これだけは押さえておきたいサイバーセキュリティ対策

次世代ゼロトラストネットワークの始め方

信用しない・すべてを疑う “ゼロトラスト”

3月に入り、いくつかの日本の有名企業がサイバー攻撃を受け、工場停止など全社の業務に大きな影響が出ました。今回はサプライチェーンを狙った“サプライチェーン攻撃”によって、これまでよりも大きな被害が出たとのこと。

サプライチェーン攻撃とは、標的とする企業に対して直接サイバー攻撃を行うのではなく、関連企業や取引先を経由し、標的とする企業へ不正侵入をする攻撃手法です。セキュリティ対策が比較的手薄と思われる企業が狙われ、結果的に標的となる企業への侵入を許してしまうため、自社だけのセキュリティ強化では不十分で、関連会社、取引先も含めたセキュリティ対策の必要性が浮き彫りになりました。

外部脅威に対しては、１月号の本コラムでも触れた“ゼロトラスト（信頼はゼロ）ネットワーク”が有効手段です。従来のITネットワークの設計思想は“Trust but Verify（信ぜよ、されど確認せよ）”というのが前提でしたが、ゼロトラストは“Verify and Never Trust（決して信頼せず必ず確認せよ）”を前提としています。

つまり、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ぐという考え方です。

そのVPN、 本当に安全ですか？

コロナ禍ではオフィス外で仕事をする機会が増え、「社内」と「社外」の境界が曖昧になってきています。PCだけでなくスマホやタブレット端末など、さまざまなデバイス・環境から社内ネットワークへの接続が一般的になりました。このようなワークスタイルの変化とともに、Microsoft 365やZoomといったクラウドサービスを利用する企業も増えてきています。

これらのアプリケーションの多くはVPN（Virtual Private Network）という機能を利用し、在宅時にも社内ネットワークのようにデータを共有できる技術です。このVPNの利用が増加する一方で、古いVPN機器やVPNサービスの脆弱性を狙った攻撃が多くなっています。なぜならVPNは一度ログインしたユーザーに対して、ネットワーク上の社内ファイルサーバなど全てのリソースにアクセスすることを許可してしまうからです。

また、パスワードなどの認証情報の流出による機密情報の漏洩や、ランサムウェアに感染するケースも増えてきています。

１月号で挙げた米コロニアル・パイプライン社のランサムウェア被害も、最初の侵入経路の原因はVPN装置の脆弱性とされています。

VPNからZTNAへ進化

そこで注目されているのが「ZTNA（Zero Trust Network Access）」です。VPNでは擬似的に社内ネットワークと同等レベルの接続となるため、端末がランサムウェア等に感染した場合は一気に拡散されてしまいますが、ZTNAではアプリケーションごとにアクセスを管理するため、上記のケースにおいても拡散を防ぐことができます。

加えてVPNの場合はパスワード認証のみの設定が多く、ユーザーがパスワードを使い回していたり、覚えやすい簡易パスワードを使用していたりすると、攻撃者に不正アクセスの隙を与えてしまうことになります。しかしZTNAでは、アプリケーションごとに多要素を含む認証・認可を行うことができるため、強力かつ細部まで徹底した一元管理を可能にします。

在宅ワークの普及という働き方の変化に乗じ、様々なサイバー攻撃が企てられている昨今。VPNという技術は限界に直面しています。ZTNAは、その名の通りゼロトラストを体現しており、VPNを超える技術としてますます重要なものとなるでしょう。

IIJは昨年、安全性を維持しながら快適な作業環境を提供することができる、グローバル向けZTNAソリューション「Safous」をリリースしました。ゼロトラストネットワークをご検討中の方は、お気軽にお問い合わせください。