常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「ゼロトラスト」の意味

ゼロトラストとは、「誰も信用しない」ことを前提として重要なデータにアクセスする全ての通信をその場で検査するというセキュリティモデルのことです。

従来、セキュリティ対策といえばファイヤウォールやIPS/IDSなど外界から侵入してくる者を遮断するための対策をとることが主でした。これは境界型セキュリティモデルと呼ばれ、『インターネットなど社外のネットワークには危険があり、社内は安全である』という考え方をベースとしています。

しかしながら近年では、クラウドサービスの業務利用などによってサーバースペースの固定がなくなり、在宅勤務やモバイル端末を使ったテレワーク、slackやbacklogなどの外部ツールの利用などにより、ワークスペースの固定すらも無くなってきています。データや通信元端末は、“社内外を行き来することが前提”となっています。こうした働き方が広がるにつれ、これまでのような「内」と「外」の定義はあいまいになり、その結果「安全」と「危険」の境界を引くことができなくなってきました。

また、社員による情報漏えいの多発やアカウント乗っ取りによる不正の横行もあり、社内にも危険因子が存在することも前提としてセキュリティ対策を講じることが必要となってきています。

そこで、データにアクセスする通信を全て検査し、安全と判断されたものだけを通すという、厳密なアクセス管理を行う「ゼロトラストモデル」が注目されています。

ゼロトラストモデルは2010年にForrester Research社により提唱されたセキュリティモデルで、上記のような時代の流れによりここ1~2年で注目度が上がってきています。

ゼロトラストモデルを実現するためには具体的に、端末管理とアクセス管理、ログ監視を行います。

・端末管理

アクセス元の端末が管理されている端末と一致するか、端末上のセキュリティソフトが有効か、OSのセキュリティパッチが最新化されているかなどのポイントを確認します。

・アクセス管理

正規のIDか、アクセスに使われているIDは漏えいしているものかどうか、短時間でアクセス失敗を繰り返すなどの不審な挙動をしていないか、国外からのアクセスなど極端な移動を行っていないかなどのポイントを確認します。

・ログ監視

全てのトラフィックに関してアクセスログを取得します。また、エンドポイントログ監視を行い、端末がマルウェア感染していないかなど端末側の安全をチェックします。インシデント発生時には自動でアクセス遮断などの対処を行います。

こうした機能には、IAM（アイデンティティ／アクセス管理：Identity and Access Management）、UEBA（ユーザー・エンティティふるまい分析：User and Entity Behavior Analytics）、EDR（エンドポイントでの検知／対処：Endpoint Detection and Response）などを使用します。そして、全てのアカウントのアクセスに対して毎回検査を行います。

 

アカウントの乗っ取りについては、従来のホワイトリストによるアクセス管理では防ぐことができませんでした。しかしながらゼロトラストモデルでは、機械学習によるふるまい検知などとの連携により、正規のIDに対しても条件によって動的にアクセスポリシーを変更することができます。これまで、時間や場所を選ばない働き方の推進にはセキュリティ対策が難しくなることが障壁となっていました。ゼロトラストモデルは、どこからのアクセスに対しても安全を確認できるので、場所を選ばないこれからの働き方に対するセキュリティの一つの解であると言われています。

 

二段目　ITが苦手な経営者向け

とある広告代理店の社長、情シスの寅さんと社内で起こったインシデントについて話しています。

社長：今回の情報漏えいは社員が原因だったんだって？

寅さん：そうですね。営業で外出中に自分のスマホを業務使用していたのが原因でした。そのスマホがウイルスに感染していたんです。

社長：困りましたね。私用端末を使わないように徹底したとしても、実際はIDさえ合っていればどこからでもアクセスできてしまうからなあ。人に頼らずシステム側で防ぐ手立てはありませんかね？

寅さん：そうですね、システム側で防ぐならば、やはりデータアクセス管理をもう少し厳しくすることですかね。

社長：スマホからアクセスさせないようにするのですか？

寅さん：アクセスしてくる人と端末を都度確認して業務により必要なデータだけに絞ってアクセスできるようにする、ということです。できれば、ゼロトラストモデルのようにするといいのですが。

社長：ゼロトラスト？ なんだかハリウッドの映画にでもありそうな名前ですね。

寅さん：ゼロトラストというのは、「データアクセスの際にアクセスする人全てを確認する」というセキュリティ対策モデルなんです。今は、社内ネットワークにつないでいるか、外からクラウドに入ることができれば、業務データはそのまま見ることができています。データアクセスの際に毎回誰がどうやってアクセスしているかの検査はしていないということです。ゼロトラストモデルでは厳密にID管理をして、誰がどのファイルにどうやってアクセスするかを、アクセス時に毎回検査するんです。

社長：今回の場合でいうと、営業がスマホを操作してクラウドにつなごうとすると・・・？

寅さん：アクセスできる端末を事前に登録して管理しておいて、そのスマホが登録されていないものならデータアクセスはできません。正しいIDとパスワードを持っているとしてもです。

社長：なるほど。

寅さん：さらに、スマホや端末側のセキュリティ製品とも連携して、業務用スマホだとしてももしウイルスに感染していればアクセスできないようにシャットアウトできるんです。

社長：なるほど！

寅さん：営業さんが外にいてもアクセスできるクラウドサービス上のデータ管理は便利ではありますが、どこからでもアクセスできる分、情報漏えいに弱いともいえるんです。ゼロトラストモデルはアクセス時に毎回検査するので、データをより安全に守ることができます。

社長：ゼロトラストとは、「信頼がゼロ」って意味ですよね。世知辛い気もしますが、毎回みんなを検査するというのが肝なんですね。

 

三段目　小学生向け

夏も近づき、そろそろ夏休みの予定を立てている子もいるのではないでしょうか？

プール？　それとも遊園地？ 〇〇〇ランドなどはその両方とも楽しむこともできます。そうした施設では、入園時にリストバンドを手首につけたり、“パスポート”を首からぶら下げたりしませんか？ それさえあれば、園内では自由にどのゾーンにも行き放題、アトラクションも遊び放題なんていうところもあります。

さて、本日のお題は「ゼロトラスト」、会社のセキュリティのお話です。少しむずしいかもしれないかもしれませんがアミューズメントパークに例えることで、少しでも分かってもらえたらと思っています。

前に書いたリストバンドや“パスポート”というしくみは、入園する前にお金をはらえば、あとは行くゾーンやアトラクションごとにお金をはらうことはありません。それは「この人はどのアトラクションを使ってもよい（フリーパス）」という証になるからです。そのため、パスポートを持っていない人が入ってこないように、こうした施設は外からの入口が一つだけだったり、入口でないところからは入れないようにぶあつい壁や高い柵で囲まれていたりします。

このパスポート制のパークは、いわばコンピュータシステムに入る（外部からのデータを会社内に通過させる）ときだけ検査を受けるタイプのセキュリティシステムと似ています。コンピュータシステムとは、アトラクションがたくさん存在するアミューズメントパークのようなものです。人々はそのシステムに“入園”＝ログインするときに“パスポート”＝IDとパスワードなどで確認し、OKであれば“アトラクション乗り放題”＝システムの中で自由にアプリケーションやサービスを利用することができます。

その一方で、こうしたアミューズメントパークとは別に、公共の公園のように入ることにお金がかからない施設もあります。そういうところでは、何かアトラクションが設置されていれば、そのアトラクションごとにチェックする係員がいて、そこでお金をはらったり、券売機で買ったチケットを渡したりして利用します。施設内にいる人全てがアトラクションを使えるのではなく、きちんと正しくお金をはらった人だけが使えるのです。

これに似ているのがゼロトラストというセキュリティの考え方です。

ゼロトラストでは、たくさんの入口から入れるかわりに、データやアプリケーションなどのアトラクションを利用するためには、毎回必ずそこでチェックを受けます。必要なぶんのお金（チケット）を持っていない人がアトラクションを使えないように、システムでは正しい本物のIDを持たない人は使えないのです。
え、毎回じゃめんどうくさくないかって？ こうしたチェックはコンピュータが自動でやるので、人はめんどうくさくはありません。

もともとは、コンピュータシステムは会社の建物の中でしか使うことができませんでした。それがだんだん、おうちや出張先でも使えるようにコンピュータシステムは進化してきたのです。この進化により、コンピュータシステムへの入口は建物の中だけでなくなり、外側にも入口が増えて入りやすくなりました。そのため、公園タイプのアミューズメントパークのように毎回毎回利用チケットを持っているか、それが本物かどうかを確認して、ズルをして利用する人がいないようにしているのです。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　星野 美緒】