第60話 ゼロトラスト製品だけでは不十分な理由（１）

ゼロトラスト製品導入でどこまでセキュリティが高まるか

ゼロトラストFTA２０２２年版では、日本国内の一般企業における「情報漏洩発生率」は「75.9%」と算出される。

情報漏洩に効果があるゼロトラスト製品

さてご存知のように「ゼロトラスト製品」を導入することで、企業は情報漏洩リスクを提言することが出来る。

ゼロトラスト製品には様々な種類や機能がある。今回考察する情報漏洩リスクを防止する「ゼロトラスト製品の機能」は以下のものである。

IAM（Identity and Access Management）
・多要素認証
・管理端末以外は接続させない

IAP（Identify Aware Proxy）
・脱VPN（ルータやサーバの脆弱性対策）

MDM（Mobile Device Management）
・アンチウイルス・セキュリティパッチ適用
・ロック画面失敗回数上限
・ディスク暗号化
・USBメモリ利用禁止
・インストールアプリ制限
・スマホ同期制限

MAM（Mobile Aplication Management）
・端末データ保存禁止
・データ印刷禁止

DLP（Data Loss Prevention）
・機密ファイルアップロード制御
・機密ファイルUSBメモリコピー制御
・機密ファイル印刷制御

SWG（Secure Web Gateway）
・Webフィルタリング
・機密ファイルアップロード検疫
・サンドボックス型マルウェア検疫

CASB（Cloud Access Secure Broker）
・非許可クラウド接続禁止

SIEM（Security Information and Event Management）
・モニタリング防御

思ったより効果が上がらない理由

これらのセキュリティ機能により、企業の情報漏洩リスクは「75.9% 」から「49.6%」にまで低減される。
しかしこれだけゼロトラスト製品を導入したのに「49.6%」にまでしか下がらないと思われる人も多いことだろう。

これはセキュリティ桶の理論で說明できる。
企業のセキュリティ対策には、ゼロトラスト製品では防ぐことのない脆弱性があるのだ。この脆弱性が残っている限り、そのあといくらゼロトラスト製品を追加していっても、全体の脆弱性は変わらないのだ。

この既存の「脆弱性」を「抜け穴脆弱性」と名付ける。ゼロトラスト製品の導入では防ぐことの出来ない、システム管理者が見落としてしまうかもしれない抜け穴だからだ。
その「抜け穴脆弱性」には２つある。

抜け穴脆弱１

マルウェア感染の一番の脅威は、マルウェア対策がされていない端末が社内LANやVPNで接続してしまうことだ。（参照マルウェア感染）
システム管理者が認めた充分のセキュリティ対策端末以外が、社内ネットワークに接続できない対策が重要だ。

抜け穴脆弱２

外部攻撃の一番の問題は、サーバや機器のセキュリティパッチが未対応のままであることだ。
WebサーバはIAPなどの構成により、外部からの攻撃に晒されない構成にすることは可能だ。
しかしWebサーバ以外の、「ファイアウォール」「プロキシ」「AD」などの主要サーバのセキュリティパッチを常に最新にしていることだ。

ゼロトラスト製品と抜け穴脆弱対策の組み合わせで

先程の「ゼロトラスト製品導入」の環境に、この２つの「抜け穴脆弱」の対策を行うと、「情報漏洩発生リスク」は「25.5%」まで低減できる。

まとめ

ゼロトラスト製品は抜け穴脆弱対策が必須

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。