【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
******
もう俺は誰も信じねえ!
相手はユダかブルータスか明智か。信じる心を失ってしまうほど大きな裏切りにあった人間の叫びのような考え方が、現在主流になりつつある情報セキュリティ概念「ゼロトラスト」である。
これまでは、社内と社外で明確にセキュリティの境界は分離されており、
・社外から持ち込んだデバイスは、社内ネットワークに接続する前に必ずセキュリティチェックを実施する
・社外からVPN等で接続する場合には必ず認証をかける
・社外から社内への通信は全てチェックし、不正と思われる通信はブロックする
など、「社外は危険で社内は安全」 という認識の下でセキュリティ対策が施されてきた。
これを「境界型セキュリティ」と言う。
一方「ゼロトラスト」は、すでに社内に存在するデバイスもユーザも一切信用すべきではない、という考え方である。そんな人の心を失くしたような考え方が主流になりつつある理由は、簡単に言えば、社内と社外の出入り口だけを防御していても意味が薄くなったためだ。
ではなぜ境界防御の意味が薄くなったかと言うと、要因は主に3つある。
1つ目には、サイバー攻撃の増加と多様化が挙げられる。
2010年代以降、不正プログラムに感染させようとあの手この手で工夫され、攻撃手段が多様化し、攻撃件数も増加の一途を辿っている。
今やメールだけでなく、各種SNSやSMS、果てはQRコードも不正プログラムへの誘導に使用されているし、何気なく開いたメールに記載されたURLが不正Webサイトへの誘導であるケースはもはや珍しくもなんともない。
このような状況で境界防御とデバイス上で最低限のウイルスチェックだけをしていても、気付いた時には感染が広がっている事態になりかねない。
2つ目の要因として、コロナ禍を経た働き方の変化がある。
コロナ禍において必要に迫られたテレワークと、主に共働き家庭をターゲットにした働き方改革は相性が良く、コロナ禍前にはなかなか動きがなかった働き方改革が結果として一気に進むこととなった。
テレワークが珍しくない社会環境になり働きやすさが向上する一方で、家庭内LANからVPN等を使用して社内ネットワークにつなげるケースが大きく増え、セキュリティの側面においてリスクが高まった。
3つ目に、ネットワーク環境やクラウドサービスが拡充したことも大きな要因である。
居酒屋でもスマホで注文クラウドへのアクセスを求められることもあるし、カフェからパチンコ屋まで、どこかお店に入ればフリーWi-Fiが提供されることは珍しくない。
個人所有のデバイスをプライベートの色々なシーンでインターネットに接続し、利便性を享受することが可能な世の中となった。しかし残念ながら通信が暗号化されていないケースが多くあるし、管理体制も不明である。
そんなプライベートデバイスと業務デバイスが家庭内LANで繋がるだけでもリスクなので、業務に利用することは禁止されるべきだが、完全に分離することは難しい。
これらのような社会環境の変化に伴い、出入り口だけを警備していてもいつの間にかリスクのあるデバイスが入り込んでいる可能性を否定し切れない世の中になっていることが、「ゼロトラスト」の概念が主流になりつつある理由である。
またクラウドの拡充に伴って、会社の情報資産が社外に移転されているケースも多く、そもそも守るべきものが社内に無いという状況も珍しくなく、クラウド側でのアクセス監視や監査も重要となる。
「ゼロトラスト」においては、社内のデバイスもユーザも信用せず、クラウドを含む全てのアクセスについて認証の仕組みを整え、常にモニタリングし、必要に応じて制御することが求められる。
1台の裏切りPCが元で会社の重要な機密情報が漏えい、果ては周りのPCにも影響を及ぼしてしまってから、「光秀か・・・是非もなし」「ブルータスお前もか」などと呟いても全く笑えない。
情報セキュリティにゴールはない。技術の発展や社会環境の変化に合わせて組み直し続けていくことこそが情報セキュリティである。
