こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人 情報処理推進機構 は7月11日、「ゼロトラスト移行のすゝめ」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ゼロトラストを検討する際の流れについてまとめられた資料が公開されています。テレワークの普及でより必要性が高まっているゼロトラストの概念や、導入する際に気を付けるべきポイントについて説明します。
今回の資料では、ゼロトラストへの移行を検討する組織の担当者に向けて、ゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントをまとめています。
本書の構成は、第1章でゼロトラストの概念について、第2章でゼロトラストの具体的な進め方について、第3章で本書の内容についてまとめられています。
ゼロトラストとは、接続するネットワークの安全性を無条件に信用しないというセキュリティの概念です。すべてのプロセスにおいて確認し、認証と認可を行うなど、ゼロトラストの基本的な考え方についてはNIST SP800-207で解説されています。
例えば、Aさんがお住まいのマンションを想像してみてください。1階のオートロックは、マンションの住人がカメラに映った顔を見て、不審者でないと判断できれば自動ドアが開けられることになります。マンションの住人を信じることができれば、マンション内に不審者が侵入することはありません。考え方によっては、Aさんの部屋に鍵をかける必要はないと思われるかもしれません。
しかし、不審者が宅配業者を装って、それをマンションの住人が見抜けなかった場合や、誰かがオートロックを開けた際に、不審者が友連れでマンション内に侵入してきたらどうなるでしょうか。マンション内に不審者が立ち入ることになりますし、仮にAさんが部屋に鍵をかけていなかったら、部屋の貴重品が盗まれてしまうかもしれません。
このように「内側は安全、外側は危険」といった単純な分け方で境界線を引いてセキュリティを考えてしまうと、思わぬ状況で情報資産が危険にさらされてしまうことになります。さらに、テレワークが一般化している現状は、オートロックの外側にAさんの部屋があることと同等で、無条件に信用しないというゼロトラストの概念がより必要とされるわけです。
ゼロトラスト構成への移⾏で最も重要なポイントは、何を解決するためにゼロトラストを採用するのかを明確化することとされています。資料の内容を引用しながら、出来るだけわかりやすく説明します。
引き続き、先ほどのAさんがお住まいのマンションを例としてみます。不審者が入らないようにするための対策として、監視カメラを設置したり、宅配ボックスを設置したり、管理会社が常駐したりすることが検討できます。しかし、不審者がマンションの住民であった場合は、これらの対策だけではAさんが期待する目的は十分に達成されないかもしれません。
ゼロトラストでも、ゼロトラスト構成に移行すること自体が目的化してしまうと、組織の課題解決に至らない可能性があります。理由として、組織が抱える課題はそれぞれ異なり、ゼロトラストはあくまでも概念であるため、唯一無二の正解という構成はない、ということが挙げられています。ゼロトラストでも、組織の課題にあった構成が求められるということです。
また、ゼロトラストにおいても、ユーザの利便性やシステム運用の効率化も考慮して、今後どのような働き方をしたいかすり合わせるべきともしています。Aさんのマンションやフロアへ一切の立ち入りを禁止すれば不審者の来訪は減るかもしれませんが、Aさんのライフスタイルには合わないかもしれません。引き続き、手段の目的化が起こらないように注意することが必要とされています。
今回は、ゼロトラストの概念と、導入する際に気を付けるべきポイントについてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
