NTTコミュニケーションズ

Bizコンパス

【重要】「Bizコンパス」サイトリニューアルのお知らせ
DXの潮流、CDOの挑戦
2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

著者 西塚要

 リモートワークでも、オフィスと同等のセキュリティを担保したいが、それをサイバー空間で実現するにはどうしたら良いのか?

 前回は、“なりすまし”の観点からリモートワークの危険性について整理し、その解決方法として「ゼロトラスト」という手法があることを紹介しました。

 連載第2回目では、ゼロトラストがその課題をどう解決するのか、導入にあたってどのように検討すべきか、そのポイントを伝授します。

人への認可から行動の認可へ

 重要な機密情報へのアクセスについて、マネージャは、どのように許可を与えるのがよいでしょうか。

 従来は、「この人はいままで真面目に働いているから悪事を働く恐れは低いだろう」というような考えで、人に対して許可を与えるやり方が一般的でした。というのも、対面性の強い関係では、表情、声のトーン、視線など、言葉以外にも物理的に多様な情報が得られるため、信頼関係が成り立つからです。

 信頼というのは、「相手が期待通りに振る舞うと信じること」です。現実世界では、もし社内メンバーのスパイ行為により情報漏洩が発生した場合、先に挙げたような物理的情報から、危険に気付くことも可能になります。

 しかし、同じ信頼関係をサイバー空間にそのまま持っていくと、逆に危険性が高まります。たとえば、リモートワーク環境を入り口として、“信頼された人”になりすます攻撃者がいたらどうでしょうか。なりすまし攻撃者は、この信頼された人のアクセス権限を使って機密情報にアクセスできてしまいます。サイバー空間での振る舞いには、「表情、声のトーン、視線」などの物理的情報がなく認知しにくいため、見つけにくいのです。

 人に対する信頼、というのが成り立たない場合、一つ一つの行動を評価するしかありません。サイバー空間でより安全に認可するためには、仕事上信頼をしている人であっても、この人が機密情報へアクセスする際の毎回の行動について、それが、正しいものかどうか確認する必要がでてきます。

 もし、普段アクセスするはずのない深夜帯のアクセスログが発見されたらどうでしょうか? 本人に意図したアクセスかどうかをヒアリングして、そうでない場合はなりすましを疑うことになります。

 このような「1回ごとのアクセスについての認証/認可」というのが、ゼロトラストの要素の一つです。

 ゼロトラストというと、「ネットワークを(すでに侵入されたものとして)信頼しないこと」と説明されることが多いですが、個人的には、ゼロトラストは、「人を信頼しないこと」と言い換えてもいいのではないか、と考えています。

SHARE

関連記事

コロナ禍で「DX」は共創の時代へ、Bizコンパスの1年から考える

2021.09.22

デジタルトランスフォーメーションの実現へ向けて最終回

コロナ禍で「DX」は共創の時代へ、Bizコンパスの1年から考える

テーマは「社会・産業DX」、NTT Com「CDF2021」が描くDXのリアルとは

2021.09.15

デジタルトランスフォーメーションの実現へ向けて第69回

テーマは「社会・産業DX」、NTT Com「CDF2021」が描くDXのリアルとは

インフラ試験を自動化するために、どんな環境が必要なのか?

2021.08.04

DXを加速させるITシステムの運用改革第42回

インフラ試験を自動化するために、どんな環境が必要なのか?

デザイン思考は、イノベーションを生みだす魔法の杖ではない

2021.07.21

ニューノーマル時代にビジネスはどう変わるのか第31回

デザイン思考は、イノベーションを生みだす魔法の杖ではない

企業にCDOが求められる3つの理由

2021.07.16

ニューノーマル時代にビジネスはどう変わるのか第30回

企業にCDOが求められる3つの理由

インフラ試験の継続実行は、本当に必要なのか?

2021.07.02

DXを加速させるITシステムの運用改革第41回

インフラ試験の継続実行は、本当に必要なのか?

有識者が解説する「誤解だらけのサブスクとDXの関係性」

2021.06.25

デジタルトランスフォーメーションの実現へ向けて第68回

有識者が解説する「誤解だらけのサブスクとDXの関係性」