「ゼロトラストセキュリティ完全ガイド|なぜ『社内なら安全』では限界なのか」
2024年、企業へのサイバー攻撃が深刻化しています。東京商工リサーチの調査によると、上場企業とその子会社で公表された個人情報の漏洩・紛失事故は189件と過去最多を記録しました(参考:東京商工リサーチ)。また、日本ネットワークセキュリティ協会(JNSA)の調査では、中小企業でも数千万円単位の損失を抱える可能性があることが明らかになっています(参考:JNSA インシデント損害額調査レポート)。 「社内ネットワークなら安全」という従来の考え方が、リモートワークとクラウド時代には通用しません。多くの企業が「セキュリティ対策はちゃんとやっている」と思っていても、被害は止まらないのが現実です。 そこで注目されているのが「ゼロトラストセキュリティ」。2010年にForrester Research社のJohn Kindervag氏が提唱したセキュリティ思想ですが、Google、Microsoft、Amazonが実装し、2021年には米国政府が政府機関への導入を義務化したことで、急速に普及が進んでいます。 この考え方の本質と、なぜ今必要なのかを分かりやすく解説します。 第1章:ゼロトラストセキュリティとは何か 1-1. 基本概念:「何も信頼しない」の真意 ゼロトラストセキュリティは、「Never Trust, Always Verify(信頼せず、常に検証する)」を基本原則とするセキュリティの考え方です。 身近な例で考えてみましょう。銀行ATMを利用する際、私たちは以下の手順を踏みます: カード(持っているもの)を挿入 暗証番号(知っているもの)を入力 取引限度額で権限を制限 監視カメラで行動を記録 これらの複数要素で安全性を確保しているのが、ゼロトラストの基本的な考え方です。単一の要素(カードだけ、暗証番号だけ)では取引できません。 1-2. 従来の境界防御との決定的な違い 境界防御(従来の方式) 従来のセキュリティ対策は、ネットワークの境界で内側と外側を明確に分け、外部からの脅威を防ぐことに重点を置いていました。基本思想は「内側は安全、外側は危険」で、以下の特徴があります: ファイアウォールで境界を作り、内部を保護 IPアドレスで「どこから」アクセスしているかを判断 境界を越えれば内部では比較的自由に行動可能 「社内ネットワーク = 信頼できる」という前提 私たちオプスインでも、従来の境界防御を強化したセキュリティ対策を実施しています: ✓ ホワイトリストによるアクセス制御(許可されたもの以外は全て拒否) ✓ 信頼できるネットワークからのアクセスを必須 ✓ サーバ認証時・認証失敗時のアラート機能(プロジェクトによる) ✓ WAF・IDSの導入による不正アクセス対策 ゼロトラスト ゼロトラストでは、ネットワークの場所に関係なく、すべてのアクセスを疑い、毎回検証します: 内部・外部を問わず、すべてのアクセスを検証 複数条件をすべて満たす必要がある(AND条件) 最小権限の原則で必要最小限のアクセスのみ許可 継続的な監視と動的な権限制御 私たちオプスインでも、以下のようなゼロトラスト的な取り組みを実施しています: ✓ AWS環境でのIAM […]
