これまでのセキュリティー対策で大丈夫！？Cisco Duoで解決するゼロトラスト時代のセキュリティー

お役立ち情報

2021年07月26日

ゼロトラスト
認証

玄関の鍵を閉めない生活！？

私の祖父母は東北地方の田園地帯にある小さな集落で暮らしており、そこは広大な田畑とすぐ近くにはそのまま飲めるほどの透き通った冷たい水が流れ、土手にはロープを付けられたヤギが草を食べているような牧歌的な光景の生活です。近隣とは顔なじみであり、縁側でその日採れたばかりの野菜や果物をお裾分け、夏は夜でも窓を開放し、当然!?玄関の鍵も閉めません。とにかく平穏な生活です。

インターネットの世界ではどうでしょうか？

インターネットは、もはや電気、水道、電話などと同じ位に必要不可欠な"インフラ"となりつつあります。また、使用するPC、スマートフォンにパスワードを登録しています。つまり、冒頭のような「"鍵"を掛けない」生活など、インターネットの世界ではあり得ないわけです。

「鍵を掛ける」=「パスワードを登録／設定する」ことは常識であり、利用するシステム、クラウド形式で提供されるサービスにおいても、厳重に管理・運用されています。それでも、ユーザーID／パスワードが漏洩したり、マルウエア（ウイルス）感染や巧妙なフィッシングサイトの罠に引っ掛かり、セキュリティー事故に遭遇してしまうことがあります。そうならないために、セキュリティー対策に取り組んでいる訳ですが、守るべき対象、範囲、求めるレベル、利便性、安全性、費用面といった要素により、とるべきセキュリティー対策は大きく異なってきます。

これまでのセキュリティー対策で大丈夫！？

これまでのセキュリティー対策について振り返ってみたいと思います。

以下の観点でセキュリティー対策を実施すればおよその課題はクリアできていたと思います。

外部への接続は本社に設けられた1つの出口に対して、ファイアーウォールやIPS／IDS（不正侵入防止／検知システム）を経由するものとする
セキュリティー上リスクがあるWebサイトへはアクセス禁止のルールを適用
ウイルスやマルウエアに対しては、PCにウイルス対策ソフトを導入
OSやアプリケーションの修正ファイルを適宜適用

これらのほとんどは、既に対策として実施されているかと思います。

ただ、今の時代、本当にこれだけで十分と言えるのでしょうか？

われわれを取り巻く環境や状況は常に変化しています。具体的な例を以下に挙げてみます。

いかがでしょうか？

これは、働き方の変化、利用するサービスや使用する機器、シーンが多岐に渡ってきていることに起因しており、常にベストな対策を取り続けていくことが重要だということがお判りいただけるかと思います。

じゃあ、どうしたらいいの！？

前項では従来型のセキュリティー対策では不十分であることを述べました。

何をすべきなのか？
どこから手を付ければ良いのか？
どの製品が良いのか？

など、お悩みの方も多くいらっしゃると思います。

何せ、今や、全世界で販売されているセキュリティー製品は優に5,000種類を超え、その対象や用途、有効性はさまざまです。

では、具体的にどうしたら良いでしょうか。

セキュリティー対策を検討する上で、さまざまなアプローチ方法がありますが、一般的に広く知られているのは、以下の4つです。

1入口対策
2出口対策
3内部対策
4認証対策

それぞれの対策についての説明は、ここでは割愛します。ただ、4つに絞ることで、検討すべき対象がよりシンプルになり、考慮すべき内容が明確になるのではないでしょうか。

ゼロトラストの時代に必要なセキュリティーの考え方

最近、"ゼロトラスト"という言葉を耳にすることが多くなってきていませんか？

さまざまな見解がありますが、それらを踏まえて総合的な観点で簡潔に言えば、

「何も信頼しない」

という表現に集約されるかと思います。

従来のセキュリティー対策における「内側／外側」、「境界線を基準にした対策」という概念はありません。文字通り、"最初の段階"では何も信頼しないのがゼロトラストの基本的な考え方です。

もう少し掘り下げて考えてみましょう。

まず、ユーザーIDとパスワードについてです。入力する情報が登録されている情報と一致すれば、システムにログインすることが可能です。では、これらの情報が何らかのきっかけで外部に漏れてしまった場合はどうなるでしょうか？

そうです、本人でなくても、ログインできてしまいます。では、どうしたら不正なログインを防げるのでしょうか？

一般的には、"多要素認証"を取り入れる方法が広く知られています。つまり、ユーザーIDとパスワードの認証後に、もう1ステップ認証の仕組みを入れることで本人確認をするのです。これにより、なりすましによるログインを防ぐことが可能になります。

ただ、セキュリティー強化のために、アプリケーションやシステム、外部サービスを利用する度に認証プロセスを通すようにすると、煩雑になり、効率的ではありませんよね。

この課題を解決するのが、シングルサインオン（SSO）です。ログインの段階で、本人であることが確認された後、別のアプリケーションや外部サービスを利用する際にはシステム間で連携することにより、手間を省くことが可能になります。これによりセキュリティーレベルは担保しつつ利便性を向上させることができるわけです。

では、PCやタブレットなどのデバイスについてはどうでしょうか？

通常は、セキュリティーポリシーに基づき、ウイルス対策ソフトもインストールされていると思います。ではウイルス対策ソフトがインストールされていれば、ウイルスに感染していないと言い切れるでしょうか？

答えは残念ながらNoです。

ウイルス対策ソフトをインストールしていてもウイルスに感染してしまった事例はたくさんあります。脆弱性の問題（セキュリティーホール）を抱えたままのPCや、あるいは、外部の人間にPCが乗っ取られてしまったケースを想像してみてください。やはり、PCやタブレットなどのデバイスを最初から信頼して会社のネットワークに接続させるのは危険です。

この場合、どういう対策が有効なのでしょうか？

まず、脆弱性の問題がある、あるいはウイルスに感染したデバイスはネットワークに接続させないことが重要ですが、管理者が一台一台、都度、確認するにも限度があります。やはり、常日頃から各デバイスに対して、脆弱性の問題が無いか、あるいは最新の修正ファイルが適用されているか、ウイルスに感染していないかをモニタリング（監視）することが重要です。そして、問題が見つかったデバイスは、ネットワークに接続させないことが大事です。

ただ、以下のようなことが思い浮かびませんか？