情報リテラシー講座! ゼロトラストという考え方
情報リテラシー講座!情報処理用語(IT用語)や情報処理技術を簡単に解説します。セキュリティ対策上、ゼロトラストという考え方が必要です。
巷では普通に使われている用語ですが、意味が分からないまま、なんとなく触れずにいませんか?
ゼロトラスト(ZEROTRUST)
今回は「ゼロトラスト」です。
ゼロ(ZERO)とトラスト(TRUST)で、「信頼(トラスト)+なし(ゼロ)」との意味で、「何(誰)も信頼しない」というセキュリティの考え方です。
「何(誰)も信頼しない」って?
少し前までのセキュリティの考え方では、会社内のネットワークの内側は安全で、会社ネットワーク外の外側は安全ではないと疑っていました。
外側には前回投稿したようなサイバー攻撃をしてくるような輩がいて、その攻撃をファイアーウォールやUTMなどの機器を設置したセキュリティで防御しています。内側(会社内)と外側(会社外)の境界線に防御壁を建ててブロックしているイメージですね。
従来のセキュリティ対策は、重要なデータはネットワークの内側にあることを前提としていて、外部からのサイバー攻撃を防御する仕組みを優先していました。しかし、現在はクラウドなどの普及により、重要なデータが外部サーバ(外側)に保管されることが当たり前になりました。
ネットワークの内側だけでは安全を確保できなくなっており、外側も内側もすべての通信を信頼しない(ゼロトラスト)ことを前提に、トラフィックやログの調査など、すべてを疑ってセキュリティ対策を講じることが必要になりました。
昔から、身近な敵はセキュリティ意識の低い人
セキュリティについては、昔から内側にも様々な問題がありました。
オヤジの数十年前のこと。
セキュリティの教育はしていたのですが、セキュリティ意識の低い人が、隠れて私物のパソコンを会社で使用していたり、USBメモリは自宅と兼用のモノを持ち込む始末でした。個人用の私物パソコンは会社のネットワークに参加できないのですが、私物USBメモリは個人のモラルに頼っていたところはありますね。
■こんな人は要注意(既に都市伝説レベル)
- パソコンの周りに、IDやパスワードを貼っている人。
- セキュリティ対策もしていない私物パソコンを会社で使用している人。
- 暗号化もできない私物USBメモリを会社のパソコンで使用してる人。
- ウィルス対策ソフトウェアを使用していない人。
- ウィルス対策ソフトウェアは使用しているが、一度もウィルススキャンを実行したことがない人。
- 送信メールの誤送信が多い人。
- 受信メールを全く疑わずに、何でも開封する人。
会社で使用させているパソコンやUSBメモリは暗号化されるモノで、且つ個数管理もしていて、私物利用など今の時代では考えられないことではないでしょうか。
クラウド化で重要なこと
クラウド化が進み、最も重要なことは、外部のサーバ等に重要なデータを保管していることです。
■こんな人は要注意(既に都市伝説レベル)の「パソコンの周りに、IDやパスワードを貼っている人。」は最悪かも知れませんね。
昔から「ソーシャル・ハッキング」と言われていますが、貼ってあるIDやパスワードを盗み見したり、キーボード入力をする行為を盗み見したりして、IDやパスワードを窃取する方法です。
パソコンのIDやパスワードを詐取したのなら、そのパソコンが無いと中身が見れません。しかし、これがクラウドのIDやパスワードですと、セキュリティ次第にはなりますが、IDとパスワードだけでも、会社のネットワークの外側の別のパソコンからクラウドデータにアクセスできてしまうかも知れません。
このように、クラウド化が進む現在では、IDやパスワードの管理が大変重要になっています。
クラウドについては別の投稿で詳しくご説明できたら。
