連載
» 2021年01月05日 07時00分 公開

半径300メートルのIT:2021年にもう一度“トラスト”を考え直す 「無条件に信頼しない」3つのポイント

2021年最初のコラムは、ITセキュリティにおける「トラスト」について考えます。トラストは、セキュリティの根幹をなす重要な考え方です。本稿でトラストするものとトラストしないものをもう一度確認しましょう。

[宮田健,ITmedia]

 2021年がやってきました。新型コロナウイルス感染症(COVID-19)の猛威はいまだ続いていますが、今年(2021年)こそは全てがより良い方向に向かうことを期待しましょう。2021年最初のコラムは、ITセキュリティにおける「トラスト」について考えていきます。トラストはセキュリティの根幹にあるものです。今回は、2021年にトラストを考え直す上での3つのポイントを紹介します。

“トラスト”に注目が集まった2020年

 トラストといえばやはり、IT業界における2020年のバズワードである“ゼロトラスト”という言葉が思い浮かぶでしょう。ゼロトラストネットワークは、今や多くの企業が本格的に導入しており、Googleなどの巨大企業だけのものではなくなりつつあります。例えば古河電気工業は、COVID-19をきっかけにセキュリティを強化し、わずか半年でゼロトラストネットワークを導入しました。

 情報処理推進機構(IPA)とPwCコンサルティングは2020年12月、ゼロトラストアーキテクチャの起点となる文書「NIST SP800-207 Zero Trust Architecture」の日本語版を公開しました。それによるとゼロトラストは、「性善説から性悪説へ」という考え方に加えて、都度セキュリティ認証を動的に繰り返すことで実現できるものだそうです。

「NIST SP800-207 Zero Trust Architecture」におけるゼロトラストの考え方(出典:PwCコンサルティング)

1.無条件に「アプリ」をトラストしない

 考え直すトラストの1つ目は「アプリ」です。スマートフォン向けのWebブラウザアプリが2020年12月、データ提供を“オフ”に設定していても、ユーザーが閲覧したページの情報をBase64でエンコードして収集していたことが判明しました。アプリの開発元は、2020年12月20日「指摘により新たな問題が見つかった」としてアプリストアでの配信を停止し、同年23日にはサービスの終了を発表しました。

 アプリの開発者が悪意を持って収集していたとは思いたくありません。一方でイントラネットでこのような"不正な動きをする"Webブラウザを利用していた場合、社内の機密情報が外部に流出していた可能性があります。そうなれば甚大な被害が発生していたかもしれません。

 他にも、IT監視や管理ツールを提供するSolarWindsの正規アップデーターが乗っ取られてバックドアが仕込まれた結果、米政府などを狙う大規模サプライチェーン攻撃に発展した例もあります。

 アプリの開発者が事前に検証しても後日脆弱(ぜいじゃく)性が見つかり、それが攻撃に悪用されることは少なくありません。特にCMSのプラグインやWebブラウザの機能拡張は、大きな穴につながることもあります。こうしたアプリを利用する際には、常に脆弱性情報に目を光らせて必要不可欠なもの以外はインストールせず、できる限りプレーンな状態で利用することを心掛けましょう。

2.無条件に「組織」をトラストしない

 考え直すトラストの2つ目は「組織」です。テレワークやクラウド利用が進むにつれて、これまでのような社内と外部のネットワークを分離するセキュリティ対策が有効ではなくなりつつあります。物理的な距離が離れたため、いままでのように情報システム部に気軽に頼れなくなっている現状もあります。

 従業員は、組織のセキュリティ対策だけに頼らず、できる範囲で自らセキュリティ対策を実施する必要があるでしょう。コロナ禍以前のように「何かあれば情シスのせいにすればいい」や「自分には取られて困るような個人情報はない」などと逃げずに、自らの認証情報や行動情報を自分で守れるだけの知識を付けていきましょう。

3.無条件に「自分」をトラストしない

 考え直すトラストの最後は「自分」です。セキュリティにおいて「自分は大した情報を持っていない」や「自分だけはだまされない」などの油断は禁物です。本稿を読んでいる“若い”読者は、オレオレ詐欺などにだまされない自信があるかもしれません。一方で年々巧妙な手口になっているフィッシング詐欺を見抜けるでしょうか。「新しいサービスに飛びついたら銀行口座からお金がなくなった」なんてことも起きる可能性があります。

 フィッシング詐欺対策は「見抜く」ことより、できる限り自分の過信を排除して淡々と対応することが重要です。偽のWebサイトと本物のWebサイトの違いを探すよりドメインを確認したり、送られてきたメールやSMSはブックマークを確認したりする方が確実です。

 パスワード管理ツールは、正しいドメインにのみ自動で入力を実行するため、IDやパスワードを入力する際には自分を信じるよりもツールを信じる方が良いかもしれません。パスワードそのものを信用せずに、パスワードだけに頼らない認証方法を積極的に利用することも有効です。

トラストするなら、その都度検証を

 ゼロトラストは「何にも信用しない」という考え方ではありません。ITを活用していく上では、どうしてもOSやWebブラウザなどを信頼する必要があります。なるべく利用するアプリを厳選してトラストすべきものをその都度検証していきましょう。利用するアプリの脆弱性のニュースに目を光らせてアップデートを怠らないことも重要です。

 “トラスト”こそ2021年に重要なキーワードではないかと、個人的には考えています。あなたがトラストするものとトラストしないものをもう一度チェックしてみてください。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ