オンラインストレージにも、「ゼロトラスト思考」を
- GigaCCの機能
- セキュリティ
すべてをゼロベースで考える「ゼロトラスト」
近年、サイバーセキュリティの分野で「ゼロトラスト」というこれまでとは異なる手法に注目が集まっています。ゼロトラストとは、システムやネットワークにアクセスするユーザやデバイスを容易に信頼することなくすべてをゼロベースで考えること、すなわち「何も信頼しない」という思想を意味します。
たとえば、ユーザを認証する際、従来のユーザIDとパスワードによる認証では、ID/パスワード情報が漏えいしていたり、ID/パスワードを探り出す高度な手段が用いられると、スプーフィング(なりすまし)などによる被害を受けやすくなります。ゼロトラストの思想では、ID/パスワードによるユーザ認証に頼ることなく、利用者が本人であることを証明するためのワンタイムパスワードや生体認証などと組み合わせた多要素認証の仕組みを導入したり、AIでユーザの行動分析をすることで本人確認を行うといった手段なども開発されています。
また、ゼロトラストの解釈は広義にわたるため、不正アクセスが発生することを前提として、その被害を最小限に食い止めるための方策を講じることを示すこともあります。たとえば、サイトの改ざんや対情報漏えいのリスクを最小限に抑えるために、不正アクセスらしき動きを検知すると、自動的に利用を遮断したり、正規の情報(設定)にサイトを上書きしてしまうといったソリューションなども登場しています。
ゼロトラストという概念は、10年ほど前から提唱されてきましたが、技術の進歩はもちろん、クラウドやリモートワークの普及を背景にここ数年、話題となる機会が増えてきました。そして、テレワークと同様、コロナ禍で実際に取り組む企業が急増しているというのが現況ではないでしょうか。
すべての行動を監視・分析し、最低限の許可のみを与えることがポイント
従来のセキュリティ対策は、内部(社内システム、社内ネットワーク)と外部(インターネット)に境界線を設け、外部から内部への侵入を防ぐことを中心に対策が講じられてきました。しかし、クラウドやテレワークの普及により、内部と外部の境界線があいまいになってしまった今では、従来の方策だけでは不正アクセスや情報漏えいを防ぎ切ることは難しくなっています。
そのため、ゼロトラストを検討する上では、「すべての行動を監視して分析する」ことと「必要最低限の認可をユーザに与える」ことが重要だと言われています。
すべての行動を監視して分析する
すべてのシステムログを一元的に管理・分析することで、正規の信頼できるユーザであることを確認したり、不正アクセスや攻撃などの兆候を検出したりすることを目指します。また、行動分析は内部による情報漏えいなどの犯行に対しても有効な対抗手段ともなり得ます。
極端な例で話をすると、普段、日本でしか利用履歴のないクレジットカードが、突然、アフリカで使用されようとした場合、不正利用の疑いを検知するような仕組みです。そのためには、まず、すべてのログを残しておくことがとても重要になります。
必要最低限の認可をユーザに与える
これまでもユーザやグループなどを分類したり、デバイスの認証をかけたり、アクセスできる領域などを制限したりすることで、細かくアクセスコントロールがなされてきました。しかし、一度、承認されると、その後の行動はあまり制限されません。
ゼロトラストではより厳しく、必要最低限の認可をユーザに与えることで、アクセスを制限する、被害を最小限に食い止めるという発想が求められます。たとえば、リアルタイムのデバイスのセキュリティ状況を判断して、アプリケーションやデータの利用を許可・制限したりするといった仕組みなどが導入され始めています。
ファイル転送・共有サービス「GigaCC ASP」において、「ゼロトラスト思考」を反映したセキュリティ機能
弊社が提供しているファイル転送・共有サービス「GigaCC ASP」においても、ゼロトラストの思考をセキュリティ機能・対策に反映させています。
履歴ログ管理
GigaCC ASPでは、管理者を含むすべてのアカウントに対して、「どのファイルを」「いつ」「誰が」「誰に」送受信・共有したかといった操作のアクションが履歴ログとして保管されています。履歴ログは、200以上の項目を用いて、必要に応じて検索・出力も可能です。
全件バックアップ
GigaCC ASPにアップロードされたファイルを別領域で保存し、管理者が任意のタイミングで対象ファイルを取得することにより、情報漏えいインシデント発生時のファイル確認などが行えます。
サービスの利用を最低限にコントロールする機能
利用デバイスに対する「IPアドレス制限」をはじめ、アカウントやアカウントグループごとにディレクトリ単位で共有領域へのアクセス権を設定できる「アクセス権設定」、ファイル送信する宛先をドメインやアドレス単位で制限(ホワイトリスト/ブラックリスト/ブラック除外リスト)する「宛先制限」、承認者の許可を得たファイルのみファイル送信・共有できるようにする「承認ワークフロー」など、サービスの利用をコントロールするさまざまな機能を備えています。
GigaCC ASPは、企業間のファイル共有・転送に特化して開発されたサービスですので、これらのほかにもさまざまなセキュリティ機能を備えています。無料トライアルも実施していますので、ご興味をお持ちの方は、お気軽にお問い合わせください。