連載コラム 第98回:IPA「ゼロトラスト移行のすゝめ」をきっかけに IT 環境の見直しをしませんか ?

先日、IPA(独立行政法人 情報処理推進機構)が、ゼロトラストセキュリティへの移行を検討している組織向けの入門資料「ゼロトラスト移行のすゝめ」を公開しました。
「ゼロトラスト移行のすゝめ」

昨今の在宅勤務 / リモートワークの定着・拡大、あるいは、クラウド利用の普及により、「ゼロトラスト(Zero Trust)」に基づくセキュリティの考え方が、今、再び注目されています。

「ゼロトラスト(Zero Trust)」は、セキュリティを考える上で重要な概念です。これまで一般的だったのは、いわゆる「境界防御」という考え方でした。これは、組織の内側と外側とを区別し、その境界線でファイヤーウォールや IDS、VPN などを置き、守りを固めるという考え方です。境界の内側(= 社内のセキュリティ) を強化 / 保護していれば良いと考えられていたのです。実際、大抵の場合、それでも問題はありませんでした。

しかし、昨今の在宅勤務 / リモートワークの拡大や、モバイルアクセスの増加、クラウド利用の普及などにより、実に様々なポイントから社内環境へ接続されるようになりました。あらゆるポイントから社内環境へアクセスするようになったからこそ、社外からのアクセスを許可するために VPN が「リモートアクセスを許可」(言い換えれば「境界の外側から内側へのアクセスを許可」)する必要が生じました。しかし、そうすると、その許可された部分を通って、脅威が侵入するリスクも高まってしまいます。そして、そうした脅威を完全に遮断することと、リモートアクセスの許可を完全に両立することは現状の VPN の考え方では不可能です。つまり、リモートアクセスを許可した時点で、VPN には脅威侵入の可能性があり、「VPN の外側は危険、VPN の内側は安全」というセキュリティ概念は崩壊してしまうのです。

言うまでもなく、セキュリティ脅威はどこに潜んでいるか分かりません。社内外問わず、ありとあらゆるポイントから接続することがあたりまえになったからこそ、セキュリティ対策を徹底しなければなりません。そこで、取り入れるべきなのが「ゼロトラスト」という考え方なのです。

ゼロトラスト」では、「(たとえ社内であっても)安全なネットワークはない」という前提に立ち、「全てのアクセスを確認した上で、認証・認可」をします。