NTTコミュニケーションズ

Bizコンパス

DXの潮流、CDOの挑戦
2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

著者 西塚要

 リモートワークでも、オフィスと同等のセキュリティを担保したいが、それをサイバー空間で実現するにはどうしたら良いのか?

 前回は、“なりすまし”の観点からリモートワークの危険性について整理し、その解決方法として「ゼロトラスト」という手法があることを紹介しました。

 連載第2回目では、ゼロトラストがその課題をどう解決するのか、導入にあたってどのように検討すべきか、そのポイントを伝授します。

人への認可から行動の認可へ

 重要な機密情報へのアクセスについて、マネージャは、どのように許可を与えるのがよいでしょうか。

 従来は、「この人はいままで真面目に働いているから悪事を働く恐れは低いだろう」というような考えで、人に対して許可を与えるやり方が一般的でした。というのも、対面性の強い関係では、表情、声のトーン、視線など、言葉以外にも物理的に多様な情報が得られるため、信頼関係が成り立つからです。

 信頼というのは、「相手が期待通りに振る舞うと信じること」です。現実世界では、もし社内メンバーのスパイ行為により情報漏洩が発生した場合、先に挙げたような物理的情報から、危険に気付くことも可能になります。

 しかし、同じ信頼関係をサイバー空間にそのまま持っていくと、逆に危険性が高まります。たとえば、リモートワーク環境を入り口として、“信頼された人”になりすます攻撃者がいたらどうでしょうか。なりすまし攻撃者は、この信頼された人のアクセス権限を使って機密情報にアクセスできてしまいます。サイバー空間での振る舞いには、「表情、声のトーン、視線」などの物理的情報がなく認知しにくいため、見つけにくいのです。

 人に対する信頼、というのが成り立たない場合、一つ一つの行動を評価するしかありません。サイバー空間でより安全に認可するためには、仕事上信頼をしている人であっても、この人が機密情報へアクセスする際の毎回の行動について、それが、正しいものかどうか確認する必要がでてきます。

 もし、普段アクセスするはずのない深夜帯のアクセスログが発見されたらどうでしょうか? 本人に意図したアクセスかどうかをヒアリングして、そうでない場合はなりすましを疑うことになります。

 このような「1回ごとのアクセスについての認証/認可」というのが、ゼロトラストの要素の一つです。

 ゼロトラストというと、「ネットワークを(すでに侵入されたものとして)信頼しないこと」と説明されることが多いですが、個人的には、ゼロトラストは、「人を信頼しないこと」と言い換えてもいいのではないか、と考えています。

SHARE

関連記事

働き方に新しい価値を生み出す「デジタルワーカー」とは

2021.02.26

ニューノーマル時代にビジネスはどう変わるのか第20回

働き方に新しい価値を生み出す「デジタルワーカー」とは

自社サービスにBoxを組み込む方法とは? NTTテクノクロスに聞く

2021.02.19

DXを加速させるITシステムの運用改革第35回

自社サービスにBoxを組み込む方法とは? NTTテクノクロスに聞く

カシオが挑むビューティーテック市場。そのカギは共創だった

2021.02.17

共創によるビジネスイノベーション第6回

カシオが挑むビューティーテック市場。そのカギは共創だった

製造業がDXで生き残る道とは?八子知礼氏とエバンジェリストが対談

2021.02.12

INDUSTRY REVIEW~業界有識者が「DXの現在と未来」を語る第9回

製造業がDXで生き残る道とは?八子知礼氏とエバンジェリストが対談

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

IoT・AI・クラウドに○○が加わることで、DXはさらに加速する

2021.01.27

ニューノーマル時代にビジネスはどう変わるのか第18回

IoT・AI・クラウドに○○が加わることで、DXはさらに加速する

「DXを実装する」とは、○○をビジネスに組み入れることである

2021.01.27

ニューノーマル時代にビジネスはどう変わるのか第17回

「DXを実装する」とは、○○をビジネスに組み入れることである

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

中村 伊知哉氏が語る 「デジタル化がもたらす“仕事”と“働き方”の変化」

2021.01.20

ニューノーマル時代にビジネスはどう変わるのか第15回

中村 伊知哉氏が語る 「デジタル化がもたらす“仕事”と“働き方”の変化」

データ分析の膨大な手間を“1クリック”で解決する方法がある

2021.01.15

これからの時代に求められるデータ利活用第8回

データ分析の膨大な手間を“1クリック”で解決する方法がある

経済産業省が「GビズID」で目指す“行政サービスの100%デジタル化”

2021.01.13

デジタルトランスフォーメーションの実現へ向けて第57回

経済産業省が「GビズID」で目指す“行政サービスの100%デジタル化”