ITリテラシー強化編②:信用しないが身を守る?ゼロトラストとは
rnrn_toukou_iYこんにちは、松永です。
春の季節になり、花粉症のダムが決壊したようで、毎日鼻がムズムズする生活を送っております。
ただ、暖かくなったおかげで朝は目覚めがよくなりました。
早起きして朝の時間を有効に使えるため、朝活を継続してきてよかったと感じております。
さて、今回はリテラシー強化編の第2弾として、「ゼロトラスト」について書いてみます。
皆さんはゼロトラストという言葉を聞いたことはありますか。
私は業務で別の担当者が扱っているのは知っていましたが、正直内容は知りませんでした。
ちょっと名前かっこいいなくらいにしか思ってなかったです。
ゼロトラストについて、具体的な内容も踏まえて重要性と対策について記載します。
ゼロトラストの重要性
ゼロトラストとは、「信頼しない、常に検証する」という原則に基づいて、アクセスを厳重化することで情報漏洩や不正アクセスから守る考え方です。
信頼しない、という言葉にネガティブな印象を持ちますが、セキュリティをいかに担保するかが問われるデジタル社会において近年注目されている考え方です。
しかし馴染みがない方にとっては、信頼しないことでどう情報漏洩を防ぐのか、逆に信頼しすぎるとどのようなことが起こるのかイメージしづらいかもしれません。
今回は生成AIに作ってもらったゼロトラストを表すストーリーがとてもわかりやすかったので、ご紹介したいと思います。
---------------------
ある王国は、お城に貴重な情報をたくさん保管していました。王様は、外部の侵入者を防ぐために王国の外側に堅牢な城壁を作り、警備を厳重にしました。
しかし、ある日、王国内部から情報を外に漏らした国の裏切り者が現れました。
王様は国民から信頼を失い、追放されてしまいました。
新しい王様はこれに対して、「ゼロトラスト令」を出して外部からの侵入者だけではなく内部の人も常に監視対象としました。そして、情報の保管庫に入るためには、王国の一部の人間だけが入室できるようにし、顔と指紋による認証そして秘密の暗号を突破することを求めました。
これにより王国は裏切者や外部の侵入者から情報を守ることができ、王様は国民から長く信頼されるようになりました。
---------------------
誰も信頼しないことによって、結果的に国民から信頼を得ることになった王様のお話です。
ゼロトラストによってセキュリティを強化した具体的なポイントは下記です。
①全アクセスを検証すること
②最小限の権限を保有すること
③24時間365日監視し続けること
これらを意識したことによって、外からも中からもセキュリティ対策を万全とすることができました。
ゼロトラスト対策とは
先ほどのストーリーを踏まえて、現代ではどのようなことが起こっているでしょうか。
近年増えているリモートワークにおいても、旧王様と同じことをやってしまっている可能性があります。
リモートワークでは、会社より貸与されたPC(もしくは個人PC)を用いて、VPNという仮想のネット専用線を経由して、会社のポータルサイトなどにアクセスしていることがあります。
専用の回線だから、こちらが許可しない限り外部の人たちがアクセスできないようにしているので安全性が高いセキュリティ対策として利用されてきました。
しかし、専用線だから必ずしも安心というわけではなさそうです。
正規ユーザーになりすまして、内部に入り込み、その情報を盗むという「裏切り者」が現れることも考えられます。
こうしたなりすましを防ぐにはどのような対策が望ましいでしょうか。
先ほどのストーリーの中にもありましたが、具体的な対策として、多要素認証(MFA)を導入することが必要になります。
通常のパスワードに加えて、生体認証やワンタイムパスワードを要求することで仮にパスワードを読み取られたとしても、本人でなければ突破できないようになっています。
ネットで商品を購入する際には、銀行口座との連携でワンタイムパスワードが必要になったり、SNSに久々にログインする時には、アカウントを保護するためにSMSや認証アプリを通じて行うように、日常でも多要素認証は多く見られます。
おわりに
これまで、ゼロトラストの重要性とその対策について話してきました。
自分の身の回りにも、身内を信頼しすぎているシステムがあるかもしれません。
あなたの仕事上での信頼、そして企業の信頼を守るために、「信頼しない」ゼロトラストの対策はとれているか確認するとよいかもしれません。
