セキュリティー対策に欠かせない「ゼロトラスト」を実現するために必要な7つの要件

さまざまなセキュリティーリスクが存在する現代では、従来の考え方を刷新し、『ゼロトラスト』に基づいて社内セキュリティーを構築する企業が増えてきました。これからのセキュリティー対策に欠かせないゼロトラストの考え方やポイント、注意点を解説します。

ゼロトラストとは？

ゼロトラストは『信頼しない』『信用できない』といった意味を持ちます。セキュリティー分野において2010年に提唱された概念です。まずは、ゼロトラストとはどのような考え方なのか、概要を理解しておきましょう。

ゼロトラストの考え方

ゼロトラストは、あらゆる物事を『信用しない』ことを前提として、セキュリティー対策を実践することを意味します。詳しくは『Verify and Never Trust（決して信用せず、必ず確認する）』を基本原則に、セキュリティーに関して、あらゆる面で検証して脅威を防ぐという考え方です。

これまでのセキュリティー対策では信頼できると見なしていた事柄に関しても、問題やトラブルが十分に起こり得ることを前提とします。ゼロトラストの下では、ネットワークに関するあらゆるリスクや脅威を検討し、強固なセキュリティー対策を施すのが基本方針です。

従来のセキュリティー対策との違い

従来のセキュリティー対策では、社内ネットワークの『内と外』を明確に分けて考えていました。

ネットワークの内側は自社でハンドリングできるため信頼できる一方で、ネットワークの外（つまりインターネット）は脅威度が高いため、しっかりとセキュリティー対策を取らなければならないという考え方です。

ゼロトラストに基づいたセキュリティー対策では、あらゆる通信を信頼しないことを基本として、暗号化や多段階認証など安全にネットワークを利用できる環境を構築します。

ネットワークの内か外かという概念ではなく、全ての通信はリスクをはらんでいるという前提で、あらゆる面で対策を実行する点が大きな違いです。

ゼロトラストが注目されている理由

(出典) pexels.com

近年は多くの企業が、従来型のセキュリティー対策からゼロトラストに方針を変更している傾向です。ゼロトラストが注目されている理由としては、以下の点が挙げられます。

クラウドサービスの主流化

さまざまなクラウドサービスが登場している昨今、これまで社内で運用していたシステムをクラウド環境に移行する企業が増えてきました。総務省の情報通信白書によれば、一部でもクラウドサービスを利用している企業の割合は、2020年の時点で68.7％にも上るようです。

特にクラウド型の営業管理システムや勤怠管理システムなどの導入により、業務に必要なデータを全てクラウド環境に保存する企業も増えています。

ネットワークの内と外という概念で分ける意味がなくなってきた状況が、ゼロトラストの考え方が広まった大きな要因といえるでしょう。

参考：総務省｜令和3年版 情報通信白書｜企業におけるクラウドサービスの利用動向

テレワークの一般化

近年は、テレワークを導入する企業が目立つようになりました。業務で利用する端末を社外に持ち出したり個人の端末をビジネス利用したりすることが増えた点も、ゼロトラストが重視されるようになった背景の一つです。

外部から社内システムにアクセスする人員が増えたために社内ネットワークとインターネットとの境界が曖昧になり、あらゆる通信のセキュリティーに配慮する必要が出てきました。

社員が利用するネットワークはもちろん、端末ごとのセキュリティー（エンドポイント・セキュリティー）への注力も求められています。

セキュリティーリスクの増大

個人情報の漏えいをはじめとしたセキュリティー事故が増えており、多くの企業が対策を根本的に見直す必要性を感じている点も、ゼロトラストが注目される理由として挙げられるでしょう。

不正アクセスやマルウエアの脅威は年々増しており、手口も巧妙になってきているため、従来の方法では対応できないケースも出てきました。

さらに、内部不正による情報漏えいも問題視されています。ネットワークの内・外という切り分けではなく、より広い視点で総合的にセキュリティーリスクを排除する取り組みが必要です。

ゼロトラストを実現するメリット

(出典) pexels.com

企業がゼロトラストに注力するメリットも確認しておきましょう。自社のセキュリティーレベルが向上するだけでなく、DXの加速や社外とのコラボレーションを実現するのにもゼロトラストが役立ちます。

自社のセキュリティーレベルが向上

ゼロトラストの考え方を取り入れれば、社内の情報管理体制の抜本的な見直しにつながり、組織全体のセキュリティーレベルが向上します。アクセス権限の徹底管理や多重認証の導入により、内部不正のリスクも軽減されるでしょう。

また、ゼロトラストによって必要な人員のみが必要なときだけアクセスする環境を実現できれば、万が一データの流出や情報漏えいが起こっても被害を最小限に抑えられます。従来のセキュリティー対策に比べて、原因の特定や対策がしやすい点もゼロトラスト実現のメリットです。

アクセス環境やDXの拡大

ゼロトラストが実現すれば、これまで以上にクラウドサービスを安全に利用できるようになり、場所を選ばずシステムにアクセスできる環境を整備できます。

特に2020年からは働き方改革に加え、新型コロナウイルス感染症拡大の影響により、テレワークや在宅ワーク・モバイルワークなどを導入する企業が増えています。業務効率化の観点からもゼロトラストの恩恵は大きいといえるでしょう。

また、クラウドサービスをはじめ、さまざまなIT技術をスムーズに利用できるようになるのもメリットです。企業のDX（デジタルトランスフォーメーション）の推進にも寄与します。DXはIT技術を活用して業務プロセスを改革し、競争優位を獲得するための取り組みです。

ゼロトラストに転換すればネットワークの内と外という概念がなくなり、クラウドサービスを含むさまざまなIT技術を柔軟に導入・運用できるようになります。組織のDXは自然と加速するでしょう。

社外とのコラボレーションが加速

ゼロトラストの考え方を取り入れる企業が増えれば、クラウドシステムをより積極的に導入・運用しようとする企業も増えます。社外とのコラボレーションの機会も増加するはずです。

たとえ最新のIT技術を用いて社内の業務効率を向上させても、取引先やクライアントがアナログ的な組織体制に固執している場合、ある程度は相手に合わせなければならないでしょう。そうなると業務上の無駄やムラが発生してしまい、効率的な運営の足かせになりかねません。

例えば、近年導入する企業が増えている電子契約は、相手先の同意がなければ結べない仕組みです。自社で電子契約に対応できる体制を構築しても、取引先によっては使えない場合があります。

しかし、ゼロトラストの考えが広まって多くのクラウドサービスが利用されるようになれば、企業同士がより簡便に連携できるようになるでしょう。互いに協力して新たな価値を創造できる可能性も高まります。

ゼロトラスト実現に必要な要素

(出典) pexels.com

ネットワークの境界に囚われない強固なセキュリティーを構築するためには、何が求められるのでしょうか？実現に欠かせない要素を見ていきましょう。

欠かせない7要件

ゼロトラストモデルを実現するためには、次の7要件が必要不可欠とされています。

• ネットワーク：端末ごとの承認や機密情報を安全に管理できる体制の構築
• デバイス：社員が利用する端末（デバイス）のセキュリティー保全
• アイデンティティ：システムにアクセスするためのID・パスワードの安全な管理
• ワークロード：社内で運用する全てのシステムの監視
• データ：内部情報の持ち出しと外的要因による情報漏えいの防止
• 可視化と分析：社内セキュリティーの可視化やリスクの分析
• 自動化：ゼロトラストモデルにおけるソリューションの自動化

これらの要件を満たすように社内体制を構築し、定期的に効果の検証と改善を繰り返す必要があります。企業によって注力すべき要件はさまざまなので、社内のセキュリティー体制を考慮し、優先順位を付けて取り組みましょう。

特に重要なソリューション

ゼロトラストを実現するためには、7要件を押さえた上で具体的なソリューションを打ち出す必要があります。さまざまなソリューションが考えられる中で、以下の四つはゼロトラストの運用において特に重要と考えられています。

• エンドポイント・セキュリティー：端末監視やデバイス管理ツール、資産管理ツールの導入など
• ネットワークセキュリティー：危険なサイトへのアクセス遮断や、アクセス制御システムの導入など
• クラウドセキュリティー：ID管理やクラウドアクセス管理など
• セキュリティー監視・運用：オペレーションセンターによる24時間365日のセキュリティー監視など

このようにゼロトラストのソリューションは、重要とされるものだけでも数多く提唱されています。ただ、どの企業にも即効性のある施策が存在するわけでありません。自社で必要なものを組み合わせて導入・実践することが重要です。

ゼロトラストの注意点

(出典) pexels.com

ゼロトラストにはさまざまなメリットがあることが分かりました。一方、運用する上でいくつかの注意点もあります。指摘されているデメリットを理解し、事前に対策を練っておきましょう。

導入にコストがかかる

ゼロトラストは、仕組みの実現に相応のコストがかかります。対象領域が広いため、うまく設計しなければコストが肥大化してしまう点に注意しましょう。

個々のソリューションを実現するには、専用の製品やサービスの導入が必要な場合が多くあります。最低限のセキュリティーを維持しながらも、どの部分から強化するのか決める動きが必要です。自社のセキュリティーの現状を客観的に把握し、優先順位を付けて取り組みましょう。

業務効率が下がる可能性がある

ゼロトラストを実現しようとすると、従来よりもシステムの運用に手間がかかる場合があります。例えば、社内のセキュリティーを維持するために、アクセスの承認・認証の数が増やさなければならない可能性があるでしょう。

システム管理者の手間が増えて、業務効率が下がってしまうかもしれません。

また、新規にシステムを導入する場合、社員が運用に慣れるまでは生産性が下がる可能性が考えられます。新しい仕組みやシステムの運用に対応できるように、社員教育に割くコストも必要です。

セキュリティー上のリスクは必ず残る

ゼロトラストを徹底して強固なセキュリティー体制を敷いたとしても、リスクをゼロにはできない点を認識しておきましょう。完璧なセキュリティーは存在しないことを前提に、定期的に仕組みの見直しや改善に取り組む姿勢が必要です。

また、セキュリティー分野の技術は日進月歩なので、常にアンテナを張っておく必要があります。安全にネットワークを運用できるシステムが登場したら、積極的に導入を検討してみましょう。

構成／編集部