NTTコミュニケーションズ

Bizコンパス

DXの潮流、CDOの挑戦
2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

著者 西塚要

 リモートワークでも、オフィスと同等のセキュリティを担保したいが、それをサイバー空間で実現するにはどうしたら良いのか?

 前回は、“なりすまし”の観点からリモートワークの危険性について整理し、その解決方法として「ゼロトラスト」という手法があることを紹介しました。

 連載第2回目では、ゼロトラストがその課題をどう解決するのか、導入にあたってどのように検討すべきか、そのポイントを伝授します。

人への認可から行動の認可へ

 重要な機密情報へのアクセスについて、マネージャは、どのように許可を与えるのがよいでしょうか。

 従来は、「この人はいままで真面目に働いているから悪事を働く恐れは低いだろう」というような考えで、人に対して許可を与えるやり方が一般的でした。というのも、対面性の強い関係では、表情、声のトーン、視線など、言葉以外にも物理的に多様な情報が得られるため、信頼関係が成り立つからです。

 信頼というのは、「相手が期待通りに振る舞うと信じること」です。現実世界では、もし社内メンバーのスパイ行為により情報漏洩が発生した場合、先に挙げたような物理的情報から、危険に気付くことも可能になります。

 しかし、同じ信頼関係をサイバー空間にそのまま持っていくと、逆に危険性が高まります。たとえば、リモートワーク環境を入り口として、“信頼された人”になりすます攻撃者がいたらどうでしょうか。なりすまし攻撃者は、この信頼された人のアクセス権限を使って機密情報にアクセスできてしまいます。サイバー空間での振る舞いには、「表情、声のトーン、視線」などの物理的情報がなく認知しにくいため、見つけにくいのです。

 人に対する信頼、というのが成り立たない場合、一つ一つの行動を評価するしかありません。サイバー空間でより安全に認可するためには、仕事上信頼をしている人であっても、この人が機密情報へアクセスする際の毎回の行動について、それが、正しいものかどうか確認する必要がでてきます。

 もし、普段アクセスするはずのない深夜帯のアクセスログが発見されたらどうでしょうか? 本人に意図したアクセスかどうかをヒアリングして、そうでない場合はなりすましを疑うことになります。

 このような「1回ごとのアクセスについての認証/認可」というのが、ゼロトラストの要素の一つです。

 ゼロトラストというと、「ネットワークを(すでに侵入されたものとして)信頼しないこと」と説明されることが多いですが、個人的には、ゼロトラストは、「人を信頼しないこと」と言い換えてもいいのではないか、と考えています。

SHARE

関連記事

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

JALは新しいナレッジシステムで、次世代のコンタクトセンターを目指す

2021.06.11

いま求められる“顧客接点の強化”第36回

JALは新しいナレッジシステムで、次世代のコンタクトセンターを目指す

早大IT戦略研究所 根来龍之氏 「日本の大企業だけがDXに後れを取っているわけではない」

2021.06.04

デジタルトランスフォーメーションの実現へ向けて第67回

早大IT戦略研究所 根来龍之氏 「日本の大企業だけがDXに後れを取っているわけではない」

企業の価値を高める「SX」とは何か?有識者が解説

2021.06.02

デジタルトランスフォーメーションの実現へ向けて第66回

企業の価値を高める「SX」とは何か?有識者が解説

AIが営業のネクストアクションを示唆! 〇〇〇で営業の生産性向上を目指す

2021.05.28

これからの時代に求められるデータ利活用第10回

AIが営業のネクストアクションを示唆! 〇〇〇で営業の生産性向上を目指す

エンジニアを、繰り返し作業から解放しよう!インフラ試験の自動化への挑戦

2021.05.21

DXを加速させるITシステムの運用改革第40回

エンジニアを、繰り返し作業から解放しよう!インフラ試験の自動化への挑戦

専門家が解説する「SaaSではじめるコーポレート部門の業務改革」

2021.05.19

デジタルトランスフォーメーションの実現へ向けて第65回

専門家が解説する「SaaSではじめるコーポレート部門の業務改革」