セキュリティの現状を知る。果たして“性悪説(ゼロトラスト)”は正解なのか?
オフィスにパソコンが普及してから半世紀あまり。その間、性能の向上とともに大きなテーマとして存在し続けているのが「セキュリティ」の問題です。情報システム部など関係者による継続的な努力がある一方、「いたちごっこ」の様相は変わらず、解決の道筋は不透明な状況にあります。最近では性悪説(ゼロトラスト)に基づく緻密でシビアな対策も注目を集めていますが、果たしてこれが正しい方法なのか、さまざまな側面から検証してみましょう。
テレワークに忍び寄る「危機」
新型コロナウイルス感染拡大の影響で、テレワークやオンライン会議といったICT活用の取り組みが世界的に推進されています。これまで、多くの企業システムはオフィスでの勤務を前提に構築され、情報システム部が全体を管理するスタイルが一般的でしたが、感染防止策の一環として在宅勤務を導入する企業が増える中、従来と異なるネットワーク環境(管理者の目が届かない環境)で仕事をする機会が急増しました。情報システム関係者は、この傾向がセキュリティ上のリスクを高める原因になるとして警戒を強めています。
外出先でのモバイルコンピューティングを重視し、あるいは「働き方改革」の推進策として以前からテレワークを実施している企業の中には、社員に専用のノートパソコンやタブレットなどの端末を支給し、情シスがリモートで一元管理する仕組みを整備しているケースもありますが、緊急事態への対応や利便性向上を理由に、事前の準備が不十分な状態でBYOD(Bring Your Own Device:個人保有の端末を業務でも利用する仕組み)が導入される例も少なくありません。このような場合、情報流出やマルウェア感染といったセキュリティ上のリスクについて十分考える必要があります。
企業のシステムは、従業員・取引先の情報や経営に関するデータをはじめ、大量の重要な情報を扱っています。情報流出を防いで安全に利用するため、外部からの不正アクセスを防ぐファイアウォール、マルウェアを検知・削除するソフトウェア、専用線感覚でインターネットに接続するVPNを導入するなどのセキュリティ対策が講じられてきました。ただし、これらの対策はいずれもオフィス内での利用を前提としたものが中心で、テレワークへの対応はまだ道半ばという段階です。
オフィス外からインターネット経由で社内システムにアクセスする場合、リモート管理の環境が整備されていなければ、セキュリティ対策の大部分がユーザーに任されることになります。「うちはウイルス対策ソフトを入れているから大丈夫」と考える人もいるかもしれませんが、実際のところ、これらのソフトによる防御には限界があり(検知できない新種・亜種マルウェアの増加、マルウェア以外の手法による攻撃多発など)、残念ながらテレワークユーザーは攻撃者にとって“格好の餌食”となっているようです。最近も国内企業38社のシステムが不正アクセスを受け、社内システムに接続するパスワードが流出したと報じられるなど、情報漏洩のリスクはテレワークの普及により確実に高まっている*と言わざるを得ません。
*参照:経済産業省 第4回 産業サイバーセキュリティ研究会 事務局説明資料
またテレワークでは、離れた場所にいる人たちとインターネットを介して接続するオンライン会議用のツールが広く使われていますが、チャット画面に不正なURLを貼り付けてマルウェアをダウンロードさせたり、ファイル共有機能を悪用してデータを盗み出すといった事例が報告されています。利便性の裏に潜む危険が明らかになり、「これは油断できない」と感じた人も多いでしょう。
最新セキュリティ対策「ゼロトラスト」
セキュリティにはマルウェア対策の他にもさまざまな要素がありますが、問題をわかりやすくするために、最近セキュリティ分野でキーワードになっている「ゼロトラスト」という言葉をご紹介しましょう。ゼロトラストとは、その名の通り「信用ゼロ」という意味で、どんなに対策を講じても完璧に安全な環境は作れないという「性悪説」に基づく考え方です。これまで、ファイアウォールなどのツールで厳重に固められたオフィス内システムは「信用できる環境」と考えられてきましたが、テレワークで外部ネットワークからのアクセスを認める以上、もはや信用できる環境は存在しないとの判断がベースになっています。
ゼロトラストのセキュリティモデルは、従来の「マルウェアを見つけて駆除する」という手法ではなく、パソコンやタブレットといった端末の“振る舞い”を検知して対策することがポイントになっています。たとえば、マルウェアがシステムに「穴」を開ける行動(ポートスキャン)をした場合、感染した端末は通常と違う“振る舞い”を見せます。ゼロトラストではこのような疑わしい“振る舞い”を検知するとその端末を“脅威”と見なし、直ちに通信遮断などの対策を実行します。社員が普段使っているパソコンでも、いつもと違う点が少しでもあったら即排除というのは厳しすぎるとの声も聞かれますが、そこには「この人(端末)なら安全」という性善説では対策が進まないという現実があるのです。
また、サイバー攻撃の手口が多様化・複雑化し、1日100万以上の新種・亜種マルウェアが出現しているとも言われる現在、従来のデータベース更新による対策では追いつかないという危機感が広がっています。そこで、最新技術であるAIを駆使して攻撃を分析し、未知の脅威を予測して事前に対策を講じる取り組みが進められています。
新時代のセキュリティ像とは?
深刻化する脅威への対策は日々進歩していますが、その一方で脅威をもたらす攻撃者側も同様に最新テクノロジーを導入して、攻撃の機会を伺っています。海外では実際にAIを使った企業システム侵入の事例も報告されており、近い将来にはセキュリティをめぐる「AI対AI」の攻防が現実になるかもしれません。
一方、ゼロトラストなどに見られる厳しいセキュリティ強化は安全対策として有効である反面、「使いづらい」「ストレスを感じる」といった結果を招いてしまう恐れもあります。実生活に置き換えると、たとえ安全確保という理由であっても、何台も防犯カメラが置かれ、何度も暗証番号を入力してやっと部屋に入れるような環境の家には、できれば住みたくないというのが本音でしょう。対策にあたってはこのような点にも注意しながら、できるだけシンプルで効果の高い方法をチョイスする能力が求められます。
まとめ
ICTの進化とともに増大するサイバー攻撃の脅威は私たちにとって深刻な課題であり、今後も解決に向け継続的に取り組む必要があります。これは「ゴールの見えない闘い」とも表現されますが、セキュリティはICTに限らず、生活のあらゆる場面で欠かせないテーマでもあるので、日頃から関心を持って向き合うことが大切です。
先行き不透明な状況が続く中、「ニューノーマル」と呼ばれる新しい時代の働き方として注目を集めるテレワークには、程度の差こそあれ、セキュリティ上のリスクを抱えるという側面があります。来るべき新時代の到来に備えるという意味でも、常に最新情報をチェックして知識を蓄え、より安全なビジネス環境づくりを心がけましょう。
おすすめ記事: