1. 今までの主流のセキュリティ（境界防御）のコストと効果 (1) “現状”と”これから起きる事” (2) 「境界防御」の仕組みと環境の変化 (3) 「境界防御」のコスト (1) “現状”と”これから起きる事” (2) 「境界防御」の仕組みと環境の変化 (3) 「境界防御」のコスト 2. ゼロトラスト (1) ゼロトラストとは a) 目的 b) 基礎となる考え方 c) 脅威の相手 d) 必要条件 e) 仕組み(2) ゼロトラストのコスト (2) ゼロトラストのコスト a) 境界防御のままセキュリティの向上をはかると b) 境界防御をやめてゼロトラストにすると c) コスト構造の変化

1. 経営者のための“ゼロトラスト基礎知識”
2020/10
㈱船井総研ホールディングス
村上 雅章
masaaki-murakami@funaisoken.co.jp
1

2. a) 目的
b) 基礎となる考え方
c) 脅威の相手
d) 必要条件
e) 仕組み
1. 今までの主流のセキュリティ（境界防御）のコストと効果
(2) ゼロトラストのコスト
a) 境界防御のままセキュリティの向上をはかると
b) 境界防御をやめてゼロトラストにすると
c) コスト構造の変化
INDEX
2. ゼロトラスト
(1) ゼロトラストとは
(1) “現状”と”これから起きる事”
(2) 「境界防御」の仕組みと環境の変化
(3) 「境界防御」のコスト
2

3. 現状
境界防御のままで
セキュリティを強化すると
ゼロトラスト
に切り替えると
脅威に対する
カバー率
コスト
１８％
リモートワーク率が30%の場合
リモートワーク率が70%の場合
８％
８０％
リモートワーク率が30%の場合
リモートワーク率が70%の場合
８０％
８０％
リモートワーク率が30%の場合
リモートワーク率が70%の場合
８０％
約4,000万円/年
～約8,000万円/年
約4,000万円/年
～約8,000万円/年 約8,000万円/年
～約1億6,000万円/年
1. 今までの主流のセキュリティ（境界防御）のコストと効果
(1) “現状”と“これから起きる事”
＜1,000人規模の中堅企業のケース＞
コストが約倍にな
る
効果が非常に低い
境界防御
3

4. (2) 「境界防御」の仕組みと環境の変化
今、採用している境界防御は、事業所を
a. 城壁で囲い ＝ LAN
b. その間を外部と交わらず通れる橋を作り ＝ WAN
c. 入口で門番が変な人を入れない ＝ ファイヤーウォール
【境界防
御】
中にいると安全
仕組み
4

5. 1位 標的型攻撃者による機密情報の搾取
2位 内部不正による情報漏洩
3位 ビジネスメール詐欺による金銭被害
4位 サプライチェーンの弱点を悪用した攻撃
5位 ランサムウェアによる被害
6位 予期せぬIT基盤の障害にともなう業務停止
7位 不注意による情報漏洩
8位 インターネット上のサービスからの個人情報の搾取
9位 IoT機器の不正利用
10位 サービス妨害攻撃によるサービス停止
従来のアンチウィ
ルスで対応NG
従来のアンチウィ
ルスで対応OK
2018 2019
51%
49%
40%
60%
クラウド リモート・ワーク
利用者減少
セキュリティ
に
守られていな
い人が増加
【境界防御】
【傾向１】
「リモートワーク」と「クラウド
化」で
境界防御で守れる人が減少
境界防御の
外にいる
【傾向２】
「境界防御」で防げる脅威が少ない
【傾向３】
アンチウィルスで防げる脅威が半分以下に
環境の変化
5

6. (3) 「境界防御」のコスト
インターネット
エンドポイン
ト
（PC、スマ
ホ）
 多くは設備投資が伴うコスト
 オペレーション用の人件費もかかっている（下記費用に含まれていない）
「境界防御」用の設備
LAN
WAN
約4,000万円/年
～約8,000万円/年
＜1,000人規模の
中堅企業のケース＞
6

7. 情報を守る
“情報を守る”ためのマネージメントの対象
ひと もの
a) 目的
2. ゼロトラスト
(1) ゼロトラストとは
情報が流失したえり、攻撃されたりするの
は
7

8. システム利用者 クラウドサービス
「信用できる人」と 「信用できる人」
の “取引は信用できる”
C. この二つの間の
処理は信用できる
A. 信用できる人 B. 信用できるクラウド
b) 基礎となる考え方
自社専用の人の信用情報DB
を作り、それをともに
「ひと」をマネージメント
第三者機関の信用情報DB
をもとに
「もの」をマネージメント
ゼロトラスト
8

9. 脅威の居場所
1位 標的型攻撃者による機密情報の搾取 外部
2位 内部不正による情報漏洩 内部
3位 ビジネスメール詐欺による金銭被害 外部
4位 サプライチェーンの弱点を悪用した攻撃 外部
5位 ランサムウェアによる被害 外部
6位 予期せぬIT基盤の障害にともなう業務停止 内部
7位 不注意による情報漏洩 内部
8位 インターネット上のサービスからの個人情報の搾取 外部
9位 IoT機器の不正利用 外部
10位 サービス妨害攻撃によるサービス停止 外部
c) 脅威の相手
 セキュリティの脅威は“外部”と“内部”の両方にいる
9

10. 攻撃者１；スクリプト・キ
ディ
攻撃者２；標的型攻撃者 攻撃者３；国家レベルのアク
タ
外部の脅威 ⇒ 情報漏洩、脅迫（金品要求）、踏台（他の攻撃に利用）
他人の製作したプログラムま
たはスクリプトを悪用し、興
味本位で第三者に被害を与え
るクラッカー
高いコンピューター知識と技
術を持ち合わせ組織の内部
ネットワークに侵入し、諜報
活動・破壊活動を行うハッ
カー
イラン、中国、イスラエル、
米国、ロシア、北朝鮮が、
支援もしくは抱えている
ハッカーグループ
ハッキングツールが裏社会で流通
標的を定めず、よく知らて
れている脆弱性を攻撃
特定の組織に情報の窃取や削
除のために行う攻撃
・軍事的な攻撃
・技術を強奪し、複製し、乗っ
取る
注意！ 攻撃者２や攻撃者３が使う高度な攻撃手法も攻撃者１が使える様になる
10

11. ログインIDをもつシステムの一般ユーザ
（元社員を含む）
強い権限を持っているシステム管理者
（元社員を含む）
攻撃者４；インサイダ 攻撃者５；信頼されたインサイダ
内部（元社員を含む）の脅威 ⇒ 情報漏洩
内部情報の漏洩 内部情報の漏洩
退職後
プライベートなID
を使ったダウンロー
ド
会社のIDでアップ
ロード
例； 様々なルートでのデータの持ち出し
11

12. “変化の激しいデジタル”
“日々姿を変えるセキュリティの脅威”
の中でのセキュリティ・ツールの選択は？
❶“セキュリティのプロが常にブラッシュアップ”しているサービスを利用する事
❷“３年後も優れたサービス”を選択する事
❸セキュリティの動向にあわせて“利用する機能を変える”ができる事
【必須要件】
d) 必要条件
12

13. 世界の
クラウドサービスの
信用情報DB
アクセス
のマネージメント
❷ CASB/SWG/RBI
クラウド、Webへのアクセスの制御
情報漏洩対策
❶ IdaaS
システムのID＆アクセス制御の一元管理
❸ UEM
統合エンドポイント管理
（PC、スマホ等の管理）
❹ EPP/EDR
マルウェア、非マルウェア攻撃の検知・対策
「感染後の対策」
“水際対策”“発病後の隔離、駆除”
「予防」
盗難・紛失での情報漏洩対策
利用者
クラウド・
Web
本人確認
ウィルス等の感染対策
エンドポイ
ント
システム利用者の
基本台帳
システム利用者の
信用度評価
システム利用者の
信用情報の共有
e) 仕組み
13

14. ❶ IdaaS （アイダーズ）
Multi-factor
Authentication
SSO
Universal
Directory
信用・信頼情報の共有＆Update 本当に当人か？の確認利用者にとって便利
利便性 セキュリティ
システム毎にID/PWを
入力する必要がない
各システムと
信用・信頼情報を共有す
る
悪い人にだまされない
様にする
クラウドが連携する為の
代表的なインターフェース
を備えている
 SAML （サムール）
 OAuth2 （オースツー）
 OpenID （オープンアイ
ディー）
当人確認の為の
様々な手法を持っている
 多要素認証
 アダプティブ認
証
 コンテキスト認
証
アカウント情報の共有・
UPDATE
 連携が密なクラウド相手
⇒Lifecycle Management
 連携が疎なクラウド相手
⇒Universal Directory
システムのID＆アクセス制御の一元管理
Lifecycle
Management
“利便性”と“セキュリティ”の両立
14

15. ❷ CASB（キャスビー） ・SWG（エスダブリュージー） ・RBI（アールビーアイ）
RBICASB SWG
クラウド・Webへのアクセスの制御
情報漏洩対策
Webからの攻撃防御
対象；クラウド 対象；Web
ブラックリストのサイト
への
アクセスを制限
サイトのコピーを作って
利用者はコピーにアクセス（分
離）
第三者評価機関の結果をもとに
クラウドへのアクセスを制御
怪しいサイトへのアクセス
を防ぐ
どんなサイトにアクセスして
も感染しない
「Netskopeがセキュリティ評
価をしたDB（３～４万件のリ
スト）から利用者が選ぶ」
ができる
“自由＆創造性”と“セキュリティ”の両立
15

16. ❸ UEM（ユーエーエム）
「予防」盗難・紛失での情報漏洩対策
予防が実施されないケースが多い （現場にとって非常に手間がかかり、面倒な作
業）
MDM
PCのソフトウェアの
マネージメント
盗難・紛失時のデータの消去等ソフトウェアのバージョン
アップ
インストール・アンインス
トール
セキュリティパッチを随時あてる
…等
スマホのデータをリモートで消去
…等
16

17. ❹ EPP（イーピーピー）・EDR （イーディーアール）
EPP
感染・駆除 発病＝攻撃 隔離 駆除
＜水際＞
発病＝攻撃 隔離 駆除（EPPで検知できない）
EDR
従来のアンチウィル
スでは対応できない
（非マルウェア）
従来のアンチウィル
スでの対応可能
（マルウェア）
2018 2019
51%
49%
40%
60%
攻撃の比率
MDR
オペレーションでSOCを活用
半分以下しか駆除できていない脅威を、全て駆除に変える
「感染後の対策」“水際対策”“発病後の隔離、駆除”
従来のアンチウィルス
17

18. (2)ゼロトラストのコスト
＝
＋
クラウド リモート・ワーク セキュリティに
守られていない人が増加
【境界防御の外の人のセキュリティコスト】
利用者減少
【境界防御の中の人のセキュリティコスト】
リモート
率
30%
リモート率
70%
リモート率
100%
リモート
率
30%
リモート率
70%
リモート率
100%
リモート
率
30%
リモート率
70%
リモート率
100%
境界防御の年間経費（人件費等を除く）
は減らない
両方のコストがかかる
社員全員が“出社”と“リモートワー
ク”を併用する形式のため、“ゼロト
ラスト”は、社員全員に対して実施
が必要
約4,000万円/年
～約8,000万円/年
約8,000万円/年
～約1億6,000万円/年
約4,000万円/年
～約8,000万円/年
a) 境界防御のままでセキュリティの向上をはかると
18

19. 境界防御をそのままで
リモートワークのセキュリティを実
施
境界防御を廃止して
ゼロトラストだけにする
リモート
率
30%
リモート
率
70%
リモート
率
100%
リモート
率
30%
リモート
率
70%
リモート
率
100%
【社員数が1,000名の場合のコストシミュレーション】
ゼロトラス
ト
約8,000万円/年～約1億6,000万円/年 約4,000万円/年 ～ 8,000万円/年
約4,000万円/年
～約8,000万円/年
境界防御
vs
約4,000万円/年
～約8,000万円/年
b) 境界防御をやめてゼロトラストにすると
19

20.  情シスの運用負荷も小さくて済む
1,000人
境界防御のセキュリティコス
ト
リモートワークのセキュリティコ
スト
境界防御をそのままで
リモートワークのセキュリティを実
施
コスト
社員数
1,000人
境界防御を廃止して
ゼロトラストだけにする
コスト
社員数
c) コスト構造の変化
20