ユーザー認証のゼロトラスト化

ノートパソコンやタブレットなどのモバイル機器が発達し、オフィスを離れた場所でテレワークするビジネスシーンが増えています。さまざまな業種の企業では、社員の働き方の柔軟性が高まり、業務効率がアップしています。こうしたデジタル化の進展による恩恵がある一方で、企業の重要な資産である情報を狙ったセキュリティリスクも高まっています。そこで、セキュリティ業界で新たに提唱されているのが、「ゼロトラスト」という考え方です。企業の外部から、そして内部からも、情報が漏れてしまうリスクを低減するための最初の関門がユーザー認証のゼロトラスト化です。

ゼロトラスト=何に対しても信頼せず

「ゼロトラスト(Zero Trust)」とは、日本語で「何に対しても信頼を与えない」という意味です。セキュリティをめぐっては、これまでは、会社の内部と外部に境界線を引き、情報がその境界線を越える場合にリスク対策を講じるという考え方でした。しかし、ロケーションにこだわらない働き方が一般的になる中で、境界線だけを防御するのではなく、社内外に拘らずセキュリティ対策を施す「ゼロトラストネットワーク」が求められています。

「ゼロトラスト」とは、特定の製品やサービスのことを指しているわけではなく、セキュリティにおける概念です。境界を超えて、何に対しても信頼することなく、さまざまなシステムやツールを活用したセキュリティ・アーキテクチャを構築するという考え方です。

ゼロトラストセキュリティは、「守る」のではなく、誰も信頼せずに、全アクセスを検証すします。アクセスが行われたユーザーや場所などを点検し、不審な行動が行われていないかをチェックし、安全性を確保します。攻撃されることを前提としたセキュリティ対策を施し、全てのアクセスログを取得し、トラフィックを検査するという考えに基づいて設計しています。

多要素認証(MFA)による認証の「ゼロトラスト化」

強固なセキュリティを実現するゼロトラストセキュリティを実現するためには、ユーザー認証における「ゼロトラスト化」が必要です。具体的なゼロトラスト化の取り組みは、IDとパスワードのみの本人認証に頼るのではなく、複数の認証を組み合わせる多要素認証を採用することが一般的です。

例えば、指紋や顔など体の一部をログイン情報として登録し、認証を行う「生体認証」を取り入れることや、ワンタイムパスワード生成機能を持つセキュリティトークンや、ICカードなど、複製の困難なものをユーザーが持っていることで認証を行う方法などを組み合わせることです。

このほか、デバイスや利用環境の変化に応じて、多要素認証を行うことも重要です。また、前回の認証を記憶して、次の認証を省略することはせず、アクセスのたびに多要素認証を実施することによって、不正アクセスを許さない強固なセキュリティネットワークを実現することに繋がります。

内部不正による情報漏洩を防ぐ

これまでは、企業の情報資産は自前のデータセンター内に保管されていることが一般的で、社外からデータにアクセスする場合は、VPN(仮想プライベートネットワーク)を使ってセキュリティを確保していました。現在では、基幹システムやファイルサーバー、メールなどのアプリケーションもクラウド化する企業が珍しくありません。システムやアプリケーションが社内ネットワークの外にあり、社内と社外の境界にセキュリティを設けるという方法の意味が薄らいでいます。

また、自宅勤務やオフィス以外からのテレワークが増える傾向が強まっており、リモートアクセスが一般化しています。従業員が使う端末も、ノートPCやタブレット、スマートフォンなど多様化しています。紛失や盗難、そして、従業員が不正に持ち出すことも容易になっており、内部からの情報流出が起こりやすい環境です。

「ゼロトラスト」セキュリティの概念は、外部からやって来る脅威に対する備えだけでは十分ではなく、情報漏洩やデータの改竄など、内部による不正にも備える必要性を指摘しています。内部・外部を問わず、誰に対しても信頼を与えない姿勢で、さまざまな脅威に対して、セキュリティ対策を構築することが求められます。

低コスト、効率的な管理が生産性向上のカギ

ゼロトラスト認証は、ゼロトラストセキュリティの構築に欠かせない要素の一つです。認証システムの脆弱性が、情報漏洩などに繋がるリスクに備え、多要素認証やアクセスごとの認証といった厳重な認証システムのゼロトラスト化に踏み切る企業が増えています。

しかし、その一方で、ユーザー認証を強化すると、仕事の効率が下がってしまう恐れもあります。端末にアクセスするために、複雑な認証を設けることで、セキュリティが高まる半面、ユーザーの手間が増え、認証に失敗するたびに作業が滞ってしまうからです。また、セキュリティ管理部門にとっても、ユーザーが認証に失敗した時の復旧へのサポートなどに費やす時間や労力も増えてしまいがちです。

「ゼロトラスト」による認証セキュリティを強化し、業務の生産性を高めるには、認証を効率的に管理でき、さらに導入コストも抑えることが重要なポイントになります。

認証強化に安全なシステムを

認証強化に安全なデバイスを


関連記事

パスワードレス認証のメリットとは

負荷分散やサイト表示を高速化するリバースプロキシとは?

認証トークンで多要素認証を低コストで導入

手軽に導入できる認証システム

Azure ADのデバイス認証でセキュリティ強化

法人向けWebサイトの認証セキュリティ強化対策

強固なセキュリティと利便性を実現する物理セキュリティキーとは

ハードウェアトークンの特徴や種類について解説

OATH規格の認証に最適なトークン

2022年4月施行の個人情報保護法のポイントとは?