2022.1.21 /

ゼロトラストセキュリティとは

ゼロトラストセキュリティの基本的な考え方

ゼロトラストセキュリティとは、2010年にJohn Kindervag氏が提唱したセキュリティ対策の考え方で、「何も信じずに検証する」ことを基本としています。サイバー攻撃が高度化し、絶対に安全なセキュリティ対策が難しくなっている今、重要な考え方とされています。

具体的にどういうことかといえば、システムやデータにアクセスしようとする通信、接続ユーザー、接続デバイス、など、あらゆる要素が信じられないと仮定し、常に不正アクセスではないか検証できる環境を整えるということです。

例えば、下記のような対策です。

●社員が社内システムにアクセスしようとしているからと言って、個人所有端末の可能性もあり、必ずしも安全な端末とは限らない。だから会社認証端末でないとログインできないようにする。

●社内システムに正規のIDでログインしているからと言って本人がログインしているとは限らない。だから二要素認証で本人でないとログインできないようにする。

●会社認証端末から正規のIDでログインしているからと言って、社用端末が安全とは限らない。だからセキュリティソフトが最新の状態にアップデートされていないとログインできないようにする。

 

これまでのセキュリティ対策との違いとネットワークセキュリティの限界

従来のセキュリティ対策がどのようなものだったかというと、境界型セキュリティなどと呼ばれ、主に、社内システムや重要データを保管した社内ネットワークを構成し、社外ネットワークから社内ネットワークにアクセスするための境界を強化する、という考え方でした。

つまり、守るべき社内システムや重要なデータが社内ネットワーク内部にのみ存在し、社内ネットワークからしかアクセスせず、脅威を社内ネットワークに侵入させないことを前提としています。逆に言えば、社内ネットワークで許可された人物や端末は、どんな状況であっても安全とみなす考え方でした。

しかし、昨今では、内部ネットワークと外部ネットワークの境目があいまいになりつつあり、ネットワークセキュリティの強化では限界が来ています。

 

ゼロトラストセキュリティが必要になった3つの要因

ゼロトラストセキュリティが重要といわれるようになった背景には、主に3つの要因があります。

1.リモートワークの増加
リモートワークの増加により、社外から社内ネットワークへ接続するケースが増え、社内と社外でネットワークを完全に切り分けられなくなりました。また、社員の個人端末で業務を行うことも増えているため、“安全な社内ネットワーク”の実現が難しくなっています。

2.クラウドサービスの普及
DX推進の流れもあり、クラウドサービスを利用する企業が増加しています。社内の機密情報や顧客情報などがクラウドサービスに保管されていることも多く、社内ネットワークのセキュリティ強化だけでは、外部にあるクラウドに保管されたデータは保護できません。

3.サイバー攻撃の高度化
サイバー攻撃の技術は日進月歩で高度化していて、これまでのセキュリティ対策をすり抜けるサイバー攻撃も増えてきています。実際に、2020年に流行したEMOTETや、ランサムウェアなどは、十分なセキュリティ対策をしていたはずの大企業でも多く被害が発生しました。

このような背景から、これまでの境界型セキュリティでは守り切れず、ゼロトラストセキュリティの考え方が重要だと言われています。

 

ゼロトラストセキュリティのメリットデメリット

ゼロトラストセキュリティにも、もちろん、メリットとデメリットがあります。

ゼロトラストのメリット

1.クラウドサービスを有効活用しDXを推進できる
企業の競争力を高めるために重要といわれるDXですが、そのほとんどがクラウドサービスの活用につながります。しかし、これまでの境界型セキュリティではクラウドを保護できないためセキュリティ面での課題が残っていました。ゼロトラストセキュリティではクラウドサービスへの対策も可能です。

2.リモートワークを安全に実現できる
コロナ以降、当たり前になりつつあるリモートワーク。今後も定着すると考えられており、企業の採用力や、従業員のパフォーマンスにも影響があるといわれています。ゼロトラストセキュリティであれば、安全なリモートワークを実現できるようになります。

ゼロトラストのデメリット

1.費用が掛かる
これまでは社内ネットワークを中心にセキュリティ対策を取っていた企業も多いと思いますが、ゼロトラストセキュリティでは、より多くの種類のセキュリティ対策を導入することになります。これまでに以上にセキュリティ対策予算の確保が必要になります。

2.従業員にとって不便になる可能性も
社外から自由にシステムへログインできなくなったり、定期的にシステムへのログインを求められたりと、従業員にとっては利便性が悪いと感じることも増えるかもしれません。しかし、これまでのセキュリティ対策ではもう守り切れない、ということを念頭に、社内への理解を求めることが重要です。

 

ゼロトラストセキュリティを実現するためには?

ゼロトラストセキュリティは、一つの対策やツールで実現できるものではなく、十分な設計を行ったうえで、多くのセキュリティ対策やツールを導入していく必要があります。円滑に進めるためには、コスト面や、業務効率を考え、一つずつ着実に対策を強化していくことが重要です。

より多くのコストがかかるため、いきなり最初からゼロトラストセキュリティを完璧に実現することは困難です。徐々に予算を増やしながら、将来的にゼロトラストセキュリティを実現していく計画が重要になります。

また、セキュリティを強化するということは、業務に制限が増えることにつながりやすいため、一度に多くのセキュリティ対策を導入するのではなく、一つ一つ現場の状況に合わせながら適切な形を模索していくことが重要です。

最後に、ゼロトラストセキュリティを具体的に実現するために何が必要なのかは、企業によって異なることも理解しておきましょう。専門家に相談しながら実現することをお勧めします。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから