「ゼロトラスト･セキュリティー」を見据えたVPNでのテレワーク環境とは

● 従来のネットワークベースのセキュリティー

ネットワークを突破された侵入済みの脅威に対して脆弱

● ゼロトラスト・ネットワーク・セキュリティー

"ID"をセキュリティー境界とし、ネットワークに依存しないこれらの信頼度に基づいて動的に認証、認可

境界型防御は、「Trust But Verify（信じるが確認せよ）」という考えが前提となります。内部は安全であるとした上で、外部からのアクセスに対策を講じるスタイルです。内部ネットワークに許可されている端末は信頼され、情報にアクセスすることができます。

一方、ゼロトラストは、「Verify and Never Trust（決して信頼せず全てを検証せよ）」という考えが前提です。内部と外部に境界を作らず、全てのアクセスに対策を講じます。
「ゼロトラスト」は考え方であり、概念であることから、様々な解釈や切り口があります。

テレワークやクラウドサービスの活用が進む中、セキュリティーモデルが境界型防御だけでは限界を感じ、ゼロトラストによる防御を検討する企業は少なくありません。また、エンドポイント（パソコンやスマートフォンなどの端末）のセキュリティー対策も重要視されています。

これまで企業の情報やシステムの安全性を保つために境界型防御が用いられてきました。しかし、デジタルツール活用の増加や働き方の変化により、従来のセキュリティー対策ではリスクを抑えきれないケースも増えています。

ここでは、ゼロトラストによるセキュリティーが注目されている背景について解説します。

働き方改革の波に加え、新型コロナウイルス感染症拡大予防の観点からもテレワークの普及が進みました。従業員が円滑にテレワークを行えるよう、VPN機器を導入する企業も増えています。

テレワークは、インターネット端末の外部持ち出しや従業員個人の端末からのアクセスが必要となります。アクセスには自宅のインターネット環境や公衆無線LAN（フリーWi-Fi）などを用いるため、内部と外部の線引きが曖昧になります。テレワークにおけるセキュリティー対策には、内部と外部に境界を作る必要がある従来の境界型防御は不向きといえるでしょう。

社内のウイルス感染症対策として、オフィスのフリーアドレス化を実施された企業が増えてきております。あらかじめ決められた席であれば有線LANでネットワークに接続することも容易でしたが、フリーアドレスでは困難になります。そこで、フリーアドレス化に併せて無線LANを導入した企業も少なくありません。セキュリティー対策が不十分な無線LANは、第三者によるなりすましやID/パスワードの流出によって、企業の大切な情報資産を奪われてしまうリスクが高まります。

「DX（デジタル技術により業務プロセスを改革する取組）」の推進と、「IT・IoT（情報技術・インターネット化）」の発展は、働き方の多様化に大きな影響を与えました。

働き方の多様化に伴い、新しいシステムやITツールの導入が必要となった企業も少なくありません。各企業において、顧客情報や業務で作成したファイル、売上や事業戦略に関するデータなどの情報をクラウドサービスに集約するスタイルも定着しつつあります。ハンコの捺印が理由で出社することの無いように、電子印のクラウドサービスを導入した企業もあるでしょう。またテレワークを活用して社外で作業中に、VPNに入らず直接クラウドサービスにアクセスする、といった操作も出来てしまうため、どこからでもアクセスできる利便性と、社内を守るためのセキュリティーの両立が難しくなっています。

テレワークの普及、フリーアドレス化、クラウドサービスの浸透など、企業のシステムに様々な変化が生じている中で、これまでと同じセキュリティー対策だけでリスクを抑え、安全性を確保できるでしょうか。クラウドサービスの利用により社外システムへのアクセスも増えている現在、社内外問わずダイレクトにアクセスできるセキュリティー対策に注目が集まっているのです。

電子印クラウドへの不正アクセスによるなりすまし対策、VPNを介してSaaSを利用することによるトラフィックの増大、ネットワーク負荷の集中といった観点からも、これまでとは異なるセキュリティーを構築する必要があるでしょう。

新たなセキュリティー対策（ゼロトラスト）が注目されていますが、実際にはどのような場面でゼロトラストが有効なのでしょうか。
具体的なセキュリティーリスクを挙げて、ゼロトラストの必要性を解説します。

VPN機器を導入している場合、リモートアクセスはIDとパスワードを入力して行われるのが一般的です。
IDとパスワードさえ持っていればアクセスが許可されるため、情報漏えいやウイルス感染のリスクがあります。また、万が一IDとパスワードが流出した場合、不正入手した第三者が社内ネットワークにアクセスできてしまい、悪意ある攻撃にさらされるおそれもあるでしょう。

IDやパスワードが流出してしまう事例として、数多く普及しているVPN機器へのサイバー攻撃があります。VPN機器には多くの脆弱性が発見されており、その脆弱性に向けてIDやパスワードを抜き取る攻撃が増加しています。また、在宅勤務者をターゲットにしたフィッシングメールでIDやパスワードを盗む攻撃も増加傾向にあります。

従業員それぞれが行なっているセキュリティー対策は、必ずしも万全とはいえません。セキュリティー対策が不完全な従業員の端末が、社内無線LANに接続されることで、マルウェアなどが社内ネットワークに拡散されてしまうリスクがあります。

ゼロトラストの考え方でセキュリティーを構築する場合、どのような方法があるのでしょうか。重要なポイントを踏まえて解説します。

これまでの一般的なセキュリティー対策は、社内と社外に境界型防御を作るものでした。ゼロトラストでは境界をつくるだけではなく、ユーザーや端末、アプリケーションなどそれぞれにセキュリティー対策を施すことが大切です。アクセスしてもよいユーザー、安全な端末の仕分けを徹底することで、変化した企業のシステムにも対応できるでしょう。端末の仕分けには、認証システムの導入がおすすめです。

VPN機器へのサイバー攻撃、在宅勤務者を狙ったフィッシングメールなどの被害によって、万が一ID/パスワードが流出してしまった場合、そのまま不正アクセスを許さないためには2要素認証（ID/パスワード＋電子証明書）が重要となります。

電子証明書は下記の点において優れています。

• 許可した端末のみネットワークの使用を可能にする
• ネットワークを停止せずに運用が可能
• 通行手形となる電子証明書をコピーされたり、偽装されたりする心配がない
• ユーザーのリテラシーに依存することなく、高いセキュリティーを維持できる

セキュリティー対策に電子証明書を組み込むことで、ゼロトラスト観点からも強固なセキュリティーを構築できます。

ゼロトラストの実現により、企業のセキュリティー対策を強化できます。ID/パスワード管理の強化はもちろんのこと、電子証明書を合わせた2要素認証により、大切な情報資産を保護することが大切です。
次世代認証サービス「OneGate」なら、発行した電子証明書による端末認証を行うことで、接続可能な端末を制限、安全なリモートアクセスを実現できます。
ネットワーク認証、クラウドサービス、オフィスWi-Fi/VPN、アプリケーション利用まで、なりすましを電子証明書で防止することにより企業情報を守るゼロトラストサービスです。
働き方の変化に伴い、セキュリティーの再構築をお考えの際は、ぜひ「OneGate」の活用をご検討ください。

ここまで、ゼロトラストの概要や採用のメリット・採用時のポイントを詳しく解説しました。

ゼロトラストが注目されている主な背景は、「テレワークの普及」「フリーアドレス化の対応」「働き方の多様化」「クラウドサービスの浸透」です。企業の情報やシステムを守るためにも、セキュリティー概念の変化を理解し、次世代認証サービス「OneGate」などの製品を組み合わせながら、ゼロトラストの実現を目指しましょう。