ゼロトラストセキュリティの入り口はアカウント管理を知ることから

読書と編集 千葉直樹です

当たり前のようでできていない
自分アカウントの管理

トラストの話

読書と編集では、「ITセキュリティの基本を学ぼう」という講座をやっています。

これ、ひと言で言えなくて、なにかいいキーワードがないものかと思っていました。ゼロトラストセキュリティ。これだった。

コロナ禍で急遽必要になったテレワークで問題になったのは「VPN」でした。これは簡単に言うと、企業内部のネットワークに外からアクセスするための関所を設けて、外から企業内にアクセスするにはここを通らなければならないようにするという考え方です。

これ、物理的な企業のしくみと相性が良いというか、想像しやすいし、ユーザがあまりセキュリティのことを知らなくても運用できるので導入しやすい仕組みなのですね。

とにかく家からでも関所を通れば会社の中と同じようにリソースを使える。わかりやすい。

ただ、これは大きく2つの問題があって、運用してみるとうまくいかないということがわかってきました。

第一に関所自体の処理能力の問題。

関所と手元のパソコンの間に暗号化された通信路を作って、会社の内部とデータのやりとりをする。要するに関所はユーザがデータをやり取りするたびに正しいユーザが送ってきたパケットかどうかをチェックすることになる。このパケットというのが問題で、画面に映っているものはすべてパケットのやりとりが発生しているから、関所は莫大なパケットが通過している。それを一気に何百人も使おうとすると、それは大変な処理量になる。たくさんの人が関所を通るモデルはそもそも苦しいわけです。

第二に関所破りの問題。

関所を通過できたものは原則として社内のどのリソースにもアクセスできるという考え方。これをVPNをトラスト(信用)している状態といいます。これ、関所破られたら会社内のリソースをアクセスし放題ってことになるわけですよね。

VPNを構成する機器だって完全に安全というわけではありません。脆弱性がありうる。それに加えて、ユーザ自体が脆弱性を持っていることもある。あれです。すごく簡単なパスワードつけちゃうとか、パスワードどこかにメモしておくとか。もっというと持って歩いているパソコンを盗まれちゃうとか。

実際にはこの人間の脆弱性が一番問題なのですが、ITとかセキュリティのリテラシーがない人は自分が会社のシステムを危険にさらしている意識がないから怖いのですね。

要するにVPN認証を信用(トラスト)するのは危ないのです。

そこで生まれてきたのがゼロトラスト。要するに簡単には信用しないぜ。あらゆるところでチェックするぜっていう仕組みです。

ゼロトラストを簡単に言うと

あらゆるリソース(データとか機器とか)のアクセスのたびに認証を行って、アクセスしようとした人に使う権限があるかどうかチェックするという仕組みです。

めんどくさそうですよね。

実際にやっていることはめんどくさいのですが、ユーザのレベルではそれを上手に隠蔽してあって、それほど面倒ではなかったりします。要するに仕組みをきちんと知っていることと、さほど多くないルールを守っていれば安全で簡単に使うことができます。

リソースは使おうとするたびに認証されますから、VPNを使うときみたいに社内と社外を分ける必要がありません。たとえ会社の中にいてもリソースを使うときには認証が必要なのです。とにかく信用しないのです。だからゼロトラスト。

これ、Googleアカウントを使い、Googleのクラウド上のデータを使うときの考え方そのものです。

すごく端折って言いますけど、とにかくひとつのGoogleアカウントを死守する仕組みを作って、そこにリソースのアクセス権を結びつけておくのです。そして、リソースの管理者は個々のアカウントに対してアクセス権を付与するようにする。

こうすると、最悪あるアカウントが誰かに乗っ取られたら、そのアカウントのアクセス権をまとめて取り消すことでリソースを守ることができるのです。

もちろん、タイムラグがありますから、まずはアカウントを死守するということが大切になります。

アカウント管理はユーザが行って、認証はGoogleが行う。なにが良いかと言うと、Googleの認証システムはGoogleのセキュリティ専門家が守ってくれている上に、認証システム自体が自社VPNとは比べ物にならない豊富なリソースを使っているわけで、とにかくGoogleにつながるインターネットさえあればらくらく使えてしまうということなのですね。

Googleだけがこの仕組を持っているわけではありません。AmazonとかMicrosoftとか大きなクラウドを持っているところはこういう認証の仕組みを普通に持っているわけです。

だから、エンドユーザとして学ぶことはたったひとつ。自分のアカウントをきっちり管理する方法ということになります。

そういう仕組みをタダで実際に使ってみることができるのがGoogleアカウントで、それは取りも直さずGmailのメールアドレスなのですね。

そんなわけで、Googleアカウントを中心にエンドユーザが知っておくべきセキュリティについて学ぶことができるのが読書と編集の「ITセキュリティの基本を学ぼう」講座なのです。

ぜひ学んでみてください。

Follow me!

きーちゃんは言いたいことがある

きーちゃんは言いたいことがある!
きーちゃんグッズのお店があるんですよ!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください