国内でのITインフラの発展が急速に進んだことで、社会環境、そして職場環境が変化し始めてから数十年が経ちました。今やITインフラの活用は、誰にとっても当たり前のものになっており、特にビジネス面では、B2B・SaaSまたはクラウドを利用した職場環境づくりが急速に進められています。
これらの変化により、新たなセキュリティ戦略として注目されているのが「ゼロトラスト」です。
ゼロトラストとは、「常に信頼せず再検証する」という意味で、ネットワーク細分化やアクセス制御時に適用する強力なセキュリティをいいます。一般的に重要な資産が集まっている、比較的小さな保護範囲を管理する際に使用されます。
「信頼できる」ネットワーク、ユーザー、プログラムなど、さまざまなリソースを通しても、内部のデータを外部へ流出させることは可能なため、ゼロトラストセキュリティでは「信頼=セキュリティ脆弱性」という基本概念から始めます。
従来の内部ネットワーク通信がファイアウォールから始まる場合、もしくは一回の認証通過で信頼できると判断していた伝統的なセキュリティとは対照的な方式として、特定の資料へのアクセスが本当に必要であることを確認するまでは、ネットワーク内部にいる人やデバイスだとしても(以前にアクセスした履歴があっても)アクセス権限を付与しません。
最も重要な理由は、ますます巧妙になるサイバー犯罪のためでしょう。
近年発生しているサイバー犯罪は、企業内部者を募集したり、ハッキングしたりして、企業の大切な情報セキュリティに侵入する方法を追求し続けています。
また、サイバー犯罪に利用されるハッキングツールおよびランサムウェアプログラムも購入を通して使用できるよう、サービスがプラットフォーム化されているため、誰でも簡単にサイバー犯罪に加担できるようになりました。そのため、このような犯罪から企業の重要データ資産を守るため、今日ゼロトラストモデルが注目されています。
ゼロトラストセキュリティを企業に導入するには、2つのセキュリティ基盤を考慮する必要があります。
脱・境界型
企業はもう、1つの場所、端末、固定IP、内部ネットワークだけでは業務を行っていません。リモートワーク等の推進により、さまざまな場所で多数の端末を通じて自社で所有・統制していないクラウドサービスに接続するため、場所と信頼問題を分離して考慮しなければなりません。
最小権限
すべてのアクセス要求および再アクセス要請は、ID検証およびリソースの明示的必要性を検証した上で接続が可能とならなければなりません。上記2つの要因、いずれか一方でも満たさなければ、すべての相互作用は疑わしいものと判断し、毎回アクセス許可および遮断による利益とリスクを考慮して、権限を付与します。
ゼロトラストセキュリティを社内に導入するために、社内ネットワークシステム全体を入れ替えたり、新しいゼロトラストソリューションを大量に追加したりする必要はありません。ただし、既存のネットワークシステムのフレームワーク、セキュリティソリューションのセキュリティポリシーを改善および強化する必要があります。
ゼロトラストセキュリティを社内に導入するために必要な要素は、以下の通りです。
・IDおよびアクセス管理
・権限付与
・自動化されたセキュリティポリシーの設定
・アクセスおよびトランザクション認証システム
・継続的なリソースパッチの更新
・継続的なデータフローモニタリングとトランザクション分析
・人的エラーが発生しやすい単純作業の自動化
ゼロトラストが導入されると、逆に仕事を進めるのが面倒になると思っていませんか。実際には、そんなことはなくむしろ、業務の生産性改善に役立つ部分が多いです。
・悪性コードやハッキングを遮断し、内部情報流出を予防
・内部従業員および外部パートナー会社の安全な業務環境づくりが可能
・内部従業員の脱空間化、脱デバイス化できる業務環境を提供可能
・迅速な外部の業務用クラウド、SaaSの社内導入が可能
ゼロトラストを通じて、情報セキュリティの安定性が高まり、脆弱性が減るため、むしろ以前よりも柔軟で従業員一人ひとりに最適化された業務環境づくりが可能です。多様な働き方でも、セキュリティの安定性は保証されながら業務ができるようになります。
加速するデジタル化とリモートワーク、および協業などにより、ゼロトラストはもはや選択ではなく必須となりました。
