以前のブログで、DX(デジタルトランスフォーメーション)やデジタライゼーションについてお伝えしました。それに関連し、クラウド化(クラウドシフト)の導入を検討している企業、または既に導入している企業があるかと思います。
みなさんは、クラウド化していくに際してセキュリティ対策はバッチリでしょうか。セキュリティを強化したいが、「どのような方法があるのかわからない」「今までのセキュリティではだめなの」とお考えの方はぜひ目を通してみてください。
まずは、クラウド化について簡単にご説明します。クラウドは、大きく分けて3つあります。
アプリケーションのソフトウェアそのものをサービス提供するのがSaaS(サース)、もう一階層下のミドルウェアや開発環境などをサービス提供するPaaS(パース)、そしてサーバーやネットワークなどインフラをサービス提供するIaaS(アイアース)です。
サーバーを社内に設置せずとも、インターネット上のサーバーにOSやソフトウェアをインストールすることで、インターネット回線を通じて情報を扱うことができます。これが、クラウド化(クラウドシフト)です。
セキュリティ対策の考え方としては、大きく2つあります。
従来までの、境界型セキュリティという考え方と、今後より普及していくと思われるゼロトラストセキュリティという考え方です。
従来、守るべき情報資産は社内(内部)にあり、脅威は内部に侵入させず、社外(外部)にとどめ、外部で対策を行なうという考え方です。
境界型セキュリティでは、PCやサーバーを社内だけで結んでいる信頼できるネットワークと、信頼できない外部ネットワークとの境界線にファイアウォールなどのセキュリティ措置を施し、社内の許可されたデバイスからでないと、原則アクセスできないようにします。
ゼロトラストセキュリティとは、読んで字のごとく「何も信頼しない」という考えを前提にセキュリティを強化していくという考えです。
社内でのみ仕事を行なっていた今までに対し、現在は、クラウド化に伴い自宅のPCで業務を行なうなど、脅威から守るべき対象が点在するようになりました。そこで、従来の境界型セキュリティではなく、通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化が一般的になってきています。
ゼロトラスト思考に適応するソリューションについて3つ紹介します。
EDRは「Endpoint Detection and Response」の略で、日本語では、「エンドポイントの検出およびレスポンス」と言われます。エンドポイント(端末ごと)に不審な動きがないかを常時監視し、ログを取得・分析することで、ウイルスなどのマルウェアの侵入原因や経路、被害状況を可視化することができます。
1度だけ、あるいは1分間など短期間だけ利用できるワンタイムパスワードや、生体認証・SMS認証など複数の要素で認証されないと入ることができない多要素認証、または、IDとパスワードの入力とともに、秘密の質問に対する回答を入力するなどの認証強化をすることで、不正アクセスを防止することができます。
IAMは「Identity and Access Management」の略で、日本語では、「IDとアクセス権管理」と訳されます。IDとアクセス権を管理する機能で誰がどのサービスにアクセスできるのかを、許可または拒否することができます。必要な人に、必要最低限の権限のみを付与することで、認証強化と同様に、不正アクセスから守ることができます。
これまで、顧客情報や売り上げデータ、事業戦略に関するデータなど、重要な情報は社内のシステムに保管するのが一般的でした。そのため、社内のセキュリティを強化することで、脅威から守ることができていました。
しかし、最近では、クラウド利用やテレワーク、サイバー攻撃の高度化などの影響で、社外からもアクセスすることができるので、もはや社内のネットワークだからといって、油断することが出来なくなってきました。
そこで、ゼロトラストセキュリティを実行していくと、脅威にさらされる確立がぐっと下がります。万が一脅威にさらされたとしても、ゼロトラストセキュリティでは境界型セキュリティよりも発見がかなり早いため、被害を最小限に、素早い処置をとることが可能です。
また、強固なセキュリティの中で、好きな場所・端末から社内システムにアクセス可能になるので、DXやテレワークなどの働き方改革にもつなげられるようになります。
今回は、クラウド化(クラウドシフト)に伴い普及し始めている、「ゼロトラストセキュリティ」についてお伝えしました。
テレワークなど、クラウド上でデータ管理をしているところが増えてきているのが事実です。 また、この記事を読んでくださっている方の中にも、クラウド上でデータ管理している人が多いのではないでしょうか。
みなさんはセキュリティ対策、しっかりと行なえていますでしょうか。 この際に一度見直してみてください!
セキュリティ面が不安でクラウド化に踏み込めていないという方も、クラウド化もセキュリティもばっちりだという方も、なにかお悩み事やお困りごとがあれば、ぜひ弊社ISIにお問い合わせください。