ファイアウォールは万全なのにトラブル発生! あなたの会社は大丈夫?
最近耳にする「ゼロトラスト」とは、「全てのアクセスを信頼しない(zero trust)」という考え方に基づき、社内ネットワーク内での通信を含めて都度検証を行うようなセキュリティモデルです。一度アクセスを許可された人でも、原則としてアクセスのたびに再度許可を得る必要があります。
一方、すでに普及している「ファイアウォール」などの境界型防御モデルでは、外部と社内ネットワークとの間に強固な防護壁を設け、その境界部分でアクセスの安全性を検証します。安全だと判断された場合には、社内ネットワーク内で自由に行動が可能となります。
ここで、「ファイアウォールで万全のセキュリティ体制を構築していたのに、トラブルが発生してしまった!」という例を紹介しましょう。
ウェブサイトの脆弱性を狙われて侵入された!
ある企業は、自社ウェブサイトに不特定多数からアクセスされることを想定し、ファイアウォールを導入していました。しかし、その中のECサイトは、掲載するWebコンテンツを編集するためのCMS(Content Management System)によって構築されており、このCMSのセキュリティを突破してウイルスが侵入してしまいました。
このCMSにもセキュリティ対策はされていたものの、在庫管理システムなど複数のシステムを連携させていると、このセキュリティが効かなくなることがあります。また、CMSで使用するプラグインを経由してウイルス感染する事例など、さまざまな被害が報告されています。
ファイアウォールのタイプ特有の弱点(ポリシー)を突かれて侵入された!
ファイアウォールには、プロトコルや送信元アドレス、ポート番号などのパケットヘッダーを基にフィルタリングを行う「パケットフィルタリング型」と、通信を受信するプロキシサーバーがアプリケーションの認証を行う「アプリケーション・ゲートウェイ型」の二種類があります。
ある企業ではパケットフィルタリング型のファイアウォールを導入していましたが、このタイプはパケットヘッダーに含まれる情報しか確認しないため、問題のあるデータを見逃してしまい、不正なアクセスを認証してしまいました。
また、一方のアプリケーション・ゲートウェイ型にも、そのセキュリティシステム自体の脆弱な部分を攻撃されてしまうと、不正アクセスが防げなくなる可能性があります。
非武装地帯(DMZ)がウイルスに感染してしまった!
ファイアウォールによるセキュリティを構築する際は、外部と社内ネットワークの間に「非武装地帯(DeMilitarized Zone、DMZ)」というエリアを設けます。社内ネットワークは強固なセキュリティで守られているものの、利便性が高くないため、DMZを置いて外部ネットワークとのやりとりをスムーズにするのです。
このDMZはどうしてもセキュリティレベルを上げにくいため、何らかの理由でウイルスに感染してしまうことがあります。
社員が誤ってファイアウォールを無効にしてしまった!
ある企業では自社のパソコンにMicrosoft Defenderを導入し、一定のセキュリティレベルを保っています。しかしある時、社員が誤ってMicrosoft Defenderの設定を変更してしまい、セキュリティホールが生じました。情シスがその問題に気づく前に、不正アクセスを受けてしまいました。
ファイアウォールなどの「境界型防御」の弱点
以上の事例から「ファイアウォールをきちんと導入していればセキュリティが万全だ」とは言いきれないことが分かります。境界型防御特有の弱点について、以下にまとめてみましょう。
一度侵入されてしまうとセキュリティが機能しにくい
境界型防御の最も大きな弱点は、不正アクセスを一度許可してしまうと、内部で自由に動かれてしまうことです。こうした性質から、一度不正アクセスに成功した攻撃者がひそかに入り口を設置する「バックドア」や、実在する取引先や顧客などを装って侵入する「標的型攻撃」などに弱いと言われています。
VPN機器やリモートデスクトップなどからの侵入を防ぎにくい
社員が使用しているパソコンなどにファイアウォールソフトを入れていたとしても、ネットワークにつながっているVPN機器やリモートデスクトップなどのセキュリティレベルが低いと、そこから不正アクセスされるケースが散見されます。そのため、ネットワーク環境全体のセキュリティレベルに目を配ることが必要です。
セキュリティレベルの低いクラウドサービスを介した攻撃を防ぎにくい
コロナ禍で多くのクラウドサービスが普及しましたが、中にはセキュリティレベルが低いサービスも存在します。こうしたクラウドサービスを介して攻撃を受けた場合、境界型防御では防ぎきれないケースもあります。
とはいえ、この時勢においてクラウドサービスの使用を禁止するのは現実的ではないため、何らかの対策を講じる必要があるでしょう。
今こそ知っておきたい「ゼロトラスト」
ファイアウォールなど境界型防御では防ぎきれない攻撃がある以上、ゼロトラストについても知っておいて損はありません。
ゼロトラストは、2010年に提唱された比較的新しいセキュリティモデルです。DXの推進などによって企業のネットワーク構成が大きく変化していることを受け、このモデルが形作られました。
従来の境界型防御と異なるのは、どのようなユーザーや環境からアクセスを受けても、ユーザー認証やデバイスの確認などが行われる点です。このような性質から、境界型防御特有の「一度侵入されてしまうとセキュリティが機能しにくい」といった問題を解消することができます。
ゼロトラストを取り入れるメリット・デメリット
今後、ゼロトラストに基づいたセキュリティソフトの導入を検討する時が訪れるかもしれません。その際の参考になるよう、メリットとデメリットについて紹介します。
【メリット】境界以外のセキュリティレベルが向上する
ゼロトラストの大きなメリットは、ネットワークの境界部分だけでなく、ネットワーク内やデバイス、認証などさまざまな部分で認証や確認が行われることです。ネットワーク全体のセキュリティレベルが向上し、不正アクセスから身を守りやすくなります。
【メリット】情シスの管理負担が軽減しやすい
ファイアウォールを導入する際は、情シスがパソコンやデバイスごとにファイアウォールを設定する手間がかかっていました。しかしゼロトラスト対応のセキュリティサービスはクラウド型が多いため、クラウド上でネットワーク全体のセキュリティを一元管理できるようになります。業務の多い情シスとしては、大きなメリットでしょう。
【デメリット】導入のハードルが高め
主なデメリットとしては、導入のハードルが高めである点が挙げられます。ゼロトラスト対応のセキュリティを導入しようとすると、SSOの仕組みを取り入れたり、アクセス権限の管理方法を改善したりと、さまざまな検討事項が発生するためです。他部門との調整も多く必要となるでしょう。
また、ゼロトラストはファイアウォールほど普及していないため、社内向けにゼロトラストの利点を説明しても、「ファイアウォールがあるから大丈夫だろう」と言われる可能性もあります。導入までの過程が大変です。
【デメリット】パソコン使用時の手間が増える可能性がある
ゼロトラストのセキュリティによって安全性が向上する反面、多要素認証が必要になったり、アクセス制限が厳しくなったりして、パソコン使用時の手間が増えることが考えられます。
また、セキュリティレベルの低いサードパーティーのアプリが使用できなくなり、業務に一時的な支障が出る可能性もあるでしょう。
まとめ
自社でファイアウォールを導入してセキュリティ体制を構築していても、サイバー攻撃の種類やセキュリティの状態によっては、不正アクセスを受けてしまう可能性があります。これまでの努力が無駄にならないよう、より新しいゼロトラストの考え方を知り、社内で検討してみてはいかがでしょうか。
著者紹介:金指 歩
ライター・編集者。新卒で信託銀行に入社し営業担当者として勤務したのち、不動産会社や証券会社、ITベンチャーを経て独立。金融やビジネス、人材系の取材記事やコラム記事を制作している。
