連携サービスプロバイダー(SP)へのアクセスコントロールにおいてゼロトラストでなければならない
現在までシングルサインオン(SSO)の利点であった、「一度の認証で複数のサービスが利用可能」は、「すべてのアクセスを信用しない」というゼロトラストの考えでは最重点課題となります。そのためゼロトラストSSOでは、各サービスにアクセスするごとに認証が要求される仕組みや、認証強度も各サービスごとに設定が必要になります。
例えば、従来のSSOでは一度ゲート(認証)を通過すれば、サービスA・サービスB・サービスCのいずれにもアクセスが可能でした。しかしながら、ゼロトラストSSOでは、サービスAにアクセスする際にはサービスAのゲートを通過し、そこからサービスBにアクセスする際にはサービスBのゲートから入り直すというプロセスが必要になります。
2016年に発生した米国大統領選挙でのDNC(民主党全国委員会)の情報漏洩は、サイバーセキュリティの
問題よりも、ワークフローや組織文化の問題だったと言われています。2017年に新たに就任した
CSO(最高セキュリティ責任者)は、全員参加の会議のたびに必ず以下のことを呼びかけていました。
パスワードを使いまわさない
二要素認証をする
ソフトウェアをアップグレードする
暗号化されたメッセージアプリを使う
怪しいリンクをクリックしない
出典:New York Times「The D.N.C. Didn’t Get Hacked in 2020. Here’s Why.」
日本においてもDX(デジタルトランスフォーメーション)やリモートワーク、テレワークの導入企業の増加に伴い、セキュリティの隙をついたランサムウェアなどのサイバー攻撃は静まる気配がありません。日本企業も早急にサイバー攻撃対策に取り組むべき時がきています。