ニュース

“何も信頼しない”――リモートワーク導入で注目される「ゼロトラスト」のセキュリティモデル

アカマイ・テクノロジーズ合同会社の金子春信氏(シニア・プロダクト・マーケティング・マネージャー)

 働き方改革関連法案が2019年4月に施行されたことで、リモートワークに適した業務環境を整備することが企業の新たな課題になりつつあるが、そうした動きの中で、「ゼロトラスト」型のセキュリティモデルが注目されているとして、アカマイ・テクノロジーズ合同会社の金子春信氏(シニア・プロダクト・マーケティング・マネージャー)が、7月12日に行われたセキュリティトレンドセミナーで同セキュリティモデルについて言及した。

 ゼロトラストとは、米フォレスター・リサーチのジョン・キンダーバーグ氏が2010年に提唱した、「信頼せず常に検査する」というコンセプトのセキュリティモデルだ。従来は「信頼し、必要なところを検査する」という考え方に基づいており、例えば社内ネットワークの内側にいる人間は基本的に信頼されて社内ネットワークのあらゆるシステムにアクセスできる状態となる。外部から社内ネットワークへVPN経由で接続するリモートワーカーについても、アクセスできてしまえば“信頼”されることになり、こうすると万が一、攻撃者に侵入された場合は、感染被害が一気に広がる恐れがあるという。

 例えば、国内ではゲーム会社のマイネットが、VPN経由で攻撃者に外部から侵入され、サーバー内の全データを削除されるという事件が2018年3月に起こっている。このときは一部のサービスを一時的に止めることになった。

 IDC Japanが発表した調査データによると、国内でのパブリッククラウドサービスの市場規模は拡大傾向で、Microsoft Azure、Office 365、SFDC、AWSなどに対して投資を行う割合が多くなっているという。クラウドへの移行によって、オンプレミスの自社データセンターの境界の外にデータや自社アプリも移動するようになった。

 外部のサービスを利用し、あらゆる環境から社内ネットワークにリモートで接続する機会が増えるが、同時にマルウェアなどに感染した端末が社内ネットワークに接続する可能性も高まる。

目的のデータに至るまで感染領域を広げる「ラテラルムーブメント」侵入後に4年かけて攻撃準備されたケースも

 独立行政法人情報処理推進機構(IPA)が毎年公開している「情報セキュリティ10大脅威」によると、企業・組織へのサイバー攻撃として、標的型攻撃がここ数年、最上位に上がっており脅威も増しているという。

 例えば、米国の大手ホテルチェーンであるマリオットは、2018年11月に情報流出事件を起こしており、5億人の顧客が影響を受けた。同事件では、マルウェアの感染から情報流出に至るまで4年が経過していたことが判明。ネットワーク侵入後のセキュリティ対策が行われていなかったため、長期間にわたり不正アクセス可能な状態になっていた。

 このほか、中国のサイバー攻撃集団「APT10」(別名:menuPass、Stone Panda、Red Apollo、CVNX)が、特定の企業や政府に対して大規模な攻撃を仕掛けて、機密情報などを窃取する事件を起こしている。

 標的型攻撃で問題視されているが、組織のネットワークへの侵入に成功したマルウェアが、感染済みの末端の端末から目的のデータに至るまで感染領域を広げる「ラテラルムーブメント(水平移動)」になる。これを阻止するために、社外からのリモートアクセスと社内からのアクセスを区別しないゼロトラストの考え方が注目されているという。

 Googleでは自社におけるアクセス制御でゼロトラスト型のセキュリティモデルを取り入れており、国内ではゼロトラストをベースとしたアカマイ・テクノロジーズの企業向けセキュリティ製品「Enterprise Application Access」をLIXILが採用している。

 働き方改革でリモートワークが導入される中、「ゼロトラスト型のセキュリティ対策で、必要なものにだけアクセスさせるかたちにするべき」と金子氏はコメントした。