「ゼロトラスト」を導入するうえで、大切なこととは？

前回、「ゼロトラスト」について、その背景等とともにご紹介しました。サイバー犯罪の発生件数が増え、また内部不正・内部犯行による情報漏えいも増加している中、自社が提供するシステムやネットワークのセキュリティをどう維持していくかは、これから独立開業するうえで大きな問題になると思います。

今回は、「ゼロトラスト」環境を導入するうえで大切なことは何か、導入によるメリットや働くメンバーへの影響とともに、ご紹介していきましょう。

必要な人に必要なだけのアクセスを

前回、「ゼロトラスト」とは何なのか、従来の境界型ではなく「ゼロトラスト」によるセキュリティ対策が重要視されているのはなぜなのか、ご紹介しました。

この「ゼロトラスト」のセキュリティ対策を導入する際に大切なのは、文字通り「ゼロトラスト＝すべて信頼しない」ことです。外部からの攻撃だけではなく、企業内の端末からアプリケーションや働いている従業員に至るまで、すべてを疑うことです。

たとえばネットワークへの「アクセス認証」で見てみると、以前までの「境界型」のセキュリティ対策では、クラウドサービス利用の増加等により「境界」が曖昧になってきているため、セキュリティを維持することが難しくなってきています。

そこで「ゼロトラスト」では、社内、社外に関わらず、ネットワークにアクセスしてきたすべてのデバイスに対してチェックします。
「すでに登録されているデバイスかどうか」
「使用されているIDは正しいか。外部漏えいされているIDではないか」
「アクセスしてきたデバイスのセキュリティ対策ソフトは最新版にアップデートされているか」
「アクセスしてきたデバイスはマルウェアやウイルスに感染していないか」
などをアクセスごとにチェックして「信頼できるもの」と「信頼できないもの」を判別し、安全が確認できたデバイスのみにアクセスを許可します。

また、アクセスするデータの種類や用途に応じてネットワークを分割し、ネットワークの境界においてアクセス認証などのセキュリティ対策を施すことも重要です。「何を守り、それはどこにあるのか」という対象を整理し、各境界において「誰に、何を許可するのか」を明確にしてアクセス制御を施すのです。

最近では社外からスマートフォンやノートパソコンを使って、オフィス外部のネットワークからアクセスするケースが増えています。これらのアクセスを社内からのアクセスであると見なして対策をとり、自衛手段を持つことも必要不可欠です。

「ゼロトラスト」導入の３つのメリット

「ゼロトラスト」では、上記のようにアクセスごとに「信頼できるかどうか」をチェックし、必要な人に必要なだけのアクセスを実現します。この方法には大きく３つのメリットがあると考えられます。

① データ流出リスクを軽減できる

各企業にとって一番の脅威は、自社だけでなく取引先や顧客のデータや機密情報が流出し不正に使用されることによって、自社の利益といった経済的な損失だけでなく、取引先や顧客の信用を失い、ビジネス継続にも大きな損害をもたらすことです。

サイバー攻撃も手口の巧妙化や高度な技術に変化している中で、従来のセキュリティ対策では補いきれなくなっています。また、社内であれば安全というネットワークはもはや存在しません。

「ゼロトラスト」を導入することで、正当なユーザーやデバイスのみのアプリケーションやデータへのアクセスしか許されず、不正アクセスやデータの漏洩といった企業が抱えるリスクを大幅に減少することが可能になります。

また、「ゼロトラスト」のネットワークではアクセスの度に「信頼できるもの」と「信頼できないもの」の評価がなされるので、その評価結果を把握・分析することで、仮に今までとは違ったアクセス方法などといった予防できないサイバー攻撃を受けた場合でも、いち早く特定し迅速な対応が可能です。

② システムの複雑さを軽減できる

従来の「境界型」のセキュリティ対策では、セキュリティシステムの構築が複雑でした。システムやネットワークを構築する環境によって必要となるソフトウェアが複数あり、またグローバルな環境で展開する場合は、地域を超えたシステムの構築が必要となり、複雑になることは避けられませんでした。

「ゼロトラスト」はクラウドベースなので、仮にグローバル展開を望む場合でも企業のシステムはシンプルな構築で万全なセキュリティ環境を作ることが可能です。すべての機能がクラウドサービス内で構築できるため、従来に比べてシステムの複雑さは大幅に軽減できます。

また規模の縮小や拡大などといった問題にもスピーディーに対応できるため、従来の「境界型」のセキュリティ対策に比べて負担を軽減できます。

③ セキュリティ担当の業務負荷を軽減できる

近年、各社のシステムやネットワークに対するサイバー攻撃の手口が巧妙化しており、またその発生件数も増加しているため、従来のセキュリティシステムでは、セキュリティ担当の作業負荷が高まり、セキュリティの管理が難しくなってきています。

「ゼロトラスト」では、クラウドサービス内にある機能を使いセキュリティシステムを構成するため、継続的なモニタリングやトラブルシューティング、アップグレードなどといった作業を行わなくても良くなります。そのためセキュリティ担当者の業務負担が大幅に軽減され、他の業務に取り組みやすい環境を作ることが可能になります。

「ゼロトラスト」導入にはデメリットも

上記のように、現時点で「ゼロトラスト」導入についてはメリットの方が大きく、あまりデメリットについては注目されていません。しかし、デメリットが全くないわけではありません。

「ゼロトラスト」では、ネットワークを利用するその時点で「信頼できるもの」と「信頼できないもの」を判別し、信頼できるものに対してアクセス権限が与えられます。しかしここで区別する「信頼性」は不変なものではないことを押さえる必要があります。

一度信頼できると判断されたものが、将来にわたって無条件に信頼できるものであるわけではありません。どのようなものであっても、セキュリティ上のリスクは残存するものです。信頼できると判断されたものの残存リスクと向き合う必要があることが「ゼロトラスト」のデメリットの1つだと思います。

また、「すべてを信頼しない」という立場から、社内から外部サイトへのアクセスの制限、外部から社内へのアクセス制限、添付ファイルの禁止などのセキュリティ対策を行うことが考えられます。しかし業務を遂行するうえでは、このセキュリティ対策に費やす時間と手間が膨大にかかってしまうと、逆に利便性を大きく損なうことが考えられます。

以前から、セキュリティ対策には安全性と利便性が相反するというデメリットがありましたが、「ゼロトラス」導入により、そのデメリットが強く表出する可能性があります。

既存環境との共生を図りながら、より効果的に導入できるかどうかが、「ゼロトラスト」導入の鍵だと考えられます。

「ゼロトラスト」導入でメンバーの業務効率を高めよう

先ほどご説明したように、「ゼロトラスト」の環境下では、すべてのユーザーとデバイスからのアクセスに対して認証を求めます。そのため、安全性さえ確認できれば、アクセスする場所は問いません。社内、社外に関わらず、どこの場所にいてもアクセスし、仕事ができます。

クライアント訪問など外出する機会が多い営業スタッフや、自宅で作業することも多いエンジニア、デザイナーなど、社外環境からアクセスしたいメンバーにとっては、「ゼロトラスト」導入により業務効率を向上することができます。

メンバーにとっては自宅やサテライトオフィスなど自身の好きな場所からネットワークにアクセスし仕事ができるので、職場の人間関係など気を遣う必要がなく、自分の作業に集中ができます。自分のペースで仕事を進められるのは、体力的にも精神的にも良い影響を及ぼすでしょう。

また、通勤の必要性がなくなるので、職場から遠い地域に住んでいるメンバーは体力の消耗やストレスの増大を避けられます。これまでオフィスへの出勤が求められていた職業にもテレワークの導入が加速することも考えられます。

今後独立開業する際には、この「ゼロトラスト」導入によって働くメンバーの業務効率向上が実現できるよう、検討していきましょう。