ゼロトラスト
ゼロトラストとは?
「ゼロトラスト(Zero Trust)」とは、「全てを信頼しない」という考え方を前提に対策を行うネットワークセキュリティモデルのこと。2010年に、米Forrester Research社が提唱しました。ゼロトラストキュリティにおいては、認証や許可を受けたユーザー・デバイスのみがデータにアクセスすることができます。近年のサイバー攻撃の高度化に伴い、より厳しいセキュリティ対策モデルとして注目されています。
IoT機器、クラウドサービス、
テレワークで、増加するリスク
近年、サイバー攻撃の手口は多様化してきており、サーバー停止や情報漏えいといった大きな被害が発生することのないよう、対策を講じる企業が増えています。新型コロナウイルス感染症の流行拡大によってテレワークが増加したことも、企業におけるセキュリティ対策の徹底を促進しました。
サイバー空間の脅威に対して、警察庁はインターネットとの接続点にセンサーを設置。リアルタイム検知ネットワークシステムを24時間体制で運用することで、通常のインターネット利用では想定されない接続情報などを検知し、集約・分析しています。
同庁が2020年10月に発表した資料によれば、2020年上半期に同システムが検知したアクセス件数は、1日・1IPアドレスあたり6218.1件。2019年上半期の3530.8件、2019年下半期の4842.4件と比べると、増加していることがわかります。増加の背景には、IoT機器の普及によって攻撃対象が増加していることがあります。
内部ネットワークと外部ネットワークの境界線に対策を講じるペリメータ(境界型)セキュリティは、物理的に社外からのアクセスを要するテレワークとの相性が良いとはいえません。業務においてクラウドサービスの利用が一般的になったことも手伝い、保管場所が外部にあるクラウドサービスに対しては、内部と同じレベルでのセキュリティを発揮するのは難しいという現状もありました。
2021年5月に総務省が発表した「テレワークセキュリティガイドライン」にも、ゼロトラストセキュリティの考え方が盛り込まれています。それによれば、ゼロトラストセキュリティを実現するための要件として、次のような項目が挙げられます。
1.ネットワークの内部と外部を区別せず、データや機器等の最小単位でセキュリティを考える
2.強固な利用者認証と厳密なアクセス管理
3.セキュリティ対策に関して環境(場所・端末等)の制約を設けない
ゼロトラストを採用することで、コストがかかる、場合によっては利便性が悪くなる、といったデメリットがあります。しかし、従来のセキュリティ対策のままでは、リスクが高まる可能性もあるでしょう。働き方の変化に伴い、企業やシステム担当者はセキュリティ対策の考え方をアップデートさせる必要があるのです。
・参考
令和2年上半期におけるサイバー空間をめぐる脅威の情勢等について(警察庁)
テレワークセキュリティガイドライン 第5版(総務省)
用語の基本的な意味、具体的な業務に関する解説や事例などが豊富に掲載されています。掲載用語数は1,400以上、毎月新しい用語を掲載。基礎知識の習得に、課題解決のヒントに、すべてのビジネスパーソンをサポートする人事辞典です。
