以前のBASIC SYNCで取り上げたVPNやMFA。どちらも重要なセキュリティ対策だが、これらは「社内ネットワークは安全である」という前提の上に成り立っている。ゼロトラスト(Zero Trust)は、その前提そのものを捨てる考え方だ。
一言でいうと
ゼロトラストとは、「社内だから安全」という思い込みをやめ、すべてのアクセスを毎回検証するセキュリティの設計思想のこと。城壁で守る発想から、全員にIDチェックを求める発想への転換だ。
従来のセキュリティとの違い
従来型のセキュリティは「城と堀」のモデルだった。会社のネットワークという「城壁」の内側にいれば安全、外からのアクセスはVPNで「跳ね橋」を渡る。しかしこのモデルには致命的な弱点がある。一度城壁の中に入られたら、内部は無防備だ。
実際、近年の情報漏洩事件の多くは「内部からの攻撃」や「正規アカウントの乗っ取り」が原因だ。VPNで社内に接続した端末がマルウェアに感染していたら、社内の全システムに被害が広がる。
ゼロトラストでは、社内にいようが社外にいようが、すべてのアクセスに対して「本当にあなたか?」「そのデバイスは安全か?」「そのデータにアクセスする権限があるか?」を毎回確認する。
3つの基本原則
・常に検証する:ネットワークの場所に関係なく、すべてのアクセスを認証・認可する
・最小権限の原則:必要最小限のアクセス権だけを付与する。経理部が開発サーバーにアクセスできる必要はない
・侵害を前提とする:すでにどこかが侵害されていると仮定し、被害の拡大を防ぐ設計にする
なぜ今、必要なのか
リモートワークの定着、SaaSの普及、個人デバイスの業務利用——いまや「社内ネットワーク」という境界線自体が曖昧になっている。社員はカフェからSlackに投稿し、自宅からSalesforceにアクセスし、スマホでメールを確認する。「城壁の中」がどこなのか、もはや誰にもわからない。
Google自身が2009年に大規模なサイバー攻撃を受けた後、社内システムを全面的にゼロトラスト化した(「BeyondCorp」)。その成果は、コロナ禍でのリモートワーク移行時にVPNなしで全社員がスムーズに業務を継続できたことで証明された。
SYNCONの視点
ゼロトラストは一夜にして実現するものではない。しかし、「社内だから安全」という思い込みを今日から捨てることはできる。VPN(前回紹介)、MFA、SSO——これらはすべてゼロトラストを構成するパーツだ。セキュリティは「導入して終わり」ではなく、「信用しないこと」を組織文化にするところから始まる。
Status: Synced.
SYNCON FREE DIAGNOSIS
あなたの業務に最適なAIツール、
まだ見つかっていませんか?
8つの質問に答えるだけ。約2分で完了。
SYNCON編集部が、あなた専用のAI活用プランをお届けします。
コメント