“守るべき範囲を決めない”ゼロトラスト・アーキテクチャの導入

カテゴリー： 組織・人事, 会計・法務

公開日 2020.11.10

直近のサイバーインシデントの トレンド

世界のビジネス環境は、デジタル化、IoTの進展、働き方改革、エコシステムの進展などにより、あらゆる場所・人・モノの繋がりが広がり、顧客や社外とのデータアクセス頻度・量共に劇的に増加し、取り巻くセキュリティ環境の前提は大きく変化しています。そしてそれに伴い、ハッカーによる攻撃もよりグローバルかつ複雑化・深刻化しており、セキュリティ対策に多大な工数と予算が見積もられているのが実情です。

例えばある企業では、セキュリティが整っていない海外現地法人のサーバ経由で、国を跨っての攻撃を受けて情報漏洩が発生しました。

また、タイの公衆衛生省はサラブリ病院でのランサムウェア攻撃を受けて、長期的なセキュリティと将来の侵害防止のために、全国の公衆衛生省が運営する病院に保管されているデータを保護できるセキュリティシステムの設置に19億バーツの予算を確保すると述べるなど、かつてない規模の投資が見込まれています。

セキュリティ環境の問題点

企業のセキュリティ環境に関する問題点は、

①決められない守るべき範囲
②不明確な役責分界点
③深刻化する外部サイバー攻撃の脅威
④脅かされるお客様の安全リスク
⑤厳格化する関連法規

の５つに整理されますが、本稿では①の〝決められない守るべき範囲〟に注目します。

先にも述べましたが、リモートワークの一般化や外部連携の増加で際限なく〝繋がり〟が広がり、データの収受やシステム連携が益々加速化し、外部からのサイバー攻撃の脅威を前にありとあらゆるところでデータがやり取りされています。

企業間連携や個人との繋がり密度の高まりを受けて、セキュリティ境界面の定義が困難となり守るべき範囲を定義できず、いくらでも侵入する隙間が生じてしまう際にどのような対策をすべきか考えてみましょう。

「信頼しない」前提に立ったゼロトラスト・アーキテクチャ

複雑かつ広範な対応を求められるサイバー対策において、流れるトラフィックを「信頼しない」前提に立った対策があります。それはゼロトラスト・アーキテクチャ（ＺＴＡ）と呼ばれ、その名の通り「信頼しない」こと、つまり「毎回認証・検証すること」を基本的な考え方としています。端末の接続ネットワークが社内ＬＡＮであろうとインターネットであろうと、手放しで信頼することはありません。

裏を返せば、社内ＬＡＮに接続されていないユーザーやデバイス（社外の関係者やリモートワーカー）であっても、同様の安全性を担保することが可能になるわけです。これは、接続元ネットワークを問わず、統合的にユーザーやデバイスおよびコンテキストに基づき認証・認可を行うことで実現されます。ゼロトラスト化により、安定・安全かつ柔軟なＩＴインフラを実現可能です。

これだけ聞くと極めてシンプルな思想でありますが、ここまで広範になったシステム環境を全てこのＺＴＡに置き換えるのは一大プロジェクトとなります。そのためにもＺＴＡ導入に際して押さえるべきポイントを紹介します。

ＺＴＡへの変革に向けた検討事項

ＺＴＡは概念であるため、特定の機能を持つソリューションや製品を指すものではありません。既存の構成に何かを組み込んで終わりというものではなく、「どうやってＺＴＡを実現するか」という、自社なりの解釈が必要です。

まずは自社におけるＩＴのユースケースや働き方などに関する未来像を描き、その実現手段としてＺＴＡが適切であるか、どこから着手するべきかを吟味する必要があります。その後で、自社の現有資産などを考慮しつつそれを実現するためのソリューション・製品を選定するべきです。

ゼロトラスト化はＩＴシステムを変えるのみならず自社のセキュリティやＩＴの使い方・働き方をも変革し得るものであり、一朝一夕に導入できるものでもありません。しかしながら、ゼロトラスト化は近年のＩＴインフラへの要求の変化に合致するものであり、安全かつ柔軟なＩＴインフラの実現を可能にするものと考えます。

セキュリティ対策の一つの在り方として、社内外のステークホルダーと検討してみてはいかがでしょうか。