■髙橋 かつてはファイヤウォールによるセキュリティが中心でした。守らなければならない情報は壁の内側に入れて脅威から守る、というものです。ネットワーク分離もその1つの形です。
端末がほぼ「固定」で使用されていた時代はIPアドレスの認証で信頼性を確保できましたが、端末がほぼモバイルになった今、セキュリティの仕組みも変わらざるを得ません。様々なセキュリティ製品を入れたとしても、そこで終わりにはならず、さらに新たな脅威や心配が生まれ、新たな仕組みを追加で入れる、ということが起こっていました。これでは仕組みが複雑になり、コストもかかります。各ソフトのアップデートでネットワークも逼迫していきます。この仕組みをリセットする必要があります。
そこで生まれたのがゼロトラストネットワークという考え方です。
ゼロトラストとは「すべてのアクセスを信頼しない」「許可された人だけがアクセスできる」ことを意味します。
そのため、その通信が信頼に値するかどうかを様々な方法で検証する「認証」の仕組みが必要になります。それが「アクセス制御」です。
■吉澤 ゼロトラスネットネットワークでは、論理的なユーザ情報、物理的な端末情報、時間などの環境情報等を利用し、多岐にわたる情報を用いて認証及び認可を実現します。
例えばAppgate SDPの仕組みでは、アクセス時間や場所、使用端末の状態、起動しているアプリの状態(状態確認は5分毎)を把握し、状態に変化が生じた場合は、その都度、アクセス制御のルールを見直します。これにより、許可されていない場所や時間、異常な状態の端末からサーバへのアクセスを防ぐことができます。
対象はPCやスマートフォン等の他、複合機やWebカメラなどのIoT機器などの制御も可能です。複合機はスキャンデータをファイルサーバに保存することがあり、この通信を保護します。サーバを保護することで、サーバ間通信の保護はもちろん、サーバを踏み台にした攻撃も防ぐことが可能になります。
■髙橋 ゼロトラスト環境の構築により、セキュリティだけではなく、教員の働き方や健康管理などもできる可能性がありますね。
■塩見 持ち出した端末の状態を把握し、自宅からインターネットに接続するときは本製品のゲートウェイ経由とすることで危険なサイトにいかないようにする設定もできます。何時から何時まではデータにアクセスできないという設定も可能です。
■髙橋 まずは大前提を設定し、例外について認める際は学校長に許可を得るというのが現状の一般的な流れです。それをシステム的に進めることができるのではないでしょうか。メールやチャットで連絡を取って許可を得ることで、普段はデータに触れない時間や権限のない教員がアクセスできるようにする、ということはできそうです。柔軟性は重要です。
