~「ゼロトラスト」というドライな人間関係~
セキュリティ・エグゼクティブ・ディレクター 中島浩光
さて、新型コロナウィルスの流行により、在宅勤務やリモート会議が当たり前になるという、近年では稀にみるドラスティックな仕事環境の変化がありました。
それに伴い、セキュリティ業界では「ゼロトラスト」というバズワードが流行っており、そのバズワードを前面に立てているところも多く見られます。
ということで、今回はこの「ゼロトラスト」なるものに関して、ちょっと徒然に書いていきます。
<「ゼロトラスト」って何?>
「ゼロトラスト」、正確には「ゼロトラストネットワーク」の省略なわけですが、「トラスト(信頼・信用)」がゼロ、つまり、「信頼のない(信用できない)ネットワーク」という事なのですね。
以前は会社に通勤し、「会社で端末を起動して、会社のLANに接続して、サーバに接続して仕事をする」のが、「普通」だったわけです。
したがって、サーバに接続するのは「会社のLAN」とそれに接続された「会社の端末・社員(利用者)」であるため、主に物理的に限定・保護されることから、サーバに接続する端末は信用されていたわけです。
ところが、リモートワーク、在宅勤務が中心となった結果、「自宅で端末を起動して、サーバに接続する」ということが普通になった結果、サーバに接続してくる端末が物理的に限定・保護されなくなり、サーバに接続してくる端末や利用者を簡単には信用できなくなったのです。
そういった状況を解決すべく考えられた概念(バズワード?)が「ゼロトラストネットワーク」になります。
さて、勘の良い方は気付かれたかもしれませんが、はっきり言って「ゼロトラストネットワーク」というのは、個別にみれば以前からある「リモートアクセス」の話でしかありません。
もうちょっと言ってしまうと、リモートアクセスは接続場所の非限定化ですから、さらに端末の非限定化まで加えると、「BYODでのリモートアクセスの全面採用」というのが「ゼロトラストネットワーク」ということになってしまうのです。
ただ、本当の「ゼロトラストネットワーク」はそれだけにとどまらないのです。
<「うちの子にかぎって」>
話は変わりますが、俳優の田村正和さんが逝去されました。ご冥福をお祈りいたします。
時代劇ファンとしては「眠狂四郎」は良い時代劇でした。
また、時代劇だけではなくTVドラマにも多く出演されており、その中の一つに「うちの子にかぎって」というドラマがあります。
田村さんがコメディをやった最初のドラマらしいのですが、まあ、ドラマのタイトルにもある通り「子供への信頼・信用」がテーマになった作品でした。自分の子供、教え子を信頼・信用し、いろいろありながらも導いていく、という心温まる作品です。
でも、「ゼロトラスト」とは、そんな心温まる作品とは真逆の世界だったりします。
<社員は「信頼する」ではなく「疑う」>
「ゼロトラスト」が「BYODでのリモートアクセスの全面採用」にとどまらないと書きましたが、「BYODでのリモートアクセスの全面採用」の場合は、その「利用者がだれであるか?」、「端末が適切な端末であるか?」を信頼しておらず、信頼するために利用者であればパスワードやその他の認証手段、端末であえば電子証明書や特定のソフトウェアの導入等を経て、信頼するということになります。
これだけであれば難しく感じないかもしれませんが、「全面採用」の場合には「量」の問題があり、システム運用やネットワーク性能等の問題が発生するので、それはそれで難しい問題であるのは確かなのです。
さらに、「ゼロトラスト」では「利用者の行動」も信用しない、ということが必要になってきます。
一部の企業においては、リモートアクセスの端末をシンクライアントにしたり、リモートアクセスの場合、社内の一部のサーバや機能には使えないようにしたり、していました。
つまり、社内LANであればフルアクセスだが、リモートでは機能制限を行う、ということをしていました。
これは、利用者や端末が利用される場所に第三者が容易にアクセス可能であるということ、また、利用者自身も監視されていない環境であるため、不注意や不正を行う心理的ハードルが低い環境であるため、機能制限を行ってきたのです。
しかし、全面的にリモートアクセスを行うということになると、リモートからでもフルアクセスが可能としないと、業務が回らない、ということになります。
その結果、利用者や端末が不注意や不正が発生するリスクが高くなってしまうのです。
そのため、利用者の不注意や不正を防ぐ、もしくは、早期に発見するために、利用者の利用状況/操作の証跡取得、監視といったことが必要になってきます。
つまり、「ゼロトラスト」は「利用者を信頼しない」という仕組みなのです。
<利用者側だけではない・・・>
ここまでは、利用者側の話でしたが、アクセスされる側、サービス提供側についても実はゼロトラストであるべきなのです。
サービス提供側は社内に設置されたサーバやSaaS等のクラウドサービス、またはリモートアクセスのアクセスポイントがそれにあたりますが、リモートワークしている利用者から見れば、「インターネットの先にあるどこか」でしかないわけです。
社内LANから、LAN上のサーバにアクセスする分には、物理的なネットワーク回線の制約で正しいサーバであるという信頼は確保可能なのですが、インターネットという不確実な回線を介することにより、サービス提供側も自分自身が正しいサービス提供側であることを利用者側に提供しなくてはいけないはずなのです。
実際、どのくらいの組織でそこまで考えているのかな?とは思うのですが。
<物理セキュリティは強い・・・>
ということで、リモートアクセスとかクラウドとか、仮想環境とかいろいろありますが、実は会社の事務所や施設といった物理セキュリティや作業環境のセキュリティというものに結構たよっている部分がある、というのを再認識していたりします。
また、リモートワークが多くなった結果、会社に出勤して実際に顔を合わせる、ということが少なくなった結果、人間関係も希薄になり、だんだん「ドライな人間関係」が進んでいる気がするのが、心配だったりします・・・。
ホワイトペーパーのご案内
「ゼロトラスト」とは何か?
どのようなソリューションが必要になるのか?