近年、さまざまな産業で「DX(デジタルトランスフォーメーション)」の実現が喫緊の経営課題となっています。そして、DX時代における次世代型のセキュリティモデルとして注目を集めているのが「ゼロトラストセキュリティ」です。本記事では、DX時代に求められるゼロトラストセキュリティの概要や特徴について詳しく解説します。
ゼロトラストとは?
ゼロトラストとは、2010年にフォレスターリサーチ社のジョン・キンダーバーグ氏によって提唱された、ネットワークセキュリティにおける概念を指します。「ネットワークの内外を問わず、すべてのトラフィックやリクエストを信頼しない」という考え方に基づき、より厳格かつ強固なユーザー認証やデバイス認証によって組織の情報資産を保護するセキュリティモデルです。
従来は社内ネットワークとインターネットの結節点にファイアウォールを設置し、境界の内側への侵入を阻止することで情報資産を保護するというセキュリティモデルが一般的でした。しかし、近年はクラウドサービスやテレワーク制度の普及によって、社内ネットワークにおける内外の概念が希薄化しており、従来のセキュリティモデルは時代遅れになりつつあります。
そこで必要とされているのが、多要素認証やアクセス制御、エンドポイントセキュリティやインシデントの自動検知など、ゼロトラストの概念に基づくセキュリティモデルの導入です。ネットワークの内外を問わずインシデントを監視・制御するゼロトラストセキュリティは、DX時代に即した情報管理体制を構築するために欠かせないモデルとして注目を集めています。
ゼロトラストセキュリティがDX推進で必要な理由
現在、日本は少子高齢化が深刻な社会問題となっており、生産年齢人口も下降の一途を辿っています。このような時代において企業が市場の競争優位性を確立するためには、いかにして効率的な生産体制を構築するかが重要と言えるでしょう。そこで求められているのが、IoTやAI、クラウドサービスといったデジタル技術の活用によるDXの実現です。
そして、高度なデジタル技術を戦略的かつ効率的に運用していくためには、これまで以上に堅牢なセキュリティ体制を整備しなくてはなりません。先述したように従来のセキュリティモデルは時代遅れになりつつあり、DXを推進していく上でゼロトラストは不可欠なセキュリティモデルと言えます。そして、情報セキュリティ対策をゼロトラストに転換することで、以下のようなメリットを組織にもたらします。
生産性向上
ゼロトラストセキュリティを構築する上で不可欠なセキュリティソリューションと言えるのが「SOAR」です。SOARはセキュリティ運用の自動化・効率化を実現するソリューションであり、セキュリティ管理における工数の大幅な削減に貢献します。セキュリティ管理の工数が削減されることでシステム部門の業務負担が軽減され、空いたリソースを業績向上に直結するコア業務に投入できます。
生産年齢人口の減少に伴って多くの企業が人材不足に陥っている今、いかにして生産性を最大化するかを思索しなくてはなりません。生産性は「産出量(output)÷労働投入量(input)」という数式で求められる指標であり、「いかにして最少のリソースで最大の成果を生み出すか」が重要な課題です。SOARによってセキュリティ管理を自動化・効率化できれば、社内ネットワークの堅牢性を高めつつリソースを最適化し、組織全体における生産性向上が期待できます。
従業員のモチベーション管理
ゼロトラストモデルのセキュリティが求められる理由の1つが、テレワークの普及です。2019年4月から施行された「働き方改革関連法」や、2020年3月にパンデミック認定された「新型コロナウイルス感染症」などの影響から、テレワーク制度を導入する企業が増加傾向にあります。オフィス外で業務に取り組むテレワーク環境では、これまで以上に厳格なセキュリティ体制を整備しなくてはなりません。
ゼロトラストに基づくセキュリティ体制の整備は、テレワーク環境の最適化に貢献します。テレワークを含め、柔軟かつ多様なワークスタイルに対応する労働環境を構築できるのです。従業員は、出産・育児・介護など、それぞれの事情に合わせた多様な働き方が可能になるため、モチベーションやエンゲージメントの向上につながります。また、こうした柔軟な働き方が実現すれば、離職率や定着率の改善に寄与し、人材不足という経営課題を解決する一助となるでしょう。
従来型のセキュリティネットワークとの違い
冒頭で述べたように、従来のセキュリティモデルは、社内ネットワークとインターネットの間にファイアウォールを設置することで、内側への侵入を防ぐという手法が一般的でした。このようなセキュリティモデルを「境界防御型」と呼びます。境界防御型は「社内は安全・社外は危険」という考え方に基づくセキュリティモデルであり、社内ネットワークと切り離されているクラウド環境やテレワーク環境に対応しきれません。
一方でゼロトラストに基づくセキュリティモデルでは、社外はもちろん、社内におけるアクセスやデバイスも信用せず、あらゆるトラフィックに対して厳格な認証を実施します。「ネットワークは安全か?」「許可されたデバイスか?」「マルウェアに感染していないか?」「ユーザー本人によるアクセスか?」などの項目を多要素認証やエンドポイントセキュリティを用いて確認し、組織の情報を脅威から保護するのがゼロトラストセキュリティです。
ゼロトラストが重要視される背景
ここからは、ゼロトラストセキュリティが必要とされる背景について見ていきましょう。
テレワーク/在宅ワークの普及
先に述べた働き方改革や新型コロナウイルスの影響によるテレワークや在宅ワークの普及が、ゼロトラストセキュリティが必要とされる理由の1つです。テレワーク環境では社内アクセスと社外アクセスの境が曖昧になり、従来の境界防御型では安全性と堅牢性を担保できません。
テレワークは新しい時代に即した働き方として今後も普及していくと予測されるため、セキュアなリモート環境を構築するためにゼロトラストが必要とされているのです。
マルウェア攻撃が増加している
デジタル技術や情報テクノロジーの高度化によって社会や産業が発展する一方で、マルウェアやフィッシングなどのサイバー攻撃も年々巧妙化しています。多角化するサイバー攻撃はファイアウォールをすり抜ける可能性があり、脅威がすでに内部に侵入していても検知できないケースも少なくありません。このような脅威から組織の情報資産を保護するべく、ゼロトラストモデルに基づくセキュリティ体制の構築が求められています。
人的ミスによる情報漏えい
テレワーク制度の普及やITシステムの複雑化に伴い、人的ミスによる情報漏えいインシデントの発生件数が増加傾向にあります。特にテレワークはPCやモバイルデバイスをオフィス外に持ち運ぶため、端末の紛失・盗難といったリスクが懸念されるワークスタイルです。
こうした人的ミスによる情報漏えいインシデントを防止するためには、高度なアクセス権限設定やエンドポイントセキュリティといったゼロトラストモデルに基づくセキュリティ体制を整備しなくてはなりません。
ゼロトラストモデルをスムーズに導入するには
ゼロトラストモデルのセキュリティ体制を整備するためには、先述したセキュリティ運用を自動化・効率化するSOARや、エンドポイントセキュリティを監視・制御する「EDR(Endpoint Detection and Response)」などのソリューションが必要です。また、2つ以上の異なる要素で本人の真正性を確かめる、多要素認証を搭載したIDaaSも不可欠と言えます。ゼロトラストモデルを導入するためには、こうした機能を有するソリューションを選定し、自社のシステム環境と連携する必要があります。
まとめ
現代日本は少子高齢化による影響から生産年齢人口が減少し続けており、DXの実現が喫緊の経営課題となっています。DXを実現するためには優れたデジタル技術の導入が不可欠であり、特にクラウドサービスの戦略的な活用が必要です。しかし、クラウド環境ではネットワークにおける内外の境界線が希薄となるため、従来の境界防御型のセキュリティモデルでは安全性と堅牢性を担保できません。
だからこそ、すべてのトラフィックやリクエストを信頼しないという前提に基づき、より厳格な認証システムによって組織の情報資産をさまざまな脅威から保護するゼロトラストセキュリティが求められています。ゼロトラストに基づくセキュリティ体制の構築を目指す場合、まずはすべての基礎になるIDの管理からのスタートをおすすめいたします。その際はぜひIDaaS、「HENNGE One」の導入を検討してみてください。
