DX(デジタル・トランスフォーメーション)化が話題となる近年。様々な業界でデジタル化、DX化が進んでいます。クラウドサービスの利用によって働き方も以前とは変わってきており、IT技術の発展に多くの企業が注目をしています。
ですが、その一方で課題となるのがセキュリティについてです。境界型セキュリティと呼ばれる従来のセキュリティだけではオンライン化によって生じる、外部からの侵入を防ぎきることはできません。
大切な情報資産を守るためにも、今後は「ゼロトラスト」を意識したセキュリティ対策が求められるでしょう。
ゼロトラストとは、どのようなセキュリティ対策なのか。必要とされる理由について紹介します。
ゼロトラストとは?
ゼロトラストとは、「すべてのユーザー、デバイスからのアクセスを制限」する、セキュリティ対策のことです。外部からの不正アクセスはもちろん、内部からのアクセスも制限することで、より強固なセキュリティを築きます。「トラスト(=信頼)をゼロ」つまりは「何も信頼しない」という考え方のセキュリティ対策です。
今まで、セキュリティ対策といえば外部からの不正アクセスに対するものが基本でした。内部からのアクセスは基本的に正規のアクセスであるため、外部からのアクセスだけを気にするだけで、セキュリティとしては問題なかったからです。
ですが、近年は内部から情報が持ち出され、情報流出される事件が多発しています。理由はいろいろありますが、内部の人間だからこそ、簡単に情報が持ち出し可能といえるでしょう。
いくら境界型セキュリティによって外部からの侵入を防いでも、内側から情報が持ち出されていては意味がありません。
そのため、完全に流出を防ぐためには、内部からのアクセスも制限する必要があります。アクセスに制限をかけることで、勝手に持ち出されないようにするのです。
外側からはもちろん、内側からのアクセスも警戒することで、より安全に情報資産を守ることができます。
ゼロトラストにおける7つの基本原則
アメリカの「NIST(米国立標準技術研究所)」では、ゼロトラストについて説明するレポート「NIST Special Publication 800-207」において、「ゼロトラストにおける7つの基本原則」を記しています。
概念的な部分もありますが、どれもゼロトラストを実施するうえで、必要となる考え方です。
- データソースとコンピュータサービスは、全てリソースと見なす
- 「ネットワークの場所」に関係なく、通信は全て保護される
- 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
- リソースへのアクセスは動的なポリシーによって決定される
- 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
- リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
- 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する
また、7つの基本原則を踏まえた結果が、以下の3項目であるとも提言しています。
- 全てのリソースへのアクセスの認証と認可がリクエストごとに動的に決定される
- 全てのリソースの状態が、その判断に用いられる
- 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている
7つの基本原則はもちろん、踏まえた3項目を意識して取り組むことで、理想的なゼロトラストの環境が作られます。
なぜゼロトラストが必要とされるのか?
ゼロトラストが必要とされる理由は、コロナ禍によって働き方が変化したことにあります。
感染予防のためにテレワークが導入されましたが、働き場所が社外となったことで、セキュリティ面に問題が生じるようになったのです。
具体的にはどのような問題が生じたのか。ひとつずつ説明します。
業務におけるクラウドサービスの利用の増加
テレワークの特徴は、自宅で仕事ができることです。近年はパソコンでの仕事が増えてきており、自宅にパソコンがあれば、自宅でも同じように仕事ができます。
ただ、問題となるのが情報の共有です。いくら自宅で仕事ができたとしても、必要となるデータが会社にしかないと、どうしようもありません。
そこで、自宅でも同じように仕事ができるよう、クラウドサービスの利用が挙げられます。必要なデータをインターネット上で管理すれば、自宅に居ながらでも必要なデータを扱うことができます。
ですが、インターネット上で管理することにより、第3者からもアクセスが可能になってしまいます。クラウドサービスへの不正アクセス以外にも、セキュリティの甘い個人のパソコンへアクセスする方法もあり、以前のような、社内を守るための境界型セキュリティだけでは対応しきれません。
テレワークが続くということは、クラウドサービスを利用する機会も増えるということであり、早急なゼロトラストセキュリティが求められます。
社外からのアクセスの増加とデバイスの多様化
テレワークを実施する人が増えれば、それだけ不正アクセスされるリスクも上がります。単純に100人の人がテレワークを実施すれば、100人の人がクラウドサービスにアクセスするということです。不正アクセスする先や機会が増えることで、流出されやすくなるといえます。
また、タブレットやスマートフォンなど、アクセスに使うデバイスも人それぞれ異なります。デバイスによってセキュリティの強度は異なり、デバイスによっては不正アクセスを許してしまうでしょう。
ただ、アクセス1回ごとに精査するのは、現実的なプランとは到底いえません。誰が何のデバイスでアクセスしても対応ができるよう、ゼロトラストセキュリティによる対策が必要です。
内部の不正操作による情報漏洩の増加
情報の流出は、悪意ある者によっても行なわれます。企業の重要データはお金になるため、退職者がひそかに持ち出して、ライバル企業に売りつけるのです。
他にも、「目立ちたいから」「面白そうだから」といった愉快犯や、「コロナ禍によって解雇された腹いせ」にと、実施する人もいるかもしれません。
なんにせよ、情報漏洩となる原因は自社の従業員によるものであり、外部と内部を隔てるだけの境界型セキュリティでは、情報の持ち出しを防ぐことはできません。
近年は、情報技術が浸透したことにより、ペーパーレス化が進んでいます。それにより、重要な情報もデータ化され、ある意味、持ち出しやすくなったといえるでしょう。
内部不正を防ぐためにも、新しいセキュリティ対策としてゼロトラストが重要になってきます。
ゼロトラストを構成する7つの要素
ゼロトラストを実現するためには、7つの要素について意識する必要があります。それぞれどのような要素なのか確認してみましょう。
- Data
- People
- Workloads
- Networks
- Devices
- Visibility and Analytics
- Automation and Orchestration
データ/Data
データに対して求められるセキュリティ対策は、「必要なデータ以外は触らせない」ことです。扱うデータが少なければ、万が一流出してしまっても、被害を最小限に抑えられます。
重要なデータほどパスワードや特権IDを付与し、アクセスする人を制限します。さらに、利用履歴を残すことで、利用者の管理や問題が生じた際の原因究明がしやすくなるでしょう。
ID/People
IDに対して求められるセキュリティ対策は、「アクセス時にはIDを照合し確認」することです。アクセスポリシーを適用してアクセスを制限し、「誰であっても信用しない」対応が求められます。
また、IDやパスワードとは別の認証方式も導入した、多要素認証も効果的です。画像識別や音声識別なども合わせることで、より強固なセキュリティ対策となります。
他にも、逆にIDを一括管理する統合ID管理方式なら、全従業員のID管理がしやすくなります。管理者や利用者の人数に合わせて、管理方法を選択しましょう。
ワークロード/Workloads
ワークロードとは、「作業負荷」を意味する言葉です。IT業界においては「コンピューターやシステムにかかる負荷の大きさ」に対して使われます。
ワークロードに対して求められるセキュリティ対策は、「システムの脆弱性を発見」することです。「CSPM(Cloud Security Posture Management:クラウドセキュリティ動態管理)」や「脆弱性管理」といったチェックシステム(プロセス)を用いて、セキュリティに問題がないかを確認します。
人の目だけでは見逃すことが多く、完全に守れているかの判断は難しいです。特に電子世界での内容だと、尚更といえるでしょう。
システムの穴からサイバー攻撃をされないためにも、脆弱性の検証はとても重要です。
ネットワーク/Networks
ネットワークに対して求められるセキュリティ対策は、「フィルターを設置」することです。「SWG(セキュア Web ゲートウェイ)」や「SDP(Software Defined Perimeter)」などを設け、怪しいアクセスを禁止します。
また、ネットワーク自体を別にするのも効果的です。ネットワークがつながっていなければ、侵入される心配はありません。重要なデータは専用のネットワークを設けることで、不正アクセスから守ることができます。
デバイス/Devices
デバイスに対して求められるセキュリティ対策は、「マルウェアを防止」することです。「EPP(Endpoint Protection Platform)」や「EDR(Endpoint Detection and Response)」などのセキュリティ対策製品やソリューションも用いて、パソコンやタブレットなどをマルウェアから守ります。
また、万が一紛失した時のため、GPS機能などもあると便利です。スマートフォンやタブレットなどの携帯端末を一元管理する仕組み「MDM(Mobile Device Management:モバイルデバイス管理)」なら、紛失時のデバイスのロック機能だけではなくリモートでデータの消去もできるため、より情報が流出するリスクを防ぐことができます。
可視化と分析/Visibility and Analytics
ゼロトラストでは、セキュリティの可視化をすることも重要です。セキュリティを可視化することで、外部からの攻撃をすぐに知ることができます。
また、攻撃を受けたら、それに対する分析も必要です。「どのような攻撃なのか」「どこから攻撃されたのか」などを分析することで、セキュリティを強化し2度目の攻撃を防ぐことができます。
他にも、「SIEM(Security Information and Event Management:シーム)」によってログ管理を行えば、問題となる個人の特定もできるでしょう。
ただ防ぐだけではなく、その防いだ情報を基に、さらなる対策・対応をすることがゼロトラストでは重要になってきます。
自動化/Automation and Orchestration
ゼロトラストを実施するうえで、自動化は欠かせない要素です。システムが自動化されていないと、急に攻撃を受けた際にすぐ対応ができません。いつ攻撃されても大丈夫なよう、24時間監視してすぐに対応できる自動化が必要となります。
また、分析にも自動化は必要です。毎日膨大な件数のアクセスがされており、1件ずつ精査していては日が暮れてしまいます。他の作業もできなくなり、生産効率も低下してしまうでしょう。
ゼロトラストでは、様々な部分で認証や検査などを求められます。すべてを完璧に実施するためにも、自動化は必要不可欠です。
製造業におけるゼロトラストセキュリティ
ゼロトラストによる考えは、製造業の現場にも求められています。近年はスマートファクトリーへの試みとして、ネットワークでつながった製造現場が増えてきているからです。
従来の工場は、主に工場内で完結するシステムが一般的でした。機械同士をネットワークでつなげることもありますが、それは工場内だけのネットワークであり、外部からアクセスすることはできません。
ですが、近年浸透しつつあるloT技術は、各種のデバイスが外部とのネットワークともつながるようにできています。それによって遠隔操作やセンサーを用いたリアルタイムの監視などができるようになりましたが、外部とつながったことで、不正アクセスのリスクを抱えるようになったわけです。
従来のセキュリティだけではloTに対するセキュリティ対策は難しく、対策なしにloTへ移行してしまうと、不正アクセスを許してしまいます。
第四次産業革命を目指す近年において、今後はloT技術が重要となってきます。工場内でのオンライン化も進むと考えられ、オンライン化に対するゼロトラストセキュリティが強く望まれます。
「インダストリー4.0」というのを聞いたことはありますか?これはドイツが政策を進める産業プロジェクトの一環であり、日本では「第4次産業革命」といった意味となります。 18世紀後半に行われた「第1次産業革命」から続く、第4段階目[…]
製造業が気にしておくべきインターネットセキュリティ
製造業は特にデジタル化、ICT化が遅れているといわれています。いきなりすぐに知識が身に付けるというのは簡単なことではありません。そうした意味でも、インターネットセキュリティに対する意識は持っておくべきとだと思います。
ゼロトラストセキュリティにも関連する部分はありますが、製造業が気にしておくべきセキュリティについてご紹介します。
製造業が最も被害を受けたランサムウェア
ランサムウェアとは、簡単にいうと「身代金要求ウイルス」のことです。ランサムウェアに感染すると、パソコン内のデータに勝手にパスワードをかけられて(暗号化されて)しまいます。その上で「パスワードを解いてほしければ、金を払え」と金銭を要求されてしまいます。
たとえお金を払っても、パスワードを解いてくれるとは限らず、どうしようもなくなった例もあるそうです。
警察庁も2022年の調査結果で、ランサムウェアの影響は増加傾向にあると発表しています。また、IBM社の調査によると「2020年に最もランサムウェアの被害にあった業種は製造業であり、全体の3割(37%)を占めている」と発表しています。
こうした被害を防ぐためにもインターネットセキュリティに対する知識を付けることはもちろんのこと、まずは意識を持つ必要があります。
ランサムウェアについての主な感染経路や対策などを紹介している記事もありますので、ぜひご一読ください。
近年、デジタル社会への取り組みとして、様々なモノがインターネットでつながるようになりました。遠隔操作や自動化なども可能となり、より社会は便利になってきています。 ですが、便利になる一方でサイバー攻撃による心配も増えてきています[…]
年々種類が増えていくマルウェア
マルウェアとは、悪意のあるコンピュータウイルスやソフトウェアのことです。英語で「悪意のある」を意味する「マリシャス:malicious」と「ソフトウェア:software」の2つの単語からなる造語として、コンピュータウイルスやスパイウェアなど悪意のあるプログラムやソフトウェアの総称となる言葉です。
上述の「ランサムウェア」もこのマルウェアの一種といえます。よくいわれる「ウイルス(コンピュータウイルス)」や「ワーム」、「トロイの木馬」などもマルウェアに含まれます。他にもユーザの気付かない内にパソコンにインストールされて、個人情報やWebサイトのアクセス履歴などを収集するものとして「スパイウェア」と呼ばれるものもあり、企業においては顧客情報のデータ流出の原因ともなるため対策が必要となります。
ウイルス対策ソフトの業者や警視庁・警察庁のサイバー犯罪対策課などが対策してはいますが、年々悪質かつ手口も巧妙化しているといわれています。
どんどん悪質になっているマルウェアの侵入を防ぐためにも、セキュリティ対策は必要ですが、まずは意識的に知識を付けるところから始めるのが最初のステップになるでしょう。
感染によってデータを破壊・流出させるマルウェア。デジタル化が推進される近年において、マルウェアの被害は年々増加傾向にあります。 その被害の多さから警察庁でも注意勧告されており、企業や個人への対策が求められています。 とは[…]
まとめ:DX時代のセキュリティ
DX化は、便利になる一方で新しいリスクを抱えるようにもなります。オンライン化によって外部からもアクセスができるようになり、企業の情報資産を守るためにも、新しいセキュリティ対策が求められます。
また、外部からの侵入を守るだけでは完璧とはいえません。内部からの情報流出も、よくニュースで取り上げられ話題となっています。本人にその気がなくても、マルウェアを仕込まれたり、持ち出したデータがハッキングされたりする事例も少なくはないでしょう。
情報資産を守るためには、「何も信用しない」ことが大切です。ゼロトラストを意識して、大切な情報資産を守ってください。
