GMOサインをお得に利用開始できるチャンスは【今だけ】
この機会をお見逃しなく!
2024年11月30日までにGMOサインの有料プラン「契約印&実印プラン」にお申し込みいただくと、申し込み月を含めた3カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
※12月1日~12月31日のお申し込みの場合は「2カ月無料」です。
GMOサインをお得に利用開始できるチャンスは【今だけ】この機会をお見逃しなく!
2024年11月30日までにGMOサインの有料プラン「契約印&実印プラン」にお申し込みいただくと、申し込み月を含めた3カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
※12月1日~12月31日のお申し込みの場合は「2カ月無料」です。
GMOサインをお得に利用開始できるチャンスは【今だけ】
この機会をお見逃しなく!
2024年11月30日までにGMOサインの有料プラン「契約印&実印プラン」にお申し込みいただくと、申し込み月を含めた3カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
※12月1日~12月31日のお申し込みの場合は「2カ月無料」です。
GMOサインをお得に利用開始できるチャンスは【今だけ】この機会をお見逃しなく!
いま注目されるセキュリティ対策に、「ゼロトラストセキュリティ」があります。ゼロトラストセキュリティとは、「ゼロトラスト」という考えに基づいた対策のことです。従来行われてきたセキュリティ対策である「境界型防御」と何が違うのでしょうか。ここではゼロトラストとゼロトラストセキュリティに関する基本を解説します。
従来の社内ネットワークは、主に外部ネットワークと社内ネットワークの間を守る社内/社外という境界にフォーカスした「境界型防御」というコンセプトで行われてきました。しかしこのセキュリティ対策では、防ぐことのできない驚異も多く存在するようになりました。
そんな中提唱された、セキュリティ対策の考え方が「ゼロトラスト」です。「zero trust =信用しない」という考えです。例えば、システムにログインしたときに、IDとパスワードが合っていたとしても、IDとパスワードが不正に入手されたものかもしれません。また従業員が、ルールを無視して内部のデータを外部に持ち出すかもしれません。
そこで、ゼロトラストの考え方は「すべてを信頼しない」のです。これに基づくセキュリティ対策「ゼロトラストセキュリティ」は上記のような「信頼できない行動」に対して、有効な対策です。
いま、さまざまなセキュリティ対策の中で、ゼロトラストが注目されています。なぜ注目されているのか、4つの主な背景を解説します。
現在、多くの企業でクラウドサービス(SaaS : Software as a Service)の導入が進んでいます。クラウドサービスは、Webブラウザからアクセスして利用するのが一般的です。
Webブラウザからクラウドサービスにアクセスするということは、社内ネットワークから社外ネットワークに、または社外ネットワークから社外ネットワークにアクセスするということになります。したがって、これまで重視されてきた、社内ネットワークの中にあるコンピューターやサーバーを守るという方法では守れないのです。
新型コロナウイルス感染症による影響や、働き方改革などにより、自宅などから作業を行うテレワークが急速に普及しました。このような環境下において、企業内の社内ネットワークに自宅などの外部ネットワークから参加できるVPNは、セキュリティ対策として有効ですが、社内ネットワークの入り口であるVPN機器に対し、多くの従業員が同時にアクセスすることになるため、パフォーマンスが大きく低下する恐れがあります。改善には、VPN機器を高速なものにしたり、企業のネットワーク回線を高速化したりする必要がありますが、増え続ける負荷への対応はキリがありません。
また、VPNだけでテレワークの安全性が担保できるわけではありません。サイバー攻撃は日々巧妙化しており、すでにVPNに対する攻撃も行われているからです。さらにVPNに頼ったセキュリティ対策は、社内ネットワークに侵入させないことが前提の方法です。もしVPNに対する攻撃が行われ、社内ネットワークへの侵入を許した場合、被害は非常に大きなものになるでしょう。
セキュリティ対策を強化し、従業員に対するルールやガイドラインを設けたとしても、それを破る人がいます。こうした内部不正は、情報漏えいの増加につながります。例えば、自宅で作業を行うために、USBメモリを使って業務データの持ち出しや、禁止されている私物PCでの作業、利用を禁止されているアプリケーションや機器の利用などです。企業内ネットワークやPCの防御を前提にしている、従来のセキュリティ対策では、こうした不正を防ぐことは難しいでしょう。
サイバー攻撃は多様化し続けています。例えば、マルウェアやフィッシング詐欺、ランサムウェアといった、従業員個人を標的にした攻撃も日々巧妙化しています。また急速に普及が進むVPNに対しても、不正ログインを試みたり、機器の脆弱性を狙ったりなどさまざまな攻撃が行われているのです。これらを従来のセキュリティ対策で守るためには、個々のサイバー攻撃に対して、個別に対応する必要があるため、現実的ではありません。
ゼロトラストは2010年に、米国のジョン・キンダーバーグ氏によって提唱されたセキュリティコンセプトです。その後、米国国立標準技術研究所(NIST)がこのコンセプトをもとに、米国政府が考えるゼロトラストの定義を、2020年8月に公表しました。
その中で書かれている「ゼロトラストの7つの基本原則」は、以下の内容です。
1.すべてのデータソースとコンピュータサービスは、全てリソースと見なす
2.ネットワークの場所に関係なく、通信は全て保護する
3.企業リソースへのアクセスは、全て個別のセッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他行動属性や環境属性を含めた、動的ポリシーによって決定する。
5.企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティの改善に利用する
この7つの基本原則は以下のように、大きく3つの項目に分類できます。
いわゆるゼロトラストセキュリティとは、この3つの項目を実施することなのです。
引用:同上
ゼロトラストセキュリティを導入するとどのようなメリットがあるのでしょうか。ここでは3つのメリットと、無視できない2つのデメリットを紹介します。
ネットワークは、常に、そして新たな脅威にさらされています。そのため、現代においてゼロトラストセキュリティを導入する場合、行うべき防御体制を自社オリジナルで構築することは難しいでしょう。そのため、サービスとして導入する必要があります。ここでは、ゼロトラストセキュリティで基本となる、導入すべき機能やサービスについて紹介します。なお、自社の環境や状況に応じて、さらに機能が必要であることも忘れてはなりません。
ゼロトラストセキュリティは社内外問わず、アクセスを認証する必要があります。とはいえ業務を行おうとした際、システムごと、アクセスごとにログインを行うことは非効率です。もちろんパスワードの使い回しはご法度ですから、管理も煩雑なものとなります。そのため、アクセスごとに認証を行えることを前提とした、作業効率を下げない認証基盤を導入するのがセオリーです。
認証基盤は、複数のシステム/サービスの認証情報を一元化できます。これは管理者の管理作業を容易にするばかりか、管理体制の強化にもつながります。また、ワンタイムパスワードといった多要素認証も実現できるため、セキュリティレベルも向上するのです。
従業員がアクセスした、作業をしたといった行動履歴、いわゆるアクティビティを常に記録する必要があります。またこれらを精査し、データを持ち出すなどといった不審な行動やアクセスがあった場合に、アクセスを遮断するといった対策も求められます。
そのため、常にアクティビティを記録でき、それを精査できるシステムの導入が必要です。
IDaaS(Identity as a Service)は、ID管理や認証サービスを統合したクラウドサービスです。管理や認証、アクセス制御、利用サービスごとのログ管理など、ゼロトラストセキュリティに必要な多くの機能が揃っています。まずIDaaSを導入してから、基盤を構築することは、ゼロトラストセキュリティ導入の近道といえるでしょう。
ゼロトラストセキュリティにおいて、エンドポイントセキュリティは重要です。ここでのエンドポイントとは、ネットワークに接続された機器、PCやサーバー、スマートフォンなどを指します。
必要なセキュリティ対策は、HDDやSSDといったストレージの暗号化、アンチウイルスソフトの導入、不正なWebサイトへのアクセスブロックや、データ流出防止など、多岐にわたります。しかし、これらの機能を、個別に揃えることは難しいでしょう。自社に合った対策をと精査したうえで、必要な機能を備えたサービスの導入や、個々に機能を導入することが求められます。
ゼロトラストは「すべてのアクセスを信用しない」という、セキュリティ対策方法の考え方です。この考えに基づいたゼロトラストセキュリティは、従来のセキュリティ対策で守りきれなかった、テレワーク時代そしてクラウド時代の驚異にも対応可能です。
一方、導入は簡単ではありません。サービスを導入するといっても、自社に不必要な機能を導入してしまっては、コストだけが無駄になってしまうでしょう。自社に合った製品を選び、導入することが大切です。
また、日々巧妙化するサイバー攻撃に対応するためには、導入するソフトウェアやサービスにも高いセキュリティ性能が求められます。オンライン電子契約サービスをお探しの方は、高いセキュリティ性能を誇る「電子印鑑GMOサイン」を試してみてはいかがでしょうか。「電子印鑑GMOサイン」では、ルート証明書や認定タイムスタンプ、ファイル暗号化、通信暗号化などのセキュリティ技術により、安全性の極めて高いオンライン電子契約が実現できるからです。
2024年11月30日までにGMOサインの有料プラン「契約印&実印プラン」にお申し込みいただくと、申し込み月を含めた3カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
※12月1日~12月31日のお申し込みの場合は「2カ月無料」です。
GMOサインをお得に利用開始できるチャンスは【今だけ】
この機会をお見逃しなく!
2024年11月30日までにGMOサインの有料プラン「契約印&実印プラン」にお申し込みいただくと、申し込み月を含めた3カ月分の月額基本料金・送信料が“無料”でご利用いただけます。
※12月1日~12月31日のお申し込みの場合は「2カ月無料」です。
GMOサインをお得に利用開始できるチャンスは【今だけ】この機会をお見逃しなく!
電子契約サービスごとの違いや選び方などについて、下記の記事でわかりやすく比較しています。ぜひご参考にしてください。また、各社のサービスをまとめた比較表を“無料”でダウンロードできます。
\ “無料” で使える電子契約サービスをまとめました! /
GMOサインは、導⼊企業数No.1 ※ の電子契約サービスで、350万社以上の事業者にご利用いただいております。また、自治体などにおいても広く導入されています。同⽔準の他社サービスと比較をしても、使用料がとてもリーズナブルなのが特徴です。さらに、無料で試せる「お試しフリープラン」もあるので手軽に利用できます。各種機能も充実しているため、使い勝手も抜群です。ぜひ一度お試しください。
※ 導入企業数は「GMOサイン(OEM商材含む)」を利用した事業者数(企業または個人)。1事業者内のユーザーが複数利用している場合は1カウントする。内、契約社数「100万社」(複数アカウントをご利用の場合、重複は排除)
GMOサインが運営する公式ブログ「GMOサインブログ」の編集部です。
電子署名/電子サイン/電子印鑑(デジタルハンコ)/脱印鑑(脱ハンコ)/電子文書/電子証明書/電子帳簿保存法など、電子契約にまつわる様々なお役立ち情報をお届けします。