概要

COSYは創業以来15年間、プリントシステムの開発、普及に努めてまいりました。昨今のリモートワークの普及を機会にゼロトラストセキュリティーに関する関心が高まってきております。ゼロセキュリティー環境におけるプリンタの運用の重要性が急速に高まってきています。企業や大学において機密情報の漏洩に対して注意を払うことは重要な経営課題となっています。特にリモートワークの場合、重要情報に社外からアクセスできることが大前提となってしまうため、従来のファイアウオールで強固に固めた防御態勢だけでは、十分に安全とは言えない状況になっています。あえて社内、社外のネットワークを区別してシステムを構築せず、重要データへのアクセスに視点を置いてシステムを構築するゼロセキュリティーという概念が重要になってきています。電子データ同様、紙に印刷された重要文書、機密文書の取り扱いは以前にもまして大きな課題となってきております。どんな重要な情報も紙に印刷され、持ち出されてしまえば、その後の足取りを捕捉することは非常に困難です。

今回、PaperCut社が指針としている2019年にACT-IACによるレポート「Zero Trust Cybersecurity Current Trend」を紹介させていただきます。執筆:森川祐輔 セキュリティーマネジメント学会会員

Zero Trust Cybersecurity Current Trend April 18,2019 の要点

ACT-IAC とは”The American Council for Technology-Industry Advisory Council” の略。本稿は筆者が要点のみを抽出し、2022年4月現在の一般知識と個人的見解を加えて記載しております。詳細は原論文をお読みいただくことを推奨します。

ゼロトラストとは?

ゼロトラストはクラウドの利用やモバイルワークが活用される時代を迎え、2004年にセキュリティー設計コンセプトとして英国のCISOの研究グループJerico Forumにて提唱されました。その後、クラウドの活用やモバイルエンドポイントを使ったアプリケーションへのアクセスが増え、それが当たり前になり、安全かつ高速な5Gネットワークの活用が重要になってきています。2010年にはJohn Kindervagによりゼロトラストネットワークという概念がこのような環境で発生する問題を解決する糸口になることをフォーラムで提唱しました。従来型のhub-and-spoke network は重大な弱点を内在しています。信頼のおけるFirewallの内側と信用のおけない外部を行き来してデータをやり取りするには、エンドポイント間でどうやってセキュリティーを担保するかが重要な課題となります。従来型システムは内と外という概念で構成されており、強力な壁により内部のデータだけを守るという設計概念では対応できなくなってきています。こうやって、内部と外部を区別せず、エンドポイント間のセキュリティーを確保するという概念、つまりゼロトラストネットワークサイバーセキュリティーという概念が生まれました。

ゼロトラスト環境への対応

  • 場所にかかわらずユーザーがデータにアクセスする場合の情報セキュリティー戦略を立てる
  • サービスやデータにアクセスする場合は、決してネットワーク通信インフラを信用しない、常に確証を取る(Always Verify)
  • どこからのリクエストの起点であろうと、常に認証を行い、分析を行う

ゼロトラストの5つの基本想定

  • ネットワークは常に危険であると認識する
  • 内部でも外部でもセキュリティーの脅威があることを認識する
  • ネットワークの拠点、出自、運営者を確認しておくだけでは不十分である
  • すべてのデバイス、ユーザー、ネットワークが認証されていること
  • 各データのソース、活用に対してセキュリティーポリシーが策定されていること

ゼロトラストの基本の柱(Pilars)

ユーザー、デバイス、ネットワーク、アプリケーション、オートメーション、分析、これら6本の柱が適切に設計、運用、管理されていることが重要になってきます。

以上、ACT-IACの報告した。

ゼロトラストにおけるプリントシステム

PCからプリンタへプリントデータを送信する場合、一般的な社内環境ではアプリケーション→ドライバ→NIC→社内LAN→プリンタ の経路を伝って印刷されます。これは、強固なファイアウォールに守られたクローズドな環境で、かつ社員が信頼できるという前提があれば、プリントデータの盗難、改ざんを心配する必要は少ないと考えられます。しかしながら現在の仕事環境やシステムの構築形態を考えるといろいろなケースが考えられるため、安全なネットワーク内だけでなく外部インターネットを経由してデータが行き来することが考えられらます。リモートワークが普及し、VPNで自宅から会社へつなぎ、VDI環境で画面を見ながら仕事をするというケースも多々見受けられました。Windowsにはリダイレクトプリンタをマウントすることが出来ます。これを使えば自宅プリンタへの出力も可能です。ただし、管理者がリダイレクト用プリンタとして自宅プリンタをWindowsに組み込んである場合に限ります。社員全員の自宅のプリンタをひとつづつ管理者が登録するのはかなり大変です。かと言って一般社員に管理者権限を与えてしまうと、セキュリティーレベルが著しく低下します。自宅と会社をVPNで接続するのも、人数が多ければかなりの経費がかかります。

望まれているプリントシステムとは?

利便性だけを考えると、「社内システムをすべてクラウドサービスを活用し、社外、自宅に限らずインターネット環境があればサービスに接続し、どこでも仕事が出来、印刷できる。」というのが最も利便性が高い働き方だと思われます。しかし、これは野獣がうろうろする原野をすっぱだかで散歩するようなものです。