SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

徳丸浩が斬る、セキュリティのイマ

脆弱性満載のVPN、ずさんなパスにF/WなしでPC接続──近年ゼロトラストが必要になった切実な事情

【徳丸浩が斬る、セキュリティのイマ:第5回】なんで「ゼロトラスト」をいれなければいけないの?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第5弾。今回のテーマは「脆弱性満載のVPN、ずさんなパスにF/WなしでPC接続──近年ゼロトラストが必要になった切実な事情」です。日本のセキュリティ対策で、もはやトレンドどころか常識となりつつあるゼロトラスト。しかし、その要点を知っているようで知らない人は数多くいると徳丸氏は指摘します。今回はその「ゼロトラスト」の意義と押さえるべき重要なポイントを詳しく解説します。

そもそもゼロトラストとは

 はい、前回は境界防御をメインにお話しさせていただきましたが、今回は「ゼロトラストとはなんぞや」というお話ができればと思います。

 ゼロトラストセキュリティモデル、ゼロトラストアーキテクチャは、先端的な研究者による造語、あるいはGoogleなどが最初に言い出し、取り組まれはじめたものです。

 ゼロトラストの考え方を一言で言うと「もう境界防御といった、彼我の境はないものと思え」みたいな感じですね。たとえば、極論を言うと「インターネット上にサーバーと端末があったとしても、その認証も脆弱性対策も完璧であれば、侵入はされないし悪用もされることはない」と一般的には思われがちです。

 しかしそれだけですと、以前にも言及したゼロデイの脆弱性や標的型攻撃メールといった、スクリプトの入った添付ファイルをうっかり開いてしまう人を狙った攻撃には対応できません。

 ですので「IDパスワードだけでは不十分なので、強固な認証手段を使いましょう」とか、「脆弱性対策はきちんとしろ」だとか、「メールなどに添付された危険なファイルは、必ず十分な検知をしろ」とかいったりするのはそれが背景です。端的に説明すると、これがゼロトラストという考え方であり、重要なものの概要になります。

 そして、このゼロトラストが今のビジネス情勢に実にハマりやすいものなんですね。

 どういうことなのか。まずコロナの影響でリモートワークが増え、外で仕事をすることも増えました。そして、リモートでよく使われるVPNというものは、仮想的に社内ネットワークを自宅まで延長するような感じのものです。

 しかしその肝心のVPN装置に脆弱性が多いとか、場合によってはVPN装置を使わずファイアウォールなしで直接パソコンにつなぐなど、ちょっと私の感覚からは信じられないような使い方をされた事例が、現実には数多くある。ですので「境界防御だと、ちょっと色々不自由だよね」という状況がまず存在します。

 またコロナの影響もありますが、近年多くの企業でクラウド利用が増えました。これは主にSaaSですね。

対象遷移のイメージ 図:EGセキュアソリューションズにて作成(画像クリックで拡大)
対象遷移のイメージ 図:EGセキュアソリューションズにて作成(画像クリックで拡大)

 様々な業務アプリケーションを自社で作る、あるいは用意するのではなくサーバー上のクラウドで提供されたものを使うというものです。となると、クラウドは境界の外にあるわけですから「企業システムが境界の中にない」ということになるわけですね。そうすると境界防御では守れないわけです。

次のページ
まず優先すべきは「認証」周りを

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17971 2023/07/06 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング