もう一度、セキュリティを考え直すタイミング
今年に入り、国内企業がサイバー攻撃を受けたという報道が続いた。シスコシステムズ セキュリティ事業担当 田井祥雅氏はPositive Technologiesが発表している「Penetration testing of corporate information systems: statistics and findings, 2019」の中から、「企業への侵入テストで境界侵入に成功する確率は92%」と挙げた。攻撃者がネットワークへの侵入を試みたら、高い確率で成功する可能性を示している。
脅威はネットワークからの侵入だけではない。詐取されたIDとパスワードから情報漏えいにつながるケースは後を絶たず、またWebアプリケーションの脆弱性をついた攻撃方法がネットで多数公開されている。アイデンティティへやアプリケーションへの攻撃も警戒が必要だ。こうした状況を鑑み、田井氏は「もう一度、セキュリティを考え直さなくてはいけません」と警笛を鳴らす。
かつては境界で防御し、ネットワークに侵入できればあらゆるシステムへのアクセスはデフォルトが「許可」だった。しかし今では攻撃者が侵入し、潜伏しているのを前提に考える必要がある。そこで「ゼロトラスト」だ。アクセスを求めてくるユーザーが正規のユーザーであるか、端末がウィルスに感染していないか、何度も繰り返し確認することの必要性が高まっている。
ゼロトラストはサイバーセキュリティ戦略の概念であり、端的に言えば「誰も、何も(無条件で)信用しない。常に確認する」というスタンスを表す。具体的にどう実現するか、その戦術はそれぞれのプロダクトやソリューションによって異なる。
