「ゼロトラスト」3つの“誤解” どのように考え、企業内で検討していくべきか:ニューノーマル時代のセキュリティ(1/3 ページ)
ここ1年で認知度が高まった「ゼロトラスト」。企業内でゼロトラストをどのように考え、検討していくべきかを考える。
2011年に登場した概念「ゼロトラスト」の認知度が、ここ1年で急速に高まった。企業・組織内のネットワークであっても、全ての通信を信頼せず、常に検査するという考え方だ。認知拡大の一因には、クラウドの普及やサイバー攻撃の巧妙化といったセキュリティの側面もあるが、新型コロナウイルスの感染拡大に伴い、リモートワークが急増したことが大きいだろう。とりわけリモートワークの環境整備を進める上で浮き彫りになった「VPN帯域/ライセンスの枯渇」という喫緊の課題と、ゼロトラストのコンセプトが見事に合致したのだ。
注目を浴びているゼロトラストだが、この言葉が特定のソリューションを指さない「概念」であることから、当初は「実態をつかめない」「結局、何なのかよく分からない」という意見も多かったのではないだろうか。現在では「ゼロトラスト対応」をうたう製品が市場に流通し、抽象的だった概念も徐々に輪郭が浮かび上がりつつある。
一方、各企業では「どのような考え方でゼロトラスト化の是非を判断すべきか」「そもそも自社でゼロトラスト化を推し進めるべきなのか」という根本的な疑問が増えてきているのはないだろうか。そのため、本稿では「ゼロトラストとは何か」「どのような製品を組み合わせるべきか」といった技術論ではなく、「そもそもゼロトラストをどのように考え、企業内で検討していくべきか」という点に触れたい。
筆者は、ゼロトラストは経営課題にひも付く打ち手の一つであり、その前提で検討すべきと考える。強調したいのは以下の3点だ。
- 1.ゼロトラストは、リモートワークのツールではない
- 2.ゼロトラスト化は、製品導入だけで成し遂げられるものではない
- 3.ゼロトラスト化は、目的ではなく手段である
1.ゼロトラストは、リモートワークのツールではない
上述したVPN帯域/ライセンスの枯渇という問題を受け、ゼロトラスト関連ソリューションが「VPNの代替」のように喧伝(けんでん)される傾向がみられる。ゼロトラストの「接続元ネットワークを問わず、ユーザー・デバイスおよびコンテキストに基づき認証する」という性質を考慮すれば、それは間違いではない。
しかし、短期的に「VPNの代替」としてゼロトラスト化を考え、部分最適で関連ソリューションを導入することには異を唱えたい。VPNの容量が足りないのであれば、既存の回線や装置を拡張する選択肢もあるからだ。
一般にVPNの拡張ではなくゼロトラスト化を選択する理由としては、以下のような点が挙げられる。
- Web会議や各種クラウドの利用に伴い、インターネット向けトラフィックが増加している。VPNで全通信を収容し、自社のデータセンターを経由させる構成に合理性がない
- VPNではラテラルムーブメントを防げず、セキュリティレベルが低い
※ラテラルムーブメント……企業のネットワークに侵入したマルウェアが、そこから感染可能なサーバ、パソコンなどを探し、感染の範囲を広げていくこと。
どちらも正しいが、前者については、ゼロトラスト化に伴い、既存のインターネットゲートウェイを廃止できることが条件だ。それができなければ、並行運用となり、双方のコストがかかる。既存のインターネットゲートウェイを増強する方がコスト面では合理性があるのではないだろうか。
では、後者についてはどうか。ラテラルムーブメントによる侵害リスクを低減するには、社屋やデータセンター内のトラフィックにも同様の考え方を適用しなければならない。つまり、リモートアクセス環境だけに対応しても意味がない。インフラの環境全てを厳密にゼロトラスト化する必要がある。
いずれにしても、将来的な拡張や解決すべき課題を可視化し、それらを見据えてゼロトラスト化を検討すべきだ。
関連記事
- VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。 - 「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。 - 2万人超“全員テレワーク”を実現、VPNのパンクを回避したLIXIL
4月から原則、在宅勤務に切り替えたLIXILグループ。コロナ禍以前は「全員が同時にテレワーク」は想定しておらず、対応に追われたという。全員が同時にVPN接続するとパンクしてしまう、という課題をどう打破したのか。 - カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。
Copyright © ITmedia, Inc. All Rights Reserved.