JP
どうすればゼロトラストが導入できるのか”と悩む企業に向けたテキスト
「ゼロトラスト」とは、2010 年にアメリカの調査会社フォレスターリサーチが提唱した、セキュリティ対策に関する新たな概念です。
当時のセキュリティ対策といえば、信頼できる「内側」のネットワークと信頼できない「外側」のネットワークに分けて、「境界内のネットワークは安全で、境界外のネットワークは危険」とする考え⽅がスタンダードでした。しかしゼロトラストは、「たとえ境界内部であっても無条件に信⽤せず、全てにおいて確認し、認証・認可を⾏う」という考えに基づいたセキュリティです。
冒頭で挙げた「ゼロトラストのすゝめ」(※)の資料によると、新型コロナウィルス感染症の流行によるテレワークの流行、およびビジネスシーンにおけるDXの推進によるクラウドサービスの利用増にともなって、ゼロトラストによるセキュリティ対策に注⽬が⾼まっているといいます。
(※) 独立行政法人 情報処理推進機構「ゼロトラストのすゝめ」
クラウドサービスの普及によって、社外でもPCを使ってデータにアクセスすることは当たり前となりました。そのため、企業システムの内部と外部を隔てる「境界」そのものが曖昧になり、従来の境界内のネットワークを守るだけのセキュリティ対策では通用しなくなっています。その結果、自社のネットワークの外にも存在する情報資産を守るための対策として、ゼロトラストが注目されるようになったというわけです。
もちろん、ゼロトラストな状態をいざ構築しようとしても、どう着手してよいのか分からない企業は多いでしょう。ゼロトラストのすゝめは、そのような“どうすればゼロトラストが導入できるのか”と悩む企業に向けられたテキストとなります。
ゼロトラストで最も重要なのは「ID管理」
「ゼロトラストのすゝめ」にて、“ゼロトラストの概念を実装するにあたり、最も重要と言える”と指摘されているのが「ID管理」です。なぜなら、「そもそも信頼できるネットワークが存在しない」というゼロトラストの考え方においては、誰がアクセスしようとしているのかを識別し、認証・認可を⾏うことが必要だからです。
ID管理が適切に行われていない場合、たとえばすでに退職した従業員のアカウントが悪⽤され、機密ファイルが持ち出しされるような事態に繋がりかねません。
とはいえ、ID管理は簡単なことではありません。IDはクラウドサービスごとに発行されるため、サービス別に ID管理を⾏うとなると、IT担当者の負担は⾮常に⼤きくなります。資料ではこうした事態を避けるために、ID 管理は可能な限り⼀元化された状態で⾏われるべき、としています。
ID管理の問題を解決する手法としては、あらゆるシステム・サービスのIDをクラウドで一元管理する「IDaaS」や、ユーザーが⼀度 IDaaS から認証を受けることで、さまざまなサービスへのサインインをパスワード⼊⼒なしで⾏うことができる「SSO (Single Sign On)」などのサービスがあります。資料では、こうしたサービスを導入することで、組織全体のID管理業務負荷が軽減し、ID削除の対応漏れの発⽣リスクが低減できるとしています。
何のためにゼロトラストを導入するのか?
しかし、「ゼロトラストのすゝめ」で取り上げられている世界のゼロトラストの導入状況に関する調査を見ると、世界の多くの企業がゼロトラストの必要性を感じているものの、実際に導入するとなると、困難を感じている企業は多いようです。では、どうすればゼロトラストに移行できるのでしょうか。
「ゼロトラストのすゝめ」では、そのための重要なポイントとして、何を解決するためにゼロトラストという戦術を使うのかを明確にすることを挙げています。この部分がはっきりしないままプロジェクトを推進すると、「ゼロトラストに移⾏すること」自体が⽬的化してしまい、組織の課題に沿ったゼロトラストにならない可能性があるといいます。
加えて、ゼロトラストは単なるセキュリティ対策というよりも、ユーザーの利便性や運⽤の効率化の観点が重要なため、組織全体の IT 戦略の一つとして推進すべき、とも指摘されています。
さらに、経営者のゼロトラストに対する理解も大きな要素の一つです。経営者自身が組織のリスクや目指すべき姿を見極め、トップダウンでプロジェクトを推進している組織ほど、プロジェクトが円滑に進みやすいとしています。
ゼロトラストをまだ導入していない企業は多いかもしれませんが、クラウドの利用が当たり前になりつつある今、ゼロトラストを知らないままでいるのは、セキュリティの観点でもデメリットは大きいといえます。まずは「ゼロトラストのすゝめ」の資料を一読し、ゼロトラストの概念を理解することからはじめてみることをおすすめします。
※本記事は2022年9月時点の情報を元に作成されています。
