クラウドの利用が拡大し続けている昨今では、守るべきものが社内外に点在することも多く、セキュリティに対して従来のオンプレミスとは異なる考え方が必要になる。そこで注目されているものの1つが、誰も信用しないことを基本の考え方とするゼロトラストだ。
9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に慶應義塾大学 グローバルリサーチインスティテュート 特任教授の手塚悟氏が登壇。ゼロトラストの導入に向けて留意すべきこと、構築や利用において考えるべきことを解説した。
ゼロトラストの基本的な考え方とは
講演冒頭で手塚氏は昨今のセキュリティの状況について、環境とシステムの両面で変化が起きていると述べた。環境面では、新型コロナウイルス感染症の流行の影響などによりリモートワークが拡大してきた。そしてシステム面では、オンプレミスからクラウドへの移行が加速している。さらにサイバー攻撃の手法も多様化・巧妙化し、エンドポイントが直接狙われるケースも増加。従来の主流だった境界防御では防ぎきれなくなっているため、防御のモデルとして、クラウドセキュリティ、ゼロトラストセキュリティ、エンドポイントセキュリティが注目されている。
ゼロトラストとは、信頼できるネットワークやデバイスが存在しない、つまりトラストがゼロであることを前提として、ユーザーやデバイス、アプリケーションに対して厳格なアクセス制御と認証を行うものだ。クラウドやモバイルデバイスが普及する一方、サイバー攻撃も増加しており、アイデンティティおよびアクセス管理(Identity and Access Management、IAM)やエンドポイントのセキュリティの重要性は高まっている。また企業のリモートワーク推進により、クラウドベースのアプリケーションとインフラはさらに多く採用されていくことが予想される。そこで重要になるのがゼロトラストの活用なのだ。
従来の境界防御の代表はファイアウォールで、攻撃を境界で防ぎ、その中は安全な環境に保つという考え方である。これに対しゼロトラストは、エンド側にあるリソースやデバイスにアクセスする際に、そのアクセス者が正当どうかをつねに検証するという考え方になる。
-
ゼロトラストと境界防御の違い
構築のためには、従業員とデータの分類が必須
ゼロトラストを構築するには、まず従業員とデータそれぞれについて分類することが必要となる。従業員の分類でもっとも分かりやすいのは役職による分類だ。例えば社長以下役員レベル、中間管理職、一般職員と3つに分類し、それぞれに認証用の情報、つまりデジタルクレデンシャルを発行する。これによって、誰が今システムに入ってきているかが一目瞭然になる。
PostgreSQLに任意のコードが実行可能な脆弱性、早急にアップデートを
