新型コロナウイルスの影響で、リモートワークを推奨する企業が増えてきました。そこで問題となっているのが、企業のセキュリティ対策です。外部での仕事が増えた昨今において、企業のセキュリティ対策は重要と言えます。そんな時代で注目されているのが「ゼロトラストセキュリティ」。
今回はゼロトラストセキュリティと、注目される背景についてご紹介します。
 |
目次 |
ゼロトラストセキュリティとは?
ゼロトラストセキュリティとは「すべてを信用しない」がコンセプトのセキュリティモデルです。従来のセキュリティでは「会社の内部は信用する、会社の外部は信用しない」というように、信用の境界線を設け、そこでアクセスできるかできないかを判断していました。そのため、一度「内部の人間だ」と判断されれば、その後は無条件でアクセスができます。これは「内部の人間には悪意がない」と全面的に信用されているということです。実際、悪意のある人間がいなければ、これでも問題ありません。
しかし、悪意のある人間が一度でもアクセスに成功したらどうでしょうか。その人間は「信用できる内部の人間」と認識され、情報を持ち出して悪用されたり、システムを破壊されたりする危険性があります。つまり、従来のセキュリティは、一度侵入されたら非常に脆いのです。クラウドやテレワークの利用が進み、データをクラウドに置いたり、ユーザーが自宅やモバイル端末からデータにアクセスしたりすることが増えた近年では、信用の境界線をどこに引くべきなのか、大幅に見直す必要があります。
ゼロトラストセキュリティは境界線を取り払い、内部でも外部でも信用せず、すべてを疑うという新しいセキュリティの考え方です。これにより、すべてのアクセスは「信用できない外部からのアクセス」と見なされ、セキュリティ対策の検討が必要なものとなり、より高い安全性を保つことができます。
例えば、内部からのアクセスでも無条件に信用せずすべての通信を 記録・可視化したり、モバイルやパソコンなどすべてのエンドポイントにセキュリティツールを導入したり、アクセスIDが退職者のものや不正なものではないかをチェックしたりするようなセキュリティ対策を行うことで、情報はもちろん、情報を扱う端末や通信を守ることことができます。
【関連記事】ネットワーク全面刷新によるゼロトラストセキュリティの構築 ~JBグループは回線コスト約80% 削減にも成功~
ゼロトラストセキュリティが注目される背景
情報化社会である現代でゼロトラストセキュリティが注目される理由は、主に下記の3つです。
社外での仕事の普及
2020年から流行している新型コロナウイルスの影響により、多くの企業でリモートワークが導入されました。これまで社内で行っていた仕事を自宅などで行うようになり、社外へパソコンを持ち出したり、個人のパソコンを使って仕事をしたりしている人も少なくありません。
しかし、こうした場所を選ばない働き方では、セキュリティの問題が発生します。外部からアクセスでき、なおかつ内部の情報も守れる強力で柔軟なセキュリティ対策が必要です。そのためにゼロトラストセキュリティが重要になるでしょう。
クラウドサービスの利用増加
クラウドサービスの利用が増えたことも、ゼロトラストセキュリティが注目される理由のひとつです。以前は社内で管理していた顧客情報や重要情報を、現在はクラウドサービスで管理・保管しているという企業も多いでしょう。
こうしたデータはサービスを提供しているサーバー上にあるため、社内のセキュリティだけを強化しても守れません。そのため、ゼロトラストセキュリティによる対策が必要です。
内部からの情報漏えい
先述したように、これまでのセキュリティは内部の人間をすべて信用していたため「情報漏えいは外部からの攻撃によるもの」という考え方が一般的でした。しかし、現在の情報漏えいは外部からの攻撃だけでなく、内部から起こることもあります。
情報処理推進機構(IPA)の「情報セキュリティ10大脅威2020」によると、組織における脅威の第2位が「内部不正による情報漏えい」となっています。実際、内部不正による情報漏えい事件をテレビや新聞で見たことがある人も多いのではないでしょうか。
こうした内部不正による情報漏えいは、外部攻撃への防御をいくら強化しても防げません。ゼロトラストセキュリティなら、ID/パスワード管理や挙動監視を強化し、内部不正にも対応できます。
ゼロトラストセキュリティのメリット・デメリット
ゼロトラストセキュリティのメリットは、何よりもセキュリティが強化されることです。内部も外部も関係なく疑うため、攻撃者が簡単にアクセスができないようになります。そのため、外部サービスでも安心して利用できるようになるでしょう。
また情報漏えいによる信用低下や、それを回復させるためのコストが不要になる点も大きなメリットです。情報漏えいによって信用を失うと、それを回復させるために多くの時間とお金、人材が必要となります。場合によっては損害賠償などで裁判沙汰となることも考えられます。ゼロトラストセキュリティでより強力に情報漏えいを防ぐことができれば、これらにかかる莫大なコストは必要なくなります。
一方で、導入や維持管理のコストがかかる、適用するためのスキルが必要、多要素認証を取り入れるなどによりユーザーが慣れるまで操作性が一時的に落ちるなどのデメリットもあります。
JBCCのゼロトラストセキュリティ構築の進め方
前述の通り、ゼロトラストセキュリティには下記の課題があります。
- 守る箇所が増えるため、セキュリティ要件を完全に満たすにはコストがかかる
- 守る箇所の優先順位をつけ、適切に導入・運用するには広範囲のセキュリティスキルが必要
- 運用が変わることで操作性が一時的に落ちる
これら課題の解決として、各企業での目指すクラウド利活用方法やテレワーク推進スケジュールなどといった、企業の成長に合わせて中長期的に推進していく必要があります。
そこで、JBCCでは現状のリスクを把握し、最適なロードマップをご提案するする見える化サービスを提供しています。
見える化サービスでは「通信の脅威」「クラウドの脅威」「テレワーク環境の脅威」「セキュリティ全般の脅威」という4つのカテゴリで現状把握をした後、それぞれの対応方針を策定し、どこから対策すべきかの優先順位付けまで実施します。
また、見える化サービスで提供する「現状把握・対応方針策定・優先順位付け」を元に、必要なセキュリティサービスの「実装」→「日々の運用」というサイクルでセキュリティを強化していきます。
【関連サービス】見える化サービス
JBCCのゼロトラスト構築の進め方
※画像をクリックすると拡大します
- 企業ごとに目指す姿を描く
- 対象範囲を選定して進めていく
- ビジネス成長にあわせ対象範囲を広げていく
このようにお客様の目指す姿やセキュリティ対策の進め方など、お客様のビジネス成長にあわせてコストやスキル面の不安を解消します。導入したら終わりではなく、日々の運用も含めてセキュリティ強化のサイクルを回すことで、お客様とともにゼロトラストセキュリティを推し進める各種サービスをご用意しております。
【事例資料ダウンロード】新日本製薬 株式会社 様 ゼロトラストで事業を加速する攻めのセキュリティを実現
まとめ
ゼロトラストセキュリティは、DX(デジタルトランスフォーメーション)に必要不可欠なものでもあります。DXを進めると、多くの新しいセキュリティ課題に行き当たりますが、ゼロトラストセキュリティでその多くが解決できることと思います。
こちらの記事も参考にしてみてください。
【関連記事】企業が抱えるクラウドセキュリティ対策とは?Azureを利用した解決策
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |
