DXの大前提「ゼロトラストセキュリティ」とは
働き方改革やデジタル化が進み、近年はリモートワークなど社外での勤務も増えてきています。
こうした変化は、もちろんメリットはあるものの、経営側からするとセキュリティリスクなどの面で不安が大きいのも事実です。
今回は、昨今注目を集めている「ゼロトラストセキュリティ」という概念についてご説明します。
ゼロトラストセキュリティとは
ゼロトラストとは、「ゼロ(zero)=全くない」「トラスト(trust)=信用する」というその名が示す通り、「データに対して全てのアクセスを全く信用しない」という前提を持ったセキュリティ概念です。
この概念は2010年、アメリカの市場調査会社・フォレスターリサーチによって提唱されました。
ゼロトラストを前提にしたセキュリティでは、すべてのアクセスに対してリスクがあると疑い、次のような観点からチェックを行います。
●アクセスしたユーザーや端末は事前に許可されているものか
●アクセスされたロケーションは通常時とは異なっていないか
●不審な振る舞い、動作が発生していないか
●アクセスに使用している端末はウイルスに感染していないか
これらのチェックを通過し、脅威ではないと判断されたアクセスのみを信用することで、情報の漏洩やクラッシュなどからシステムやデータを守るのが、ゼロトラストセキュリティなのです。
ゼロトラストはなぜ広まったのか
ゼロトラストセキュリティの概念は、まだ新しいものです。この概念が普及した背景には、従来のセキュリティシステムでは対応できない、昨今の社会変化が大きく影響しています。
これまでの社会では「仕事は社内で行うもの」という考えが一般的でした。そのため、社内と社外の間に境界線を引き、社内デバイスからのアクセスのみ原則として許可する「境界型セキュリティ」が中心だったのです。
しかし、クラウドサービスの利用が増加し、リモートワークが普及した近年では、社内だけのセキュリティを高めても思うような効果は期待できません。
また、時代とともにセキュリティへの攻撃も高度化・複雑化しています。アカウントを偽って社内システムに侵入したり、端末にウイルスを仕込んで社内システムに潜り込んだりといった攻撃方法もよく耳にするようになりました。つまり、これまでは安全だと考えられていた社内環境でさえも、リスクを考える必要がでてきているのです。
これらの要因が、社内・社外といった状況を問わず、端末やアカウント、アクセスをすべてチェックして脅威を洗い出す「ゼロトラストセキュリティ」が注目され始めた背景です。
ゼロトラストのメリット・デメリット
ゼロトラストを導入するには、メリットとデメリットが存在します。
まず最大のメリットは、頑強なセキュリティが構築できることです。複雑で対処が難しいサイバー攻撃にも対応できるほか、リモートワーク移行時に重要となるクラウドシステムも安全に利用することが可能になります。
もう一つのメリットとして、好きな端末でどこからでもアクセスが可能であることが挙げられます。ゼロトラストでは基本的にすべての端末、ネットワーク、アクセスにチェックがかかるため、従来のような「社内のみアクセス可能」「指定端末のみ使用可能」といった縛りはなくなります。これによって社員の使い慣れた端末、作業しやすい場所からのアクセスも可能となり、仕事の効率にも良い影響を及ぼせるでしょう。
一方で、ゼロトラストの導入時にはデメリットもあります。
まず、コスト面です。ゼロトラストはVPNやファイアウォールといった複雑な設定が必要ない反面、自社で一からセキュリティ構築を行うとある程度の費用負担が必要となります。セキュリティ対策を強化する部分の仕分けやソリューションの活用などを行い、効果とコストが釣り合う方法を探っていく必要はあるでしょう。
また、「何も信用しない」という概念の捉え方にも注意が必要です。社内でこの概念への捉え方に差ができてしまうと、クラウドの使用可否や過度なセキュリティ設定などで利便性を損なう原因になってしまうというデメリットが生じてしまいます。まずは社内で共通の認識を持ち、自社に合った方向性を見出していくことが大切です。
まとめ
今回はゼロトラストセキュリティについてご紹介しました。
クラウドシステムの登場やリモートワークの普及など、従来のセキュリティ概念では追いつけないほどに仕事をとりまく環境は変化しています。正しく情報を守っていくために、まずはしっかりとしたセキュリティシステムを築いていきましょう。