「誰も信用しない」認証　サイバー防衛、新手法に脚光

サイバーセキュリティーの分野で、企業が保有する情報への不正なアクセスを防ぐ「ゼロトラスト」という手法が注目されています。データにアクセスしようとする人物や端末を徹底的に信用せず、その都度ゼロベースで認証する方法です。新型コロナウイルス感染症に伴うリモート勤務の増加で、社外からアクセスする人が増えたことも普及の追い風になっています。

サイバー攻撃には、大量のデータを送りつけて通信機能を停止させるDDoS攻撃など、様々な手口があります。ゼロトラストで対処するのは主に、古い防御策を迂回して企業内部に潜伏する偵察活動や、企業内のデータ詐取、制御システムの管理権限を狙う高度な標的型攻撃です。データやシステムを守るための認証システムが破られれば深刻な被害を招きます。

ゼロトラストが注目されている理由について、国士舘大学非常勤講師でクラウドセキュリティアナリストの大元隆志さんは「従来採用されてきた境界型のセキュリティー対策の限界が明白になってきたため」と説明します。境界型セキュリティーとは、企業ネットワークと外部ネットワークの間に防御壁に相当する仕組みを作り、不審者やウイルスの侵入を防ぐ方法です。しかし、実際にはIDやパスワードが盗まれたり、ネットワーク管理者の資格が乗っ取られたりして、社内データにアクセスされる事例が起きています。

そこでゼロトラストでは、守るべきデータの入り口のところでアクセスしようとしている人や端末を複数の要素で都度チェックし、本人を認証しアクセス資格が正しいか確認します。過去に認証をパスした人や端末でも定期的に権限を確認し、なりすましが行われていないかどうかを検証します。

ゼロトラストは約10年前に米調査会社のアナリストが提唱した概念です。その後、境界型セキュリティーの弱点が指摘され、技術的にも認証を確実に行うソフト技術が発達したため、最近は米欧を中心に導入が進んでいます。国内ではLIXILグループの導入例が有名ですが、リモート勤務拡大で導入を検討する企業が増えています。

政府も6月にまとめた有識者による報告書で、ゼロトラストを「不可逆的で強い技術トレンドになっている」と指摘。クラウドサービスの利用拡大とゼロトラストを同時に推進する必要があるとしています。

ゼロトラストの仕組みが普及すれば社員がどこにいても信頼度の高いネットワークができます。ポストコロナ時代に企業のデジタルトランスフォーメーション（DX）の可能性を広げる意味でも注目されます。

ゼロトラストは従来型のサイバーセキュリティー対策とどう違い、どのような効果が期待できるのか。ゼロトラストの基本的な考え方や国内企業の導入の動向について、国士舘大学非常勤講師でクラウドセキュリティアナリストの大元隆志さんに聞きました。

――企業のサイバーセキュリティー対策としてゼロトラストを導入する例が増えていると聞きます。

「国内の最近の導入事例では2つのパターンがあると感じています。1つ目は在宅勤務に対応するためセキュリティー対策の再検討が必要となり、ゼロトラストというものが何だか良さそうだと思って導入に乗り出しているものです。もう1つはゼロトラストの本質を理解して導入しようとしているケースです。これらの企業は現行のセキュリティー対策が不十分であるという危機感を持っています」

「最近の高度なランサムウエア攻撃などのサイバー攻撃は、企業側がファイアウオールやマルウエア対策を実施していることを前提に計画されています。また、IDやパスワードは盗まれていると考えるのが現実的です。従来の防御策を迂回する戦術が確立している事実を踏まえ、マルウエアは既に社内に潜伏していると考え、それらが社内の他のシステムにも感染を広げる水平展開（ラテラルムーブメント）を防止する必要性が認識され始めています」

「こうした脅威には、従来のように社内と社外の間に防護壁を築いて守るという『境界型』と呼ばれる防衛策では対応できません。ただ注意してほしいのは、従来型の境界型セキュリティーが陳腐化したということであって、境界という概念が不要になったということではありません。むしろ境界を従来より細かく定めて、そこでの検問機能を強化しようというのがゼロトラストの考え方です」

――ゼロトラストでは具体的にどのようなやり方をとるのですか。

「人が会社に不法侵入することに例えて説明しましょう。ビルの出入り口にカードリーダーがあり、入館証をかざして中に入ることさえできれば、資料でも何でも見放題だったのが従来の境界型セキュリティーです。ここではカードリーダーが社内システムへの接続に使われるVPN（仮想私設網）の装置で、入館証がIDにそれぞれ相当すると考えてください。この方法では入館証を拾った人が中に入れますし、悪意のある第三者がドアが開いたスキに入り込めたりします。そして忍び込んだ人が机の上に置かれた様々な資料をスマートフォンで写真撮影して、外部にデータを転送するようなことが簡単にできてしまいます」

「これに対してゼロトラストでは、カードリーダーの代わりに警備員が一人ひとりを厳格にチェックするイメージです。入館証の顔写真を確認して、場合によっては面会者に確認をとるなど、複数の手段を用いて、その人が正当な人物であり、正しい要件と権限を持った人かを厳格にチェックします。また入館した後も、資料を見る際に更に認証を求められます」

――様々なベンダー（製造・販売元）がゼロトラストのソリューションを提供しています。ベンダーによってアプローチの違いがあるのでしょうか。

「ゼロトラスト対応をうたうソリューションが多数存在するため、ユーザーが混乱している状況にあると思います。昔からゼロトラストに取り組んできたベンダーと、ブームに便乗しているベンダーとに分類できると思います。中には独自の解釈でゼロトラストをうたっているケースもあります。ゼロトラストの柱は『認証・認可の厳格化』と『データへの安全なアクセス』です。そこで主要な要素技術は認証技術とネットワークアクセス技術の2つです。これまでリモートアクセス系の技術や、SWGと呼ばれるインターネットへの安全なアクセスを実現する技術、あるいは認証系の技術を発展させてきたベンダーが、ゼロトラストのソリューションに早くから取り組んでいます。こういう要素技術を踏まえずにゼロトラストと宣伝しているベンダーは、ただブームに便乗していると考えていいでしょう」

――政府もゼロトラストを導入しようとしているのでしょうか。

「有識者が『政府情報システムにおけるゼロトラスト適用に向けた考え方』という文書をまとめており、政府も導入に向けて動く可能性はあります。ただ現状ではゼロトラストのソリューションのほとんどは外国製品であり、クラウド型のサービスで提供されています。政府がゼロトラストを採用する場合、国家の機密情報へのアクセス権限などが外国製のソリューションに依存するという状況になれば、非常時に全てのデータへのアクセスを禁止されるリスク等もあり、こういったリスクにどう対処するのかといった検討も必要になると思います」

――企業がゼロトラストを導入しようとする場合、システム全体の見直しが必要になるのでしょうか。あるいは「後付け」的に導入できるものでしょうか。

「システム全体の見直しは必要ありません。ただゼロトラストを本質的に実現するには、アクセス対象の資産や文書が適切に把握され、また文書分類の定義が存在し適切に運用されている必要があります。企業の中にはこうした社内ルールがあるものの、実際には対応が形骸化していることも少なくありません。新型コロナウイルス感染症にともなうユーザーの危機感に便乗したベンダーのセールストークに乗せられてしまい、データ管理の見直しをしないまま、ゼロトラストのシステムだけを後付けで導入している例も残念ながらあります。こうした場合、本来のゼロトラストの意味をなさず、従来の境界型セキュリティーとたいして変わらない結果になってしまいますので注意が必要です」

（編集委員　吉川和輝）