2021.11.11 【学びの窓(セキュリティー編)】 第15回 ゼロトラストって何でしょう?

  • TOP
  • メールマガジン
  • 【学びの窓(セキュリティー編)】 第15回 ゼロトラストって何でしょう?
【学びの窓(セキュリティー編)】 第15回 ゼロトラストって何でしょう?

コロナ禍も第5波が収まり、経済活動再開の方向へ向かい始めたようですが、皆様いかがお過ごしでしょうか?
岡山県はなかなか感染者ゼロ継続に到達しませんね。
セキュリティの世界もゼロインシデントに辿り着く見通しは無い中、「ゼロトラスト」なる用語を皆様も耳にされ始めたかと思います。
ゼロトラストとは何でしょうか?皆様に必要なモノでしょうか?

ゼロトラストとは何でしょうか?皆様に必要なモノでしょうか?

前回の第14回コラムでもお話した通り、最近の傾向として、テレワーク用の通信経路や、管理者アカウントのハッキング、メールアカウントのハッキングにより、企業ネットワークへの侵入を行い、ランサムウェアを仕掛けるケースが増加しているようです。
このような状況の中で、もはやネットワーク上に安全な場所は無い、という前提で考え出されたのが「ゼロトラスト」という”考え方”です。皆様も耳にされ始めた言葉ではないでしょうか。
”ゼロ=無くす+トラスト=信頼”と捉えると訳が分からない用語ですよね?
「ゼロトラスト」とは”信頼できるものは無い前提”でネットワークやシステム全体を考えましょう、ということです。


基本的な考え方は下記の7項目

1. すべてのデータソースとコンピューティングサービスをリソースとみなす1. すべてのデータソースとコンピューティングサービスをリソースとみなす
2. ネットワークの場所に関係なく,すべての通信を保護する2. ネットワークの場所に関係なく,すべての通信を保護する
3. リソースへのアクセスをセッション単位で付与する3. リソースへのアクセスをセッション単位で付与する
4. リソースへのアクセスは,クライアントアイデンティティ,アプリケーション/サービス,リクエストする資産の状態,その他の行動属性や環境属性を含めた動的ポリシーにより決定する4. リソースへのアクセスは,クライアントアイデンティティ,アプリケーション/サービス,リクエストする資産の状態,その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し,測定する5. すべての資産の整合性とセキュリティ動作を監視し,測定する
6. すべてのリソースの認証と認可を行い,アクセスが許可される前に厳格に実施する6. すべてのリソースの認証と認可を行い,アクセスが許可される前に厳格に実施する
7. 資産,ネットワークのインフラストラクチャ,通信の現状について可能な限り多くの情報を収集し,セキュリティ体制の改善に利用する7. 資産,ネットワークのインフラストラクチャ,通信の現状について可能な限り多くの情報を収集し,セキュリティ体制の改善に利用する

 

これらのうち要点を抜き出して、”VPNで接続すれば安全と判断してはならない”、”テレワークには必須の考え方で管理はクラウド上でアウトソーシングしましょう”等々の売り込みが始まっている状況のように伺えますが、単一製品を導入すれば即実現出来るようなものではありません。

 

さて、「ゼロトラスト」は皆様に必要でしょうか?

さて、「ゼロトラスト」は皆様に必要でしょうか?

意識する必要はありますが、日本の中小企業の働き方やITインフラの整備状況からすると、果たして統合管理が可能なのか?誰が管理するのか?適切なコストで運用可能なのか?などの課題は”まだ”クリア出来そうにない、というのが私達の見解です。(但し、導入すべきお客様も当然いらっしゃいます)
方向性としては意識しながら、セキュリティインフラの整備を進めましょう。

 

下記をご参照下さいませ。

 

ゼロトラストという戦術の使い方:IPA 独立行政法人 情報処理推進機構

 

IPA情報セキュリティ対策「テレワークを行う際のセキュリティ上の注意事項」

 

※会社・団体でのセキュリティについての相談は、弊社担当営業まで、遠慮なくご相談下さい。

 

セキュリティ担当:眞部 誠一郎