昨今の働き方改革や新型コロナウイルスの影響により、各企業ではテレワークが急速に進んでいます。従業員が自宅等の社外で仕事をする上で各企業が心配になるのが、ネットワークのセキュリティです。これから独立開業して事業を進めていく上で、このネットワーク問題にどう対応するかは重要な問題になると思います。
そんな中、最近になって注目されているのが「ゼロトラスト」です。ここでは、「ゼロトラスト」とは何なのか、ご紹介していきましょう。
信頼(トラスト)がゼロのセキュリティ戦略
「ゼロトラスト」は、2010年にアメリカの調査会社フォレスターリサーチ(Forrester Research)社により提唱された次世代ネットワークのセキュリティソリューションです。社内ネットワークと社外ネットワーク、すべてのネットワーク環境を対象にした存在であることから、「ゼロトラストネットワーク」とも呼ばれています。
「完全に信頼できるものはなにひとつ無い(=ゼロトラスト)」という考え方が「ゼロトラスト」のコンセプト。企業の外部からの攻撃だけではなく、企業内の端末からアプリケーションや働いている従業員に至るまで、ありとあらゆる内部の物事についても脅威の可能性となる対象として捉えます。そして「すべてのデバイスにおいてはトラフィックの検査やログの取得を行う」という性悪説に基づいたアプローチを採用しています。
「境界」を厳格に守るセキュリティ対策では限界に
「ゼロトラスト」という考え方が重要視され始める以前は、「社内にある端末はすべて安全であり、企業にとって脅威となるものは基本的に外部から侵入してくる」という考え方のもと、社内と社外の間の「境界」にファイアウォールやIPS(Intrusion Prevention System:侵入防止システム)、IDS(Intrusion Detection System:侵入検知システム)などのセキュリティ対策を行う「境界型」のセキュリティ対策が主流でした。
しかし現在では、社内外の環境変化により、「内部と外部の境界さえ厳格に守っておけば、企業にとって脅威となる事態は起こりえない」というセキュリティ対策方法だけでは限界がきていると考えられています。
「ゼロトラスト」が注目を集める3つの理由
では、従来の境界型セキュリティソリューションに替わり「ゼロトラスト」が注目を集めているのはなぜでしょうか。そこには、大きく以下の3つの理由があります。
① サイバー犯罪の増加
「ゼロトラスト」が注目を集める理由のひとつが、ここ数年でサイバー犯罪の発生件数が増えていることです。
警視庁の調査によると、2015年のサイバー犯罪の検挙数は8,096件でしたが、2019年には9,519件と、4年で約1,400件増加しています。
令和元年におけるサイバー空間をめぐる脅威の情勢等について
http://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_cyber_jousei.pdf
また内部不正・内部犯行による情報漏えいも増加しています。企業を退職した人が退職する際に重要な機密情報を一緒に持ち去って競合他社に転職したり、現職の人がお金目的に情報を売ったりするケースも年々増加しています。
各企業では、このようなサイバー犯罪から自社の情報をどう保護していくか、その対応が非常に重要になっています。
② クラウドサービス利用の増加
「ゼロトラスト」が注目を集める2つ目の理由が、クラウドサービス利用の増加です。
総務省が発表したデータによると、2018年の時点で約60%の企業が何らかの形でクラウドサービスを利用しているそうです。
インターネット上にデータを置くことが主体となるクラウドサービスを導入する企業が増えたことで、社外でオンライン利用する端末数が増えました。すると「社内にある端末はすべて安全」「内部と外部の境界さえ厳格に守っておけば、企業にとって脅威となる事態は起こりえない」と考えていた各企業の対応に変化が生まれます。クラウドサービス利用が増えることで「外部」と「内部」、およびその「境界」が非常に曖昧になるため、従来の境界型セキュリティだけでは完全に機密情報を守ることが難しい、と考えるようになったのです。
そのため「境界は曖昧になっていて、内部も外部もすべてが脅威の対象である」というゼロトラストのセキュリティ対策の重要性が、必然的に増してきています。
③ テレワークの急速な増加
「ゼロトラスト」が注目を集める3つ目の理由は、テレワークの急速な増加です。
新型コロナウイルスの影響により、各企業ではテレワークの導入が急速に推進されました。そのため、今までセキュリティについてさほど携わらなくてもよかった従業員も、自宅や出先などの外部からスマートフォンやノートパソコンを通じての情報アクセスが当たり前となってきています。
「内部は安全だ」という神話も完全に崩壊しているのが現在の社会状況であり、内部を含んだセキュリティ対策が早急に必要とされています。
「ゼロトラスト」のセキュリティ対策を、今から準備しておこう
ここまで、「ゼロトラスト」とは何なのか、従来の境界型ではなく「ゼロトラスト」によるセキュリティ対策が重要視されているのはなぜなのか、ご紹介してきました。
国内では、クラウドの業務活用の伸展や働き方改革の推進が進められた2018年ごろから、「境界は曖昧になっていて、内部も外部もすべてが脅威の対象である」というゼロトラストによるセキュリティ対策の重要性が高まり始めたと言われています。
今後独立開業し事業を進めていく時には、従業員がテレワークで働くことが普通になっており、クラウドサービスの利用頻度も高まっていることが予想されます。そのため、クラウド環境下での情報セキュリティ維持が、より重要な問題になっていると思います。
今から「ゼロトラストネットワーク」の導入を視野に、より安全なネットワーク構築を準備していきましょう。
