コロナ・パンデミックに伴う在宅勤務が定常化する中、リモート・アクセスに対するサイバーセキュリティ対策を根本的に見直す論議が始まっており、その中でゼロ・トラスト・アーキテクチャー(ZTA)への関心が高まっています。
■ 在宅勤務とセキュリティ問題
2020年3月、米国では、コロナ・ウイルス対策としてオフィスや店舗の閉鎖と在宅勤務命令(ロックダウン)が発令された。命令は州単位で、ニューヨーク州の場合、3月20日(金)に在宅勤務命令が出され48時間後に発効となったため、翌週23日(月)からは、警察、消防、公共交通機関などの「エッセンシャル・ワーカー」を除いた全オフィスが閉鎖された。その後条件付きで命令の解除が進んでいる。
米国では、コロナ・パンデミック以前から、週1日程度、在宅勤務する従業員も少なくなく、リモート・ワークに対するシステム面での準備(VPNの導入や貸出し用ラップトップの準備等)を行っていた企業は多かったが、社員全員が在宅勤務となることは想定外で、VPNのキャパシティ不足や機器不足に見舞われた。ただ在宅勤務への移行は待ったなしだったため、セキュリティに問題があることは承知の上で、BYOD(個人所有機器の活用)しか選択肢がないケースもあったようだ。
ロックダウンから半年を経た現在、80%の企業/組織が今でも何らかのリモートワークを継続しており、うち三分の二は在宅勤務が今後6ヶ月以上続くと考えているという(FacebookやTwitterなどのように、無期限のリモートワークを打ち出した企業もある)。このため、在宅勤務に関する長期を見据えた社内ルール/ポリシーの見直しとテクノロジーのアップグレードが待ったなしとなっている。
■ ゼロ・トラスト・アーキテクチャー(ZTA)が切り札?
在宅勤務が定常化する中、サイバーセキュリティ対策の考え方として注目されているのがゼロ・トラスト・アーキテクチャー(ZTA)である。ZTAは特定の技術をさすものではなく、従来からあるエンドポイント管理/ペリメータ(境界)管理に代わるサイバーセキュリティのコンセプトであり、2010年頃から提唱されていたものだ。
エンドポイント管理では、従業員が企業/組織のネットワークに接続する際、最初にIDとパスワードで本人認証を行い、一旦本人だと確認されれば権限にあわせたリソースにアクセスできた。ネットワーク外からのアクセスは例外として扱い、VPNなどを利用していた。
これに対し、ZTAでは社内/社外の区別はせず、あらかじめユーザー毎に利用できるリソース(サービス/アプリ/データなど)を規程しておき、かつ、本人であるかどうかをアクセス当初だけでなく常時認証する考え方だ(理想的には、リソースにアクセスする都度リアルタイム認証する)。これにより、外部からのアタックやなりすまし、内部犯罪、BYOD、クラウドと社内システムを融合した業務などを、一つのコンセプトで管理できることになる。もちろんユーザーの行動ログを取得し、通常とは違うパターンを把握することも重要だ。
■ NIST:Zero Trust Architechture正式版を発刊
米国では、サイバー攻撃に晒されている国防組織(国防総省や海軍)がZTAへの移行を表明しており、また陸軍では、コロナ・ウイルスによる混乱が長引いても支障がないよう諜報関連業務であっても在宅勤務できるようセキュリティ環境の整備を行う方針を打ち出している。
2020年8月には、米国政府内で技術標準の制定を担うNIST(国立標準技術研究所)が、サイバーセキュリティ・フレームワークの一環として「Zero Trust Architechture:SP800-207 」を正式発表した。これは、米国政府内だけでなく米国内外企業がZTAに基づくセキュリティ強化を考える際のベースラインになると思われる。今後のZTAの広まりに注目しておきたい。
(参照)
・フォーブス誌 2020年9月8日記事「Work From Home Is Not Without Security Costs」
・Infosecurityマガジン 2020年10月13日記事「Global Firms Seek Zero-Trust as 58% Suffer COVID-Era Breach」
・ガバメント・コンピュータ誌 2020年10月12日記事「How to implement zero trust without impacting productivity」
・同 2020年10月5日記事「How can zero trust help secure the BYOD workforce?」
・ITメディア@IT 2020年3月より連載記事「働き方改革時代の「ゼロトラスト」セキュリティ」
Add new comment