Windows 11は、「セキュリティ・バイ・デザイン」というセキュリティに配慮し、開発されたOSです。マイクロソフトが推進する企業向けセキュリティの概念である「ゼロトラストセキュリティ」に合致したものです。

ゼロトラストセキュリティとは、数年前から提唱されるようになった新しいサイバーセキュリティの概念です。マイクロソフトは、コロナ禍で自宅等、オフィス外で業務を行う人が増えたことにあわせ、ゼロトラストへの移行の必要性をあらためてアピールしました。マイクロソフトが推奨するセキュリティ対策ゼロトラストとはどんなものなのでしょうか？ゼロトラストが必要になった理由はどこにあるのでしょう？そして、実際にゼロトラストを実現するためにはどんな手順を踏んでいけばいいのでしょうか？

フリーライター　三浦優子

ハイブリッドワーク時代に求められる新たなセキュリティ対策

テレワークのように会社外で働くことと、オフィス内で働くことを併存させるハイブリッドワーク時代が始まり、セキュリティ対策を新しいものにする動きが進んでいます。新型コロナウイルス発生後に誕生したWindows 11は、セキュリティ・バイ・デザインというセキュリティを考慮して開発され、従来のWindowsに比べセキュリティ機能が強化されています。TPM2.0搭載が必須となったことで、「仕様が厳しすぎる」のではないかという声があがりましたが、TPM2.0はOSからも独立して機能することから、外部から受けた攻撃にも強く、データを暗号化する暗号鍵を安全に格納・管理することができます。昨今、大きな問題となっているランサムウェア攻撃の対抗策としても有効という指摘もあり、クライアントレベルから厳しいセキュリティ対策を取った、まさに新時代のOSです。

マイクロソフトでは、企業のセキュリティデザインも「ゼロトラストセキュリティ」へと見直すことを推奨しています。

ゼロトラストは、従来、会社の内側、外側で分けていたセキュリティ対策を変更するものです。従来のセキュリティ対策は、会社の内側に悪意ある攻撃が入ってこないよう壁を設ける、「境界型セキュリティ」と呼ばれるものでした。しかし、サイバー攻撃が巧妙になり、壁を設けていても壁の内側に入り込むセキュリティ被害が増えていきました。そこで境界の内側にあたる会社内部だけを守るという考え方とは異なる、ゼロトラストという新しい概念でセキュリティ対策を考えるべきではないかという声が高まったのです。

ゼロトラストは、トラスト＝信頼がゼロだという前提でセキュリティ対策をとります。入り口に壁を設けてもセキュリティ侵害はあるという前提で考え、侵害された状況でも重要な情報を流出させない対策を用意していきます。

特に新型コロナウイルスによるパンデミックが起こったことでテレワークなど、オフィス外で働く人が増えました。従来の境界型セキュリティでは十分に社員を守ることが困難になったことから、マイクロソフトではゼロトラストへの移行を呼びかけました。

2021年5月に公開された、「ゼロトラストアプローチで安全なハイブリッドワークを実現するには」というタイトルのブログでは、「私たちは、かつてないほど複雑なサイバーセキュリティ環境の中で事業を運営しています。洗練され確固たる意思を持った攻撃者が一般的になっていることに加え、ハイブリッドワークという次の大きな変化に向け準備をしなければなりません」と、環境変化によって、セキュリティ対策が必要となっていることを訴えました。

ゼロトラストの第一歩はアイデンティティから

ではどのようにゼロトラストセキュリティを実現していけばよいのでしょうか。先に紹介したブログでは結びの部分で、「リスクが複雑な現在においては、ゼロトラストアプローチを一夜で適用することなどできません」としています。段階を踏んでゼロトラストを実現することが必要ということのようです。

具体的な対策として、日本マイクロソフトは、記者会見で次の4つのステップで進めていくことを推奨しています。

1. ゼロトラストの最初の一歩はアイデンティティから。Azure Active Directory活用などにより、すべてのものにIDをつけて個別管理を行う。
2. 日本企業では平均40から50のセキュリティソリューションを活用しているが、多数のセキュリティ製品を利用することで複雑さが増し、設定すべきところを放置するといった問題が起こっている。そこでシンプルな構成で管理しやすいセキュリティ製品を利用する。
3. テレワークによってデータガバナンスを保つことが難しくなっていることから、内部環境保護などコンプライアンスの徹底。
4. セキュリティ人材不足への対策として、人材育成を通じて未来を作るべくスキル育成の実施していく。

最初にとりくむべきとされたアイデンティティとは、その人が誰なのか、特定することを指します。企業の場合、社員を管理するために社員番号など識別情報＝IDを社員に付与してきました。情報システムを利用する場合には、社員はこのIDを使ってそのシステムにログインする許可を受け、システムを利用します。

ところが、テレワークをしている場合、社員は目の前にいません。在宅勤務中の社員から付与されたIDを使って企業の情報システムにログインがあった場合、それは本当に社員なのか、なりすましではないのかといった不安があります。なりすましを防ぐためにどんな対策を実施すればいいのでしょうか？

システムにログインする際、長く、複雑なパスワードを入力してもらうことでしょうか？それに対しマイクロソフトでは次のように答えています。「パスワードがどれだけ長く複雑でも、パスワードだけで大半の攻撃からアカウントを保護することはできません。ログインをモニターして不審な動きがないか確認し、本人であることを証明できる追加の情報が提示されるまでアクセスを制限するかブロックすることで、侵害の可能性を大幅に減らすことが可能です。最新の多要素認証 (MFA) は、ユーザーにとって複雑なものではありません」と多要素認証導入は難しいものではなく、利用するエンドユーザーにとっても使いやすいものだとアピールしています。

長いパスワードよりも、ログイン後の状態をきちんとモニタリングできる環境を整えること、さらにログインには最新の多要素認証を導入すべきだといっているのです。

最新の多要素認証としては、パスワードではなく、顔認証、指紋認証など生体認証を利用し、さらに携帯電話に認証番号を送り、それを入力させる異なる認証を方法が普及しています。テレワークを導入している場合、企業は多要素認証を利用できるような環境作りなどを進めていく必要がありそうです。

Windows 11の生体認証「Windows　Hello」によるログイン画面

Windows 11はゼロトラストに合致した新OS

企業がゼロトラストセキュリティ実現を進めていく中で、利用するパソコンはセキュリティに配慮したものが望ましいことはいうまでもありません。Windows 11は、セキュリティに配慮して開発された「セキュリティ・バイ・デザイン」の新OSです。セキュリティ機能のひとつが次のように説明されています。

「セキュリティの基準値を高め、進化する脅威状況に対応します。Windows 11 は、仮想化ベースのセキュリティ (VBS) や、ハイパーバイザーで保護されたコード整合性 (HVCI)、セキュアブートなどの保護機能が組み込まれた最新 CPU を要件とすることで、セキュリティの基準値を高めています。また、これらの機能はデフォルトで有効化されており、一般的なマルウェアやランサムウェアはもちろん、より高度な攻撃からの保護も可能です」

さらに日本HPが提供するビジネスPCは、独自のセキュリティソリューションを導入し、他社にはない強固なセキュリティを確保してきました。生体認証に対応した機種も多数揃っています。ゼロトラストを実現するために、セキュリティ機能に強みを持つ日本HPのビジネスPCを選ぶことは賢い選択といえそうです。