリティに対する考え方が見直されるようになりました。
これまで多くの企業では、ネットワークを外部(インターネット)と内部(社内システム)に分け、その境界を守ることで安全を確保する境界型防御が採用されてきました。例えば、境界にファイアウォール*1やVPN*2接続などを設け、外部からの不正な侵入を防ぐ仕組みがそれにあたります。外部からのアクセスは厳しくチェックされますが、いったん境界を越えて内部に入ってしまえば、その後の社内システム上での操作は都度確認しないことが基本でした。オフィスビルに置き換えると、入口で来訪者を確認し、一度中に入った者は自由に社内を歩き回り、どこへでも行ける状態に近いといえます。
しかし、情報セキュリティを取り巻く環境は大きく変化しており、今や「中にいる人は信頼できる」という前提は成り立ちにくくなっています。その背景には、テレワークの普及やクラウドサービスの利用拡大など、外部と内部の境界そのものが曖昧になってきたことがあります。さらに、外部からのサイバー攻撃によって盗まれたID/パスワードを使ったなりすましや、内部にいる関係者の不正、悪意のない操作によるマルウェア*3への感染が懸念されるなど、従来の境界型防御だけでは、十分なセキュリティ対策とはいえなくなってきました。
そこで、注目されているのが、「ゼロトラスト」という新しい情報セキュリティの考え方です。ゼロトラストでは、情報システムや業務データへのログイン、ファイル閲覧などといった操作について、外部は信頼できない、内部は信頼できると決めつけるのではなく、常にその正当性を検証・監視した上で実行を許可するというものです。
ゼロトラストという概念は、2010年にアメリカで提唱され、その後、アメリカの政府機関を中心に具体化が進められてきました。日本においても、2022年にデジタル庁が政府情報システムを対象とした「ゼロトラストアーキテクチャ適用方針*4」を公表し、公的機関だけでなく、民間企業にとっても重要なセキュリティ対策として位置付けられています。
守るべき情報資産に応じたセキュリティ設計
ゼロトラストは、単に「信頼しない」という姿勢を示すものではありません。重要なのは、その前提を踏まえて、企業が守るべき情報資産や業務の内容に応じてセキュリティを設計していくことです。企業や組織によって扱う情報や重要度は大きく異なります。そのため、ゼロトラストの考え方に基づくセキュリティ対策も一律ではなく、何をどこまで守る必要があるかを見極めた上で、適切な対策を講じることが求められます。
例えば、社内システムに入るためには、ユーザーがパスワードを正しく入力した場合、従来の境界型防御であれば、何の疑いもなくアクセスを許可していました。しかし、そのパスワードが第三者に盗まれて悪用されている可能性もあります。ゼロトラストでは、こうしたリスクを前提とし、パスワードだけでなく、生体認証やアプリケーションによる承認なども組み合わせることで、誰がアクセスしているのかを厳密に確認します。
また、境界型防御では、いったん社内システムへのアクセスが認められると、様々なデータやシステムに自由にアクセスできてしまう点も課題とされていました。これに対しゼロトラストでは、ユーザーごとに業務上必要な範囲に限ってアクセス権限を付与します。システムによっては、シングルサインオン*5等の認証基盤と連携することで、ユーザーが毎回認証操作を行わなくてもアクセスの可否を自動的に判断し、結果として意識することなく保護されている状態を実現しています。ただし、特に重要なシステムやデータについては再度の認証を求めるなど、より慎重な確認を行います。これらの仕組みにより、不正アクセスや情報漏えいが発生した場合でも、被害の影響を最小限に抑えることができます。
個人の意識と行動が安心な業務環境を支える
このように、すべてのユーザーやアクセスの正当性を確認し、外部・内部といった接続元のネットワークに左右されない情報セキュリティが求められています。ゼロトラストが目指しているのは、企業が定めたルールや仕組みの下で業務を進めることで、従業員一人ひとりが安心して業務に取り組める環境を維持することです。日々の業務が滞りなく進み、“何も起こらない状態”が保たれていることが企業にとって望ましい姿といえます。
その実現に向けては、セキュリティシステムだけで完結するのではなく、従業員一人ひとりの意識が大切です。多くの企業では、ゼロトラストを前提とした継続的なセキュリティ教育や啓蒙活動を通じて、意識の醸成に向けた取組みを行っています。フィッシングメールや不正サイトへのアクセス、安易なフリーソフトのダウンロード、外出先でのフリーWi-Fiへの接続、パスワードの使い回しなど、日々の行動に対して注意喚起が行われています。近年では、詐欺メールや不正サイトは生成AIを使って本物そっくりにつくられることもあり、慎重な人であっても反応してしまうほど巧妙になっています。自分だけはだまされないつもりでいても、体調や状況の変化で注意力が低下し、判断を誤ってしまうこともあります。そのため、企業が定めた行動ルールやシステム上の仕組みを正しく理解し、「常に確認する」という姿勢が重要になります。
サイバー攻撃は、まずは個人を足がかりにして、そこから企業のシステムへ侵入を試みるケースも少なくありません。業務時間に限らず、日常生活の中でも確認する習慣を身に付けることが、安心して業務に取り組める環境を支え、企業の情報資産を守るだけでなく、個人としての安全を守ることにもつながります。
- *1:ファイアウォール
内部ネットワークと外部ネットワークの境界に配置され、外部からの不正なアクセスや攻撃を遮断するためのセキュリティシステム。 - *2:VPN
インターネット上に仮想的な専用回線を構築し、通信内容を暗号化。外部から安全に社内システムへ接続できる仕組みで、情報の漏えいや改ざんを防ぐためのセキュリティ技術。 - *3:マルウェア
情報の盗難やシステムの破壊などを引き起こす可能性がある悪意のあるプログラム。メールの添付ファイルや不正なWebサイトなどを通じて感染することがある。 - *4:ゼロトラストアーキテクチャ適用方針
政府の情報システムにおいて、クラウドサービス活用やテレワーク拡大を前提とした業務環境に対応するため、ゼロトラストの考え方をどのように適用していくかを示した基本方針。 - *5:シングルサインオン
一度認証(IDやパスワードの入力)を行うと、その認証情報を基に複数のシステムやアプリケーションへのアクセスが可能となる仕組み。
関連情報
