1. ゼロトラストとは

ゼロトラスト(zero trust)は直訳すると「信用できない」という意味になりますが、ゼロトラストセキュリティモデルは「過度に信用することなく、常に検証を続けること」を前提にしたセキュリティシステムを指します。

ゼロトラストは2010年ごろから提唱されるようになったセキュリティ対策手法の一つで、外部からのアクセスはもちろんですが、内部からのアクセスであっても、そのアクセスの信頼性を常に疑うことで、不正アクセスのリスクを最小限に抑えることができます。

従来のセキュリティシステムは「ペリメターセキュリティ」と呼ばれる考え方に基づいており、社内ネットワークは絶対に安全なので、外部からのアクセスさえ警戒すれば良いというものでした。

しかしサイバー犯罪が複雑化する今日においては、もはやその脅威は組織の内外のどこからやってくるかわからないものです。そこでゼロトラストのセキュリティモデルをもとにセキュリティ対策を施すことで、社内システムが被害に遭うリスクを回避するのが狙いです。

2. ゼロトラストに注目が集まる理由

ゼロトラストのセキュリティモデルが誕生したのは2010年代前半ですが、なぜ今になってこの手法に注目が集まっているのでしょうか。

2-1. クラウドサービスの普及

近年の大きな変化の一つに、各社でクラウドサービスの普及が進んだことがビジネス領域では挙げられます。しかしクラウドサービスの利用は便利な反面、新たなセキュリティリスクを招いてしまう可能性があります。

これまで、社内のデジタル情報は社内のローカルネットワーク内でのみ共有されることが多かったこともあり、外部にデジタル情報が共有される機会は稀でした。

しかしクラウドサービスは、その仕組み上社内データを外部のネットワークに接続しながら利用しなければならず、それゆえアカウント情報の漏えいや不正アクセスのリスクが高まってしまいます。

そのため、社内外のどちらのセキュリティ対策にも目を向ける必要があり、ゼロトラストへの注目が高まっています。

2-2. リモートワークなど働き方の多様化

働き方改革は、従業員の多様性やより効率的な働き方を目指す上で注目されている取り組みですが、一方でセキュリティリスクの増大というネガティブな側面があることも忘れてはいけません。

働き方改革の中でも注目されているのがリモートワークですが、働く場所を自分で選べる反面、社内で徹底しているセキュリティ対策が及ばなくなるリスクもあります。

自宅のインターネット環境がすでに筒抜けとなってしまっている場合、業務上のやりとりやデータは全て第三者に流出してしまう可能性があります。そのため、本人の意図しないところで情報流出が発生し、組織が危機に晒されてしまいます。

こういった事態を回避する上でも、社員も「警戒の対象」として考えるゼロトラストのアプローチが必要になります。

2-3. DXの浸透によるヒューマンエラーリスクの増大

デジタルトランスフォーメーション(DX)の浸透は、会社業務をデジタル化し効率的な働き方を実現しています。ただ、これまでデジタル活用が進んでこなかった企業では、デジタルツールの活用に悩んでいるケースも少なくなく、必然的にヒューマンエラーが増えてしまう可能性もあります。

簡単な操作で業務が遂行できるということは、誤った操作で簡単に甚大な被害をもたらしてしまうこともあるということです。

本人にも気づいていないミスで被害を受けてしまわないためにも、社員を正しく管理し、セキュリティ上の問題を引き起こさせないゼロトラストの取り組みが重要です。

3. ゼロトラスト実現のための7つの要件

ゼロトラストの導入は、以下の7つの要件を満たすことで実現するとされています。

3‐1. ネットワーク・セキュリティ

ネットワーク・セキュリティは、社内で運用する端末ごとにネットワークの承認を行い、承認を受けてない端末のネットワーク利用を規制するものです。

ネットワークの安全性を端末単位で担保することで、社内外のネットワークに潜むリスクを回避することができます。

3‐2. デバイス・セキュリティ

デバイス・セキュリティは、組織が社員の利用するデバイスを管理するというものです。業務上使用して良い端末を許可が下りたものだけに限定することで、ハードウェアが抱えるリスクを回避することができます。

3‐3. アイデンティティ・セキュリティ

アイデンティティ・セキュリティは、IDが持つ潜在リスクを回避するための取り組み全般を指します。アカウントのIDやパスワードの定期的な変更を促したり、アクセス権限を細分化して、不用意に機密情報に触れられない仕組みを構築したりします。

3-4. ワークロード・セキュリティ

ワークロード・セキュリティは、社内のシステム利用状況をモニタリングできる環境を整備することで、想定外の脅威から企業を守るものです。

社内で認められていないサービスやアプリの利用を自動で検知し、ユーザーに警告を発信するなどして、インシデントの発生を回避します。

3-5. データ・セキュリティ

データ・セキュリティは、社内情報の持ち出しや外部からのデータへのアクセスを監視することで、情報流出を回避するための取り組みです。アクセス権限の設定はもちろんですが社員へのセキュリティ教育の徹底も、対策の一環です。

3-6. 可視化と分析は、社内のネ

可視化と分析は、社内のネットワークやシステムを24時間モニタリングし、その状況を可視化・分析する取り組みです。

不審なアクセスの動向はないかの確認はもちろん、攻撃を受けた場合はその原因を特定し、被害を最小限に抑えます。

3-7. 自動化

自動化は、システムのモニタリングや即応体制のオートメーションを図るものです。手動では限界のあるセキュリティ対策も、自動化によって検知精度を向上させたり、24時間常にフルパフォーマンスでのセキュリティを実現したりできます。

4. ゼロトラスト導入のポイント

ゼロトラストのセキュリティシステムを導入する場合、優れたセキュリティツールを導入することはもちろんですが、社員向けの研修などを実施することも忘れてはいけません。

システムの導入には費用がかかりますが、社員向けのマニュアル作成や研修の実施にも時間や費用がかかるため、その点を見越した予算管理が大切です。導入時には一時的な業務の停滞や速度低下が見込まれることも覚えておきましょう。

まとめ

ゼロトラストのセキュリティシステム構築は、優れた脅威検知システムの導入はもちろんですが、それ以外にもアクセス権限の細かな指定や、社員向けの研修の実施、マニュアル作成など、多くの業務が発生することとなります。

自社が脅威にさらされないためにも、まずは早期に社内システムの見直しからスタートし、セキュリティ強化に向けた取り組みを進めていきましょう。