新型コロナウイルス感染拡大の影響を受けて急激にリモートワークの普及が進むなか、「自社のリモートワーク環境に不安がある」「導入までに時間がなくセキュリティの検討が不十分」といったようにセキュリティ面の課題を抱えている企業も少なくない。

一方で、リモートワークに対して「うちはVPN接続だから大丈夫」「社内ネットワークをマイクロセグメンテーションでしっかり整備しているので問題ない」などといった声もあるが、実際のところはどうだろうか。

日本マイクロソフトが6月17日から30日まで開催するオンラインイベント「de:code 2020」のセッション「ゼロトラスト Deep Dive 間違いだらけのリモートワーク セキュリティ」では、日本マイクロソフト クラウド&ソリューション事業本部 テクニカル スペシャリスト 小町紘之氏が、どのようなリモートワーク環境を整えるべきか、「ゼロトラスト」の考え方を基に解説した。

日本マイクロソフト クラウド&ソリューション事業本部 テクニカル スペシャリスト 小町紘之氏(セッションは3DView/2DViewの視聴環境が用意された)

「VPN接続だから大丈夫」ではない? ゼロトラストの考え方

昨今注目が集まるゼロトラスト。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が今年2月に「Special Publication 800-207 2nd Public Draft」として公開したゼロトラストアーキテクチャの定義によると、「情報システムおよびサービスにおいて、正確なアクセス許可を行う際の不確実性を排除するために設計された概念、アイデア、およびコンポーネントの関係(アーキテクチャ)を提供するもの」とされている。

小野氏は、「わかりやすく言えば、データとサービスへの不正アクセスを排除するためにアクセス制御を可能な限り細かくするということ。また、要求元が『信頼できる』こと、およびリクエストが有効であることの確認が求められる。さらにゼロトラストは、『認証』と『許可』の2つの領域に適用され、『暗黙の信頼性』に依存してはならない」と説明する。

つまり、冒頭で挙げた「VPN接続だから大丈夫」という考え方は、「社内ネットワークであれば安全」という社内ネットワークへの信頼が根本にあるが、これが「暗黙的な信頼」に該当するため、ゼロトラストの考え方に反してしまうことになる。

「VPNは接続後にどこのリソースにアクセスするかということまでは制御していません。しかしNISTのゼロトラストの定義には、全てのデータソースとサービスを識別し、きちんとアクセスを制御すべきであるということが記載されています」(小町氏)

NISTによるゼロトラストアーキテクチャの6原則