コロナ禍によりリモートワーク導入企業が急増し、週何回かはリモートワークにしているというハイブリッドワークを取り入れている企業も多いようです。
ただしこういった働き方の変化によって、想定していなかったセキュリティリスクが懸念されることになりました。
従来型のセキュリティモデルでは対応できないこともあり、「何も信頼しない」という前提のゼロトラストセキュリティモデルが注目を集めています。
この記事ではゼロトラストセキュリティの基礎知識から中小企業が対応するべきことなど、現在のセキュリティ対策に不安を感じているという経営者や情シス、社内SEの方向けの内容を解説していきます。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
Contents
ゼロトラストセキュリティとは?
ゼロトラストセキュリティモデルとは、リモートワーク・ハイブリッドワークなどが一般的になりつつある現代で重要視されているセキュリティの概念です。「Verify and Never Trust」という考えのもとに広められています。
その名の通り「何も信用せずにセキュリティチェックを行うこと」を指しており、この場合の何も信用せずにチェックするというのは「あらゆるネットワーク接続やアクセス権限等を確認して問題がないか確認すること」です。
- 情報のクラウド管理が増えた
- 社外からの従業員アクセスが増えた
- PC・スマートフォンといったように接続機器が多様化している
といった働き方の変化によって、従来のセキュリティ管理では対策に穴が出るようになってきました。こういった状況でゼロトラストセキュリティモデルを導入することで、働き方が多様化してセキュリティの境界があいまいになっても確実にセキュリティ課題へ対応できるようになるでしょう。
従来型セキュリティモデルとの違い
従来型のセキュリティモデルは、「境界型セキュリティモデル」と呼ばれていました。これは社内でインターネットアクセスを行いシステムを利用するのが基本のクローズドな環境では効率的なセキュリティモデルでした。
境界型セキュリティモデルでは、「Trust But Verify」という考えのもと社内の環境を安全なものという前提でチェックを行います。そして社外環境との間に境界を設けて、外部は危険という考えでインシデントへ対応するのがポイントです。
具体的には
- システムへのファイアウォールの導入
- 社外環境に対するVPNアクセスの利用
- 外部アクセスに関する不正行為のチェック
といった対策でセキュリティが確保されてきました。
しかし次のような背景によって、従来型の境界型セキュリティモデルは完ぺきなものではなくなっています。それによって穴が少ないゼロトラストセキュリティモデルが注目されているのです。
ゼロトラストセキュリティが注目されている理由
ゼロトラストセキュリティモデルが注目されているのは、次のような背景があるからです。
リモートワークといった働き方の多様化
リモートワーク・ハイブリッドワークといった働き方の多様化によって、「社内環境を従来使っていた従業員が、社外からアクセスするパターン」が増えています。こういったパターンに境界型セキュリティモデルは細かく対応しておらず、対策がおろそかになりがちです。
- 週3日はリモートワークをしている
- ほぼ毎日リモートワークをしている
- スマートフォン等で出先から資料をクラウドで確認している
といった状況で完全な対策を行うには、面倒ですがあらゆるアクセスをチェックして確認するゼロトラストセキュリティモデルが重要になってきます。
境界をきちんと分けにくくなった今だからこそ、ゼロトラストセキュリティモデルが有効になるでしょう。
クラウドへの情報保存および活用が増えた
近年ではさまざまなクラウドサービスが登場しており、中小企業では特にコスト削減といった観点から導入する事例が増えています。クラウドサービスだとインターネット上に環境があるのでリモートワークなどにも対応しやすく、保守・運用に関する手間も減ります。
ただしよいことばかりではなく、設定等をおろそかにしていると保存している情報がハッキングによって漏洩する、といったリスクが発生する可能性があります。また社内で細かいセキュリティ対策を行いにくい背景もあり、サービスを運営している企業側への信頼度調査も必要になってくる点もポイントです。
こういった中でゼロトラストセキュリティモデルを導入することで、クラウド利用が増えても安全に対応して情報を活用できるのがメリットです。
社内環境でセキュリティ問題が起きる可能性も増えた
残念ながら従業員もゼロトラストの観点で見る必要があります。というのも社内のヒューマンエラーや不正行為によって、企業が被害を受けるリスクが増えてきたからです。
- 間違って違う相手にクラウドでメールを送ってしまった
- Webブラウザーで誤って怪しい広告をクリックしてしまった
- USBメモリを自宅に持ち帰って意図的に情報漏洩させた人間が出た
といった問題によって、企業の信頼度が落ちると大きなダメージとなってしまいます。
こういった被害を防ぐためには、
- メールの送り方など基本的な対応をマニュアル化しておく
- 怪しい広告への対応などリテラシーに関する研修を行う
- 社外へ情報を持ち帰れないようなシステム構築をする
といった対応ができると安心です。
ゼロトラストセキュリティモデルによって、上記のような対策にも目が行きやすくなります。
ゼロトラストセキュリティのメリット・デメリット
続いてはゼロトラストセキュリティモデルのメリット・デメリットをご紹介していきます。
ゼロトラストセキュリティモデルのメリット
ゼロトラストセキュリティモデルのメリットは次の通りです。
- 社外アクセスやクラウド利用があっても安全
- VPN・ファイアウォール等の設定が必要ない
- DX推進を行う際も安全
ゼロトラストセキュリティモデルでは社外アクセスやクラウド利用があっても安全です。ネットワークやデジタル機器ごとに細かくセキュリティチェックを行うゼロトラストセキュリティモデルであれば、どんな環境からの社内システム利用があってもインシデントが起こるリスクが低くなるからです。
またゼロトラストセキュリティモデルの考えでは、必ずしもVPN・ファイアウォール等の設定が必要ありません。VPN・ファイアウォールは専用の知識・スキルがないとセキュリティ設定するのが難しいデメリットがありました。ゼロトラストセキュリティモデルの場合は専用のソリューションが企業から提供されており、そういったソリューションを利用すればすぐにセキュリティ体制を構築できるようになっているのがポイントです。複雑な設定が必要なくスムーズにセキュリティ問題へ対応可能になっています。
さらにDXを推進する際も、境界型セキュリティモデルでは対応できなかったセキュリティ問題が解決して対策を進めやすくなる点もメリットです。デジタルデータを従来より利活用していくDX実現の際は、ゼロトラストセキュリティモデルの考えが当たり前になってくる可能性が高いです。
ゼロトラストセキュリティモデルのデメリット
ゼロトラストセキュリティモデルには次のような注意点があります。
- セキュリティ体制を構築するのに費用が掛かる
- 業務効率化が低下してしまうケースもある
ゼロトラストセキュリティモデルへ対応するためには、新しいソリューションの利用および設定が必要になります。設定の手間自体はVPN・ファイアウォールなどに比べれば掛かりませんが、どうしても初期導入費・運用費などを考える必要性が出てくるでしょう。DXの予算にソリューションの導入費・運用費などを入れる、といった対応で十分なコストを掛けられるようにしておきましょう。
またゼロトラストセキュリティモデルのせいで、業務効率化が低下してしまうケースもあります。たとえば
- 1アクセス・1セッションごとにいちいち複数段階認証を実施する
- クラウドサービス自体を使わないようにする
といった対応を取ると、認証が面倒でシステムが使いにくくなったりクラウドサービスによる生産性上昇ができなくなる、といったデメリットが出てきます。
ゼロトラストセキュリティモデルと業務効率性のバランスを取れるよう、認証回数やクラウドサービスの導入方法などを工夫する必要があるでしょう。
ゼロトラストセキュリティを実現するために必要なこと
ゼロトラストセキュリティモデルを実現するためには、まず次の要件をチェックしておくことが必要です。
- デバイスのOSセキュリティを確保してマルウェア対策等を行う
- 社内ネットワークへのアクセスは端末レベルで確認を行い不正アクセス対策を行う
- IDやパスワードを管理しながら情報変更・権限管理等を行う
- クラウドサービスといったシステム全体の把握および管理を行う
- 情報資産管理および漏洩の防止等を行う・また社内研修などでリテラシーを確保する
- セキュリティ状況を可視化・サイバー攻撃への対応を行う
- セキュリティ運用・対策をなるべく自動化できるようにシステム構築を行う
ゼロトラストセキュリティモデルではチェック数が膨大になるため、基本的なシステムを構築する中でいかに対策を自動化できるかが焦点になってきます。外部のソリューションも使いながら、ぜひ上記の要件を一通りクリアしているセキュリティシステムを構築できたか確認してみてください。
ゼロトラストセキュリティを実現する際の注意点とは
ゼロトラストセキュリティモデルを実現する際は、次の点に注意しておきましょう。
・対応に関する計画策定および見直しを行う
・セキュリティが確保されているか細かくチェックする
・運用に関して関係者への了解を取る
まず対応に関してしっかりした計画を立てて、端末ごとへのセキュリティ対応などを実施する必要があります。そして時代変化や企業成長などに応じて、見直しを図るのも重要です。
またセキュリティが確保されているのか、管理画面等からチェックを入れる必要もあります。特に最初は通常時にもシステムがしっかり起動してセキュリティが確保されているかどうか、細かく確認する必要性があります。
さらに運用に関して負担が掛からないよう、また協力してもらえるように関係者への了解を取っておくのも重要です。人員変更や適応範囲拡大といった状況によって、逐一了解を取り直すことも検討してみてください。
まとめ
今回の記事ではゼロトラストセキュリティの基礎について、なぜ注目されているのかなどを解説してきました。
社内から、自宅からと働き方が多様化している現在では、これまでのセキュリティ対策では対処できません。しかし多くの中小企業のセキュリティ対策は不足していたり、「今何もおきていないのだから心配ない。」と経営者に危機感がなかったりといった課題が発生しています。
サイバー攻撃を受けて情報漏洩などの被害にあってしまうと、信頼を失ってしまうことになります。何かが起こってからでは遅いということを理解しておくことが大切です。
「すべてを信頼しない」という前提のゼロトラストセキュリティは、今後のセキュリティ対策の基本モデルとして浸透していくものと思われます。
企業もゼロトラストセキュリティに適応していくことが求められるようになるでしょう。
