テレワークの推進やサイバー攻撃の巧妙化など、IT情勢が変化する中で、情報セキュリティが見直されています。特に最近では、総務省のまとめたテレワーク用セキュリティガイドラインで、「ゼロトラスト」という新しい手法が注目を浴びています。本記事ではゼロトラストの概要と、同ガイドラインが示すセキュリティ対策について解説します。
「テレワークセキュリティガイドライン(第5版)」で総務省が注目するゼロトラストとは?
「ゼロトラスト」とは、情報セキュリティにおける新しい手法です。「Zero(ない)」「Trust(信頼)」の名前が示唆する通り、ネットワーク・ユーザー・デバイスなど、企業の情報に関与するものすべてを信頼しないという信条のもと、セキュリティ対策を施します。
これまでの情報セキュリティ対策では、「境界型防御」と呼ばれるモデルが主流でした。この手法では外部からの攻撃を遮断することで、内部のセキュリティを担保します。しかし、サイバー攻撃が複雑化するにつれて、境界型防御だけではもはや情報セキュリティ対策に限界が生じています。
また、近年のテレワーク需要の高まりによって、新しいセキュリティ手法が必要となりました。そこで政府は、新しい情報セキュリティ対策としてゼロトラストに注目したのです。
総務省にゼロトラストが注目される背景とは?
ここからは、総務省がゼロトラストに注目する背景について紹介します。
テレワークなどの働き方の変化によるセキュリティリスクの増加
新型コロナウイルスの流行によって、企業は働き方の変更を余儀なくされました。中でも大きな変化となったのが、テレワークの導入です。政府では、電車通勤の利用者を減らすために、自宅での業務を推奨しています。しかし、テレワークは以下のようなセキュリティ上のリスクを抱えています。
- 従業員が自宅で使うデバイスがマルウェアに感染
- Wi-Fi利用時の情報盗聴
- 認証情報の漏えい
これらの問題は、これまでの境界型防御だけでは対処が難しく、新しい情報セキュリティ対策が必須となります。
多様化するサイバー攻撃
IT技術の発達とともに、サイバー攻撃の手法も多様化しています。例えば、近年企業を騒がせたのは「Emotet」と呼ばれるマルウェアです。Emotetによる攻撃では、なりすましメールを用いて添付ファイルからウイルスを感染させます。通常のメールと違い、従業員が過去にやり取りした相手の名前やメールアドレスを使用しているため、サイバー攻撃と気づかずにファイルを開いてしまうのです。
また、Wi-Fiのハッキングによる情報盗聴も発生しています。特に、外出先にある公衆Wi-Fiは盗聴されやすく、情報を盗み取られてしまうことがあるのです。テレワークでは外出して業務を行うことも多いため、こうした問題に注意しなければいけません。
ウイルス感染後の検知が困難
サイバー攻撃では、特定の企業の情報を盗もうとする「標的型攻撃」が増えています。この攻撃では、前述したEmotetのように、業務に関連したメールを装いマルウェアを仕掛けてくるのです。もし企業内のPCがマルウェアに感染した場合、他従業員のPCにもウイルスが拡散されてしまいます。
境界型防御では外部からの攻撃のみに対処するため、内部でウイルス感染が発生していても対応できないどころか、気づかない可能性すらあるのです。このような標的型攻撃に対応するには、「社内のPCが不審な動きをしていないか」常に監視しなければいけません。
総務省「テレワークセキュリティガイドライン(第5版)」におけるゼロトラストモデルの実現要件とは
ここからは、総務省が発表した「テレワークセキュリティガイドライン(第5版)」を基に、ゼロトラストモデルを実現するための考え方について解説します。
ネットワークの内部・外部を区別しない
ゼロトラストの基本的な概念として、「企業情報にアクセスするすべてを信用しない」というものがあります。従来の境界型防御のように「内部は安全」とは考えず、内部も外部も等しく危険なものと捉え対策を施します。
この考え方は、クラウドサービスの導入企業にとっては非常に重要です。クラウドサービスでは、外部のベンダーが運営するサーバーに企業情報を委託する都合上、境界線のセキュリティを向上しても効果がないためです。
利用認証とアクセス管理を徹底する
自社のシステムにアクセスしているのが従業員かどうかを確認するためには、適切な認証とアクセス管理が必須です。例えば、IDとパスワードが何らかの問題で流出してしまった場合、第三者が簡単に企業システムにアクセスできてしまいます。これを防ぐには、ID・パスワード以外の要素での認証を付与しなくてはいけません。
また、企業情報にアクセスしているデバイスが、企業で登録してあるものかどうかを確認することでも、第三者からの通信を遮断することは可能です。
環境の制約を設けずにセキュリティ対策を徹底する
ゼロトラストを実施するには、場所やデバイスなどの環境的な制約を設けないようにしなくてはいけません。外出先からのアクセスや、スマートフォン・タブレットなどのデバイスでのアクセスなど、どのようなアクセスにも対応できるようなシステムを整えることが必須です。このためには、以下のようにさまざまな観点から対策を講じる必要があります。
- 外出先で利用する端末にマルウェア対策を施す
- アクセスしている端末に不審な動きがないかを確認する
- 外部からアクセスする端末をあらかじめ認識できるようにしておく
総務省「テレワークセキュリティガイドライン(第5版)」における会社で実施するべきセキュリティ対策とは
以下では、総務省がまとめたガイドラインにて示されている、企業が講ずべき対策について解説します。
ウイルス対策ソフトを導入するなどのマルウェア対策を実施する
標的型攻撃のように、なりすましメールによる攻撃に対しては、もはや完全な対策を講じることは難しくなっています。そのため、マルウェアに感染する可能性があることを前提に、使用するデバイスすべてにウイルス対策ソフトの導入を進めることが求められます。
また、テレワークを実施している企業は、管理下にない端末の利用にも注意が必要です。たとえ企業側が個人端末の利用を禁止していても、作業時の様子が見えない状況では、従業員が勝手に個人端末を利用する可能性を排除できません。
このような場合の対処として、登録している端末以外はログインできないようにするのがおすすめです。これにより、禁止されている端末の利用を防ぐだけでなく、第三者の不正アクセスの防止にもつながります。
データ利用のルールを決める
業務上利用することが多いリムーバブルメディアについて、セキュリティ上高いリスクがあります。まず考えられるのは、マルウェアの感染です。マルウェアは、PCやスマートフォンなどのデバイスだけでなく、USBメモリにも感染します。USBメモリ感染型のマルウェアは、USBメモリをPCに接続しただけでプログラムが自動で実行され、PCにマルウェアを感染させます。
また、情報の不正な持ち出しにおいても、リムーバブルメディアが利用されるケースが多々あります。そのため、内部不正を防ぐためにも特定のメディア以外は利用を禁止するなど、企業内でルールを決めておく必要があるでしょう。
ログを保管する
不審な動作を監視したり、トラブル時の証拠を残したりするために、ログの取得をおすすめします。アクセスログ・認証ログ・捜査ログ・イベントログなど、さまざまなログを取得しておけば、情報漏えいなどのトラブル時に役立てることが可能です。
など、ログを取り扱う際は「時刻設定」「保管とバックアップ」に注意してください。ログの確認においては時刻が重要なので、実時間との同期が必須となります。そして、書き換えや改ざんが行われないように、別途用意した管理システムを利用しましょう。
テレワークにおけるセキュリティトラブル事例
2020年8月、VPN機器から認証情報が流出したほか、日本の企業40社近くが不正アクセスの被害を受けました。これは、脆弱性を修正するアップデートを怠ったことが原因と見られています。テレワークを実施する企業の多くはVPNを利用していますが、業務の都合により、すぐにはアップデートを行わない企業も少なくないようです。このような被害をなくすためにも、ファームウェアの更新は速やかに行わなければいけません。
また、アクセス権限を適切に設定していなかった企業が、不正アクセスにより2,000万件以上の情報を流出した被害も報告されています。ゼロトラストでは、データにアクセスする従業員すべてに適切なアクセス権限の付与を行う必要があります。
まとめ
ゼロトラストでは、企業データにアクセスする通信すべてに何らかのセキュリティ対策を講じます。こうした情報セキュリティ対策は、近年のIT情勢の変化に対応するために必須です。特に、コロナ禍によるテレワークの普及も相まって、ゼロトラストモデルの導入は極めて重要視されています。中でも重要なのが、外部アクセスのセキュリティ対策と認証の強化です。
しかし、これらをすべて実現するためにシステムを構築するとなると、多くの手間と予算がかかります。そこでおすすめなのが、「HENNGE One」の導入です。HENNGE Oneは、シングルサインオンや認証・外部利用のセキュリティ強化といった、複数の目的を叶えるSaaS認証基盤です。複数のクラウドサービスを利用している企業でも、一度の認証ですべてのサービスが利用できるようになるため、作業効率の向上も期待できます。
さらにデバイス証明書を利用したパスワードレスな多要素認証や、HENNGE ConnectというオンプレミスシステムへのVPNなしでのセキュアなアクセス機能など、テレワークのセキュリティ向上に役立つ機能も備えています。ゼロトラストの導入・運用をお考えなら、ぜひHENNGE Oneをご利用ください。
