叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。
トップ > 信じる信じない > 信頼はするけど信用しない

信頼はするけど信用しない

信じる信じない サーバとネットワーク ワークスタイル・ライフスタイル 認証(記憶・所持・生体) クラウド・サブスク

情報セキュリティのネットワーク対策の根幹となる考え方は、組織のネットワークの外側(インターネット)と内側(社内ネットワーク)、そしてDMZ(非武装地帯)とよばれる中間層を設けて、外部からの侵入を拒否することです。ネットワークに境界を設けることで、機密情報にアクセスする利用者は社内に限定させる方式です。

ネットワークの境界

コロナ禍で多くの職場でテレワークを推奨する動きが広がりました。

そこで課題になるのが「社内の利用者=機密情報にアクセス可能」の図式が成り立たなくなることです。「社内=会社のなか」であれば、社内のネットワークに入るための第一の関門は入退室管理をすることです。

入退室管理は、文字通り人の出入りを管理することです。部外者の出入りを管理するのはもちろんですが、社員でも、職責に応じて入退室できるエリアを限定し、入退室の履歴を管理します。内部の出入りを管理することで、内部不正の有効な対策になります。

入退室管理(イメージ)

会社がテレワークを認めた場合、テレワークで働く社員は「社内の利用者」となります。しかし、テレワークで働く社員は会社にはおらず、自宅、ワークスペース、カフェ・・・どこにいるか分かりません。

テレワーク(イメージ)

テレワークで働く社員は、VPNにより社内のネットワークにアクセスします。下図のように会社で働く鈴木くんと佐藤さんのパソコン、そしてテレワークで働く山田くんのパソコンはVPNを経由して社内ネットワークを経由し、グローバルIPアドレスに変換されるので、クラウドサービス(社内情報システム)にアクセスできます。しかし、グローバルIPアドレスに変換されない田中くんのパソコンはクラウドサービスへのアクセスを拒否されます。

VPNによる社内ネットワークへのアクセス

しかし、会社で働く鈴木くんと佐藤さんは、居室にはいる際に、適切な入退室管理を行えば、本人であることを確認できますが、テレワーク勤務の山田くんは入退室管理の対象にはなりません。山田くんに供与したパソコンは信頼できても、そのパソコンを操作しているのが山田くんであることを信頼することができません。

既にゼロトラストという言葉を聞いたことがある人も多いと思います。ゼロトラストは言葉通り「何も信頼しない」ことです。ゼロトラストはすべてを信頼しない前提に立ちます。外側からの侵入はもちろん、内部の通信もしっかり監視をしようという情報セキュリティ対策の考え方です。ゼロトラストという言葉自体は、2010 年には存在していたようですが、よく使われるようになったのは、テレワークの普及以降だと思います。

ゼロトラストの考えにたつと、テレワークを考慮した社員の認証は、より強固にする必要があります。たとえば、システムへのアクセスはIDとパスワードによるものだけでなく、デバイス認証を追加するなどです。パスワードもいまのポリシーを強化し、部外者に対してより見破られないようにする必要もあるでしょう。

パスワードポリシーは、パスワード設定時に必要な文字数、英文字・数字・記号などの組み合わせや複雑さなどの条件のことです。システム製品によって決められた範囲のなかで、システムを利用する組織が設定します。

たとえば、CRMのSaaS型クラウドサービスのSalesforceでは、次のようなパスワードに関するパラメータの設定が可能です(2022年9月時点)。

  • パスワードの有効期間(例: 90 日)
  • 過去のパスワードの利用制限回数(例:3 回前のパスワードまで使用不可)
  • 最小パスワード長(例:8 文字以上)
  • パスワード文字列の制限(例:数字、大文字、小文字、特殊文字のうち、少なくとも 3 つを含める)
  • パスワード質問の制限(例:パスワードを含めないこと)
  • ログイン失敗によりロックするまでの回数(例:3 回)
  • ロックアウトの有効期間(例:15 分)

ゼロトラストはこれからの情報セキュリティ対策の主流となる考え方とされますが、わたしは「ゼロトラスト(何も信頼しない)」の言葉に違和感を持ちます。

そもそも情報セキュリティは、信頼を前提としています。情報セキュリティの機密性とは、「部外者からの機密情報へのアクセスを禁じる」ことですが、これを逆に言うと「関係者を信頼する」ことと同じです。何も信頼しなければ、情報セキュリティそのものが成立しません。

「ゼロトラスト」は、誤解を招きやすい言葉だと思います。

「信頼はするけど信用しない」という言い回しがあります。これは、「相手に期待をしても出てくる結果を信じてしまわない」という意味です。

広島カープファンであれば、1点差で勝っている9回に栗林がリリーフにたてば、誰もが「ゼロで抑えてくれる」ことを期待します。しかし、100%それを信じて安心してはいけません。監督は、同点(若しくは逆転)になる状況を想定した打線や継投を考えておく必要があります。

「ゼロトラスト」の本質は、「信頼はするけど信用しない」という意味と理解すればスッキリします。

いま行っているセキュリティ対策の効果が出ることを期待しつつも、その結果を信じてはいけません。

ですので、ゼロトラストのトラストとは「信頼」ではなく「信用」です。わたし達は日常生活に於いても、仕事に於いても「信頼」と「信用」を使い分ける習慣はないので、ゼロトラストは理解されにくい言葉だと思います。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー