はい、情シス課長です。
ゼロトラスト、流行ってますね。
でも、今一分かりにくいというのが本音ではないでしょうか?
ゼロトラストですよね。意味は、分かります。
「信用がゼロ」つまり「何も信用せず、常に確認する」ということ、いやいやもう少しわかってます。
「従来の境界防御の考え方では、会社のシステムやデータにアクセスを許可する際、社内からのアクセスは信用できる、社外からのアクセスは信用できないとしてきたが、これを社外・社内関係なく常に信用せず、アクセスの都度、信用していいかを確認する」ということですよね。
う~、なんとなくわかってますが。。。。
ゼロトラスト、何がいいのでしょうか?
ちまたでは、「コロナ禍でテレワークが普及し、従来のVPNで会社に接続する方法では、通信量がボトルネックになる、またVPNの認証に脆弱性があると、そこがサイバー犯罪者の恰好のターゲットとなり狙われる。一度、VPNの認証を潜り抜け、会社のネットワークにアクセスできるとネットワーク内部では、何でもできてしまう。そのためVPNを利用したテレワーク環境には限界があり、ゼロトラストで新たなネットワーク環境を構築する必要がある」という論調もあります。
しかし、ゼロトラストの概念を取り入れ、都度認証することができれば、従来の境界防御をなくして、どこからでも会社のシステムやデータにアクセスできるようにしていいのでしょうか?それによりセキュリティレベルは向上するのでしょうか?
確かに、どこからでもアクセスできるということは、利便性の向上につながります、また会社にアクセスしなくても会社がクラウドで構築しているクラウドサービスにアクセスでいるなら、レスポンスもよくなるでしょう。
しかし、どこからでもアクセスできるということは、サイバー攻撃を行う者にとっても従来よりアクセスしやすくなるということです。
ですので、「ゼロトラストによりセキュリティレベルを向上させる」という目的であるなら、従来の境界防御をなくすのではなく、プラスする、つまり境界防御は残し、「社内からのアクセスについても、信用するのではなく、都度認証を行うことにより、セキュリティレベルを高める」という考え方に落ち着くのではないでしょうか?
勿論、ゼロトラストによる都度認証の仕組みが完全に構築でき、運用が定着すれば、もはや境界防御は不要となるかもしれません。しかし全ての社内システムをゼロトラスト対応に一度に切り替えることは不可能ですし、都度認証の仕組みではリアルタイムに認証を行う必要があるため、運用負荷も従来より高くなりますので、一朝一夕に運用を定着させるのは現実的ではありません。
結論として、従来の「社内からのアクセスは信用しいても大丈夫、社外からのアクセスは信用できない」という大雑把なセキュリティモデルから、「境界防御を残したまま、社外からのアクセスは勿論、社内からのアクセスも信用できないので、全てのアクセスに都度認証を行う」へ移行する、つまり既存の境界防御モデルにゼロトラストの新たな防御策をプラスすることにより、従来より高いセキュリティレベルを実現させるのがよいと考えます。
そのため、ゼロトラストにしたらか社外から社内をまもるファイアウォールを撤廃していいとかVPNの認証をなくしていいということではないのです。
勿論、ゼロトラストの運用が安定し、ファイアウォールやVPNを撤廃しても十分なセキュリティが維持できるようになれば、コスト削減、レスポンス向上の観点からこれらを撤廃してもいいかもしれません。
コメント