ゼロトラスト採用企業の「半分が失敗する」と考える2つの理由　“小リソース”の中小企業がセキュリティを強固にする方法

従来型のセキュリティモデルの限界

寺園雄記氏：みなさん、こんにちは。網屋の寺園です。本日は「中堅・中小企業のゼロトラスト戦略」ということで40分ぐらいお時間をいただいて、ご説明させていただきます。

昨今、大手企業を中心にゼロトラスト思想に沿ったサイバーセキュリティ対策が進んでいますが、一方でみなさんもご存知のとおり、サイバー攻撃被害がかなり増加しています。ここ最近ですと大手・官公庁のみならず、中堅・中小企業に対するサイバー攻撃被害をニュースで多く見る機会が増えてきていると思います。

大手のみならず、中堅・中小企業のみなさまもサイバーセキュリティ対策を行っていく時期に入っていますので、私どもからそちらに関してお話しさせていただければなと思っています。

まずゼロトラストがどういった考え方かを共通理解したいと考え、スライドを1枚ご用意しました。

従来型のセキュリティモデルが左側です。境界線防御モデルという、みなさんもよく目にするかたちのディフェンス方法だと思います。

「インターネット側に敵がいて、自分たちのローカル環境は侵入されていない安全な場所である」という考え方のもとに、境界線上にファイアウォール、UTM、プロキシ、メールセキュリティなどを実装して守るというかたちでした。

この方法では、すでにディフェンスができなくなっているということですね。ローカルエリアは敵がいない状態のネットワークとしてセキュリティ対策を施していませんので、サイバー攻撃者が侵入すると被害が全部に拡大します。

「敵はどこにでもいる」という前提に立ったセキュリティモデル

そこで登場したのがゼロトラストという右側の構成で、「敵はどこにでもいる」という前提のもとに、各所にセキュリティの対策を施すという考え方です。サイバー攻撃でローカルに侵入されたとしても、セキュリティ対策を行っているので被害が甚大化せず、極小化するかたちで収まるというモデルになります。

ゼロトラストには、セキュリティ強化と並びもう1つ狙いがあります。それは「利便性とセキュリティの両立」です。これまでのセキュリティ対策は、利便性とセキュリティのトレードオフの関係がありました。セキュリティを強化すると利便性がちょっと落ちる、仕事の効率が悪くなるとか。逆に利便性を優先すると、セキュリティは少し強度を下げないといけないといった関係性で成り立っていたと思います。

昨今は使い勝手の良いクラウドサービスが登場し、各社さまともクラウドにシフトしたり、新型コロナウイルスの登場によって急速に・強制的にテレワークが進み、働き方も変化しました。

その結果、この図のとおり、データを守るべきところは1ヶ所ではなく、デバイスも社内だけではなく各所に点在するかたちになります。旧来型のセキュリティモデルではとてもセキュリティを担保できないですし、利便性を上げることもできません。

その中でゼロトラストモデルに沿ってネットワークセキュリティを構築すると、利便性を損なわずにセキュリティも強化できるという一面があると考えています。

ゼロトラストの「7つの考え方」

次にゼロトラストの考え方を見ていきます。表示しているスライドは、アメリカのNIST（アメリカ国立標準技術研究所）が出したゼロトラストの考え方になります。

7項目ありまして、ちょっと長くなるんですけれども一つひとつご説明します。

1つ目は、「すべてのコンピュータとクラウドコンピューティングサービスはリソースと見なす」。守るターゲットをしっかり把握して対策を取らないと意味がないということです。守る対象が、例えばPCなのかデータなのかをしっかり見定めた上で、それに対して防御する策をしっかり行っていく。すべて網羅的にやってしまうと、適切なディフェンスにつながらないということを言っています。

2つ目は、「ネットワークの場所に関係なく、すべての通信を保護する」。今のテレワークの環境とかがまさしくそうだと思いますが、どこで働いてもしっかりとセキュリティ保護したかたちで使ってね、と言っています。

3つ目は、「企業リソースへのアクセスは、セッション単位で付与する」。冒頭で、境界線防御のかたちでは中に侵入されると全滅すると申し上げましたが、中に侵入されたとしても、権限の設計をしっかり行ったり、ネットワークセグメントを分割することで被害を極小化できるということを言っています。

4つ目は、「リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する」。

例えば、退職する前にデータを持ち去ってしまう人もいらっしゃいますし、安心してデバイスを使っていても知らない間にマルウェアが埋め込まれて、意図しない悪さをしてしまうとか。あくまでも「一旦導入したから安心だ」とは思わないでください、ということを言っています。

導入後の日々の運用の重要性

5つ目は、「企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する」。例えば、「高額なUTMを導入したから当社は安心だ」と思っても、ファームウェアを当てなかったり、適切な設定変更を行わないまま数年が過ぎると、せっかく高額なものを入れたのに脆弱性が高まって、侵入されてやられてしまうとか。

そういったお話は昨今のニュースでもよく出てくると思います。日々の運用をしっかり回さないと、いくら導入当初に良い構成で投資しても、うまくいかないということを言っています。

6つ目は、「すべてのリソースの認証と許可は動的に行われ、アクセスが許可される前に厳格に実施する」。これは「なりすましを疑う」ということでして、のちほども出てきますが、一般的にID／パスワードのみで運用されているところですと、もう容易に侵入されてしまいます。

基本的には、正規のメンバーではない人が入ってこれないような多重多層の仕組みを組み込んでください、ということを言っています。

最後の7つ目は、「企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する」。どちらかというと少し5番に近く、「ここでよし」という考え方をせず、日々最新の情報を入手しつつ適切に対処をするという考え方です。

ゼロトラストの5つのフェーズとモデル例

では、ゼロトラストを進めていくにはどうすればいいかについてご説明します。こちらの資料はIPA（独立行政法人 情報処理推進機構）が出している「ゼロトラスト移行のすすめ」からの抜粋で、フェーズ1からフェーズ5まであります。

フェーズ1では、現状のお客さまの環境を分析して、「これがゼロトラストのかたちだよね」というものを作ってみます。フェーズ2になると、中長期的にどういう構成を作っていくかというグランドデザインを作り、それに応じてフェーズ3以降で投資判断をしながら徐々に環境を構築していきます。

ポイントは、やはり最後のフェーズ5「検証・改善」です。1回導入したから、できたから終わりではなく、常に見直し・点検をして改善を図っていくことをIPAも推奨しています。

このスライドでは、ゼロトラストのモデル例を挙げさせていただきました。

あくまでもモデルで、このかたちにしなければダメだということでもないですし、違ったかたちでの導入・実装もあると思います。

こちらもIPAの資料の抜粋ですが、簡単に説明しますと左下のPCの部分は、CASB（従業員のクラウドサービスの利用を監視し、適切なセキュリティ対策を行うためのソリューション）やDLP（情報漏洩対策）、EDR（利用者端末において脅威を継続的に監視して対応する技術）という各アプリケーションなどの要件に応じたセキュリティ対策を施してください。左上、端末の管理に関してはMDM（携帯端末管理）、デバイス管理のソフトウェアを利用してください。

認証管理については、クラウドにアクセス、もしくはオンプレミスにアクセスするにしても、多要素認証でセキュアな状態を確保する構成になっています。一番右にSIEM（統合ログ管理ツール）が入っていますが、各製品・サービスからしっかりログを取得して何かあった時にしっかり追える仕組みの実装を、ゼロトラストモデルの一例としてIPAが出しています。

ゼロトラスト採用企業の「半分が失敗する」と考える2つの理由

ここまでのお話で、ゼロトラストの必要性についてご紹介差し上げたんですが、1つ衝撃的な仮説をGartnerさんが出しています。

「2022～2023年のサイバーセキュリティに関する8つの主要な仮説」というものをGartnerさんが出していますが、そこの中の1つで、「2025年までに、組織の60パーセントは、セキュリティとしてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する」と言っています。

どういった背景で「半分が失敗する」と言っているのかと考えたんですが、2つあると思います。1つは「最初に緻密なグランドデザインを描くことが必要」で、社内に高度なセキュリティ知識を持った人間が必要になります。大手・官公庁さんであれば可能かもしれませんが、中堅・中小企業のみなさまからすると少し敷居が高く、厳しいのかなという点が1つ。

もう1つは、先ほどご紹介したモデルの中に記載のあった、IDaaSやMDMといった、「いろんなソフトをたくさん入れて管理していかないといけないというところです。ツールにかかる費用と、運用のリソース・コスト的に厳しくて断念する企業が増えて「半分は失敗するのではないか」と、Gartnerさんがおっしゃっている気がします。

ランサムウェアによる企業被害の5割以上は中小企業

では中堅・中小企業にゼロトラストは不要かと言いますと、そんなことはないというデータがこちらになります。

このデータは警視庁が出した、令和3年のランサムウェアの被害件数の報告です。左側にあるように被害件数の5割以上が中小企業となっていますので、決して中小企業は対策をしなくていいということにはなりません。

ランサムウェアに感染してしまうと、基幹システムが使えなくなるのでメールが使えなくなったり、重要なファイルが入っているファイルサーバーが見られなくなる。業務停止に陥ってしまうと企業の収益にも直結するので、中堅・中小企業が何もしなくていいことにはまったくなりません。

中堅・中小企業に被害が多い理由は、攻撃の手法が少し変わったことがポイントかなと思っています。

今までは大手さん、ネームバリューのある会社さんを狙って、じっくり攻撃するかたちが多かったんですが、最近は不特定多数に自動的にサイバー攻撃を仕掛ける。そして、うまくサイバー攻撃ができた穴から別の……例えば関連会社や取引会社に、徐々に攻撃範囲を広げていくという手法が増えてきています。

そうすると、もともとセキュリティ強度の弱い中小企業がターゲットになりやすく、当然被害も増える。こういった傾向がニュースなどで、中小企業のサイバー攻撃の被害を耳にすることが増えた背景かなと考えています。

では中堅・中小企業はどのようにゼロトラストに向き合うべきでしょうか。これは先ほどのNISTの資料ですが、この7つの考え方のすべてに力を入れてセキュリティ対策を実施するのは、中堅・中小企業にはなかなか難しいところだと思います。

優先度をつけて対応するのが大事で、一番のポイントは5番の「運用が大事」かなと考えています。

VPNを1つの例にしますと、サイバー攻撃のほとんどがVPN装置も含めた機器の脆弱性からランサムウェアの被害に遭うケースが多くなっています。

ファームウェアの更新など、今までどちらかというと情報システム部の方が後回しにしていた業務を最優先で行うだけでも、サイバー攻撃に遭う確率を大きく下げられると思いますので、まずここを起点に、各社さまの費用やリソースに応じて順次幅を広げていくのが良いと考えます。