「社内だから安全」が成り立たない理由

学習のねらい

かつては「会社のネットワークの中なら安全」という考え方がありました。しかし、現代ではこの考え方は通用しなくなっています。このレッスンでは、なぜ「社内だから安全」という前提が崩れたのか、そして現代のセキュリティの考え方である「ゼロトラスト」とは何かを学びます。

ネットワークの境界が曖昧になった

以前の企業ネットワークは、会社の建物の中にサーバーやパソコンが設置され、外部とはファイアウォール（防火壁、不正アクセスを防ぐための仕組み）で厳重に区切られていました。この考え方は「境界防御（きょうかいぼうぎょ）」と呼ばれ、一度社内に入ってしまえば比較的自由にアクセスできる環境が一般的でした。

しかし、以下の変化により、この境界が曖昧になっています。

• クラウドサービスの普及: 業務で利用するシステムが会社のデータセンターではなく、インターネット上のクラウドサービス（例: Google Workspace, Microsoft 365, Salesforceなど）に移行しました。
• リモートワークの増加: 社員が自宅、カフェ、出張先など、社外から業務を行う機会が増えました。
• 個人のデバイス利用: 業務に個人のスマートフォンやタブレットを利用するケースも増えています。

これらの変化により、社員がどこからでも会社の情報にアクセスできるようになり、「社内ネットワーク」という物理的な境界だけではセキュリティを確保することが難しくなりました。

「一度侵入されたら丸裸」のリスク

境界防御の考え方では、もし何らかの方法で外部の攻撃者が社内ネットワークに侵入してしまうと、その内部では比較的自由に動き回れるリスクがありました。例えるなら、家の玄関は頑丈だけど、一度家の中に入られたらどの部屋にも鍵がかかっていない状態です。

攻撃者は、社員のパソコンを乗っ取ったり、フィッシング詐欺で認証情報を盗んだりして、社内ネットワークへの侵入を試みます。一度侵入されると、機密情報が盗まれたり、システムが破壊されたりする可能性があります。

ゼロトラストとは「何も信頼しない」こと

このような背景から、「ゼロトラスト（Zero Trust、何も信頼しない）」というセキュリティの考え方が注目されています。ゼロトラストは、以下のような原則に基づいています。

• 「社内ネットワークだから安全」という前提を捨てる: ネットワークの場所に関わらず、すべてのアクセスを疑います。
• 「アクセスは毎回認証する」: ユーザーが誰であるか、どの端末を使っているか、どのような権限が必要かなどを、アクセスするたびに確認します。
• 「最小権限の原則」: ユーザーやシステムには、業務を遂行するために必要最小限の権限のみを与えます。

ゼロトラストは、特定の技術を指すものではなく、セキュリティに対する考え方や文化の転換を意味します。誰が、どこから、何を、なぜアクセスしようとしているのかを常に確認し、不正なアクセスを防ぐことを目指します。

まとめ

「社内だから安全」という考え方は、現代の多様な働き方やクラウド利用には合わなくなっています。一度社内に侵入されると大きな被害につながるリスクがあるため、すべてのアクセスを疑い、毎回確認する「ゼロトラスト」の考え方が重要になっています。次のレッスンからは、ゼロトラストを実現するための具体的な方法を見ていきましょう。