近年、多くの企業がDXへの取り組みを進めています。その中でもICTを利用した働き方改革は比較的取り組みやすいテーマではないでしょうか。一方で働き方改革の手法として取り入れやすいテレワークやリモートワークの増加にともない問題となっているのが求められるICT環境の変化です。テレワークやリモートワークの増加と共に、セキュリティやVPN回線の逼迫などの課題に直面している企業も多いでしょう。働き方の多様化が進む環境にネットワーク環境やセキュリティ対策が追い付いていなければ、情報漏えいなどさまざまな問題発生へつながります。その中で今注目されているのが「ゼロトラスト」です。
今回は、ゼロトラストを具体的にわかりやすく説明し、DX推進で必要な理由、最新の認証基盤を確立する手法などを紹介します。
ゼロトラストとは
ゼロトラストは「すべてを信頼していない」ということをコンセプトにしています。
社内でも社外でも関係なくすべてを信用せずに評価をして、セキュリティを行うというもので今注目されているのです。つまり従来のセキュリティとの明確な違いは、社外からのアクセスだけではなく「社内での通信も信用できない」と認識し、脅威に備え対策することです。
ゼロトラストを導入することにより社外や社内にとらわれないセキュリティ対策を実現すれば、働き方の多様化にも対応できるのです。
ゼロトラストセキュリティがDX推進で必要な理由
DX推進でゼロトラストセキュリティが必要な理由としては、以下が挙げられます。
- 場所やツールに捉われない仕事
- 生産性向上
- 従業員のモチベーション管理
- セキュリティ対策
それぞれについて詳しく紹介していきます。
場所やツールに捉われない仕事
近年、テレワークやリモートワークが増加しているため、クラウドサービスへアクセスして仕事を行うことも増えています。このため、従来では勤務地の制約で採用が難しかった優秀な人材の獲得を狙える状況になってきています。
しかしながら、こうしたクラウドサービスを利用したテレワーク環境では、従来のセキュリティで対応しきれず情報漏えいなどのリスクも発生する恐れがあります。テレワークやリモートワークに併せて、ゼロトラスト導入なども検討し、セキュリティ対策をしっかり整えましょう。
生産性向上
従来のセキュリティは、何らかの脅威を検出すると、それぞれに対応できる機器を用意するなどして、対策していました。しかし脅威や攻撃の方法、またはそうした犯罪同士の関連性は次々と変わっていくため、対応労力・費用が非常に多くかかってしまいました。
ゼロトラストは、セキュリティレベルが上がるのみではなく、上記のようなセキュリティ管理工数の削減にもつながります。つまり、ITやシステム運用担当者の負担を減らし、業務を効率化するのです。
従業員のモチベーション管理
ゼロトラストセキュリティにより、従業員たちは社外から安心して働けるようになります。通勤負荷の減少、ストレス削減により従業員のモチベーションの向上が実現するでしょう。
特に通勤時間が長い従業員にとって、このメリットは大きいです。例えば、往復2時間の通勤時間であれば、1週間5日勤務で考えると10時間の短縮が可能となります。1週間で10時間も、自由な時間が増えるため、心に余裕も生まれ、仕事に対してのモチベーションも上がるでしょう。
また在宅ワークなど、個人に合わせた働き方が実現可能となるため、会社で人間関係に悩んでいた従業員などにとっても、大幅にストレス減少となるのです。
セキュリティ対策
ゼロトラストでは、アクセスが許可された端末のみ、ネットワークにアクセス可能です。また、アクセス許可が出ていたとしても、アクセス権限のないアプリーションは使用できません。アクセス認証済の端末に関しても、「その端末が会社のものなのか・個人のものなのか」または「OSのバージョンは最新のものを使っているのか」など、さまざまな情報をリアルタイムに確認します。もし信頼できないと判断されれば、その端末の接続は拒否されるのです。
ゼロトラストセキュリティの認証基盤
ゼロトラストセキュリティの認証基盤を以下の2つのことから解説します。
- ユーザー識別に関する認証
「すべてを信頼していない」をコンセプトにしているため「社内でも社外でも信頼していない」ので社内の端末でも許可されていない場合はアクセスを拒否されてしまいます。ユーザーの端末の信頼性を向上させて、セキュリティも強化しているのです。 - ユーザー権限に関する認可
IDやパスワードが正しくアクセスできたとしても、アプリケーションなどのセキュリティが異常だと不正アクセスだと判断されます。認可された個々のユーザーに対しても、最小限の情報のみをアクセスできるようにすることで、全体的なセキュリティレベルを強化しているのです。
従来型のセキュリティネットワークとの違い
従来型との違いは、以下が挙げられます。
- 社外だけでなく社内も信用しない考え方
- セキュリティ管理の確認項目数
それぞれについて詳しく紹介していきます。
社外だけでなく社内も信用しない考え方
従来のセキュリティは「社内は安全」という考え方がありました。ゼロトラストはその名の通り「社内でも社外でも信頼していない」をコンセプトにしているため、社内の漏えいの可能性も含めてしっかりと対策を実施しています。
従来のセキュリティの場合、「各所から社内ネットワークにつながっている端末によって、テレワークやリモートワークが実践されている」というような状況には、対応しきれていませんでした。しかしゼロトラストなら、「社内-社外」という区別なく、アクセス状況を常時監視し、セキュリティ対策を張り巡らせています。このため、テレワーク・リモートワークが多い状況だろうと変わらず対応していけるのです。
セキュリティ管理の確認項目数
従来のセキュリティ管理と比較し、ゼロトラストでの管理は「社内に限定されていない
」という特徴を持ちます。そのため、確認項目も異なります。
ゼロトラストの管理確認項目として、以下が代表的です。
- 使用しているネットワークは安全か
- 使用しているデバイスは許可されたものか
- デバイスがマルウェアなどに感染していないか
- デバイスに必要な安全対策が施されているか
- ユーザー本人によるアクセスか
- 使用しているアプリケーションに脆弱性はないか
- 不審な操作を行っていないか
上記を確認してセキュリティ管理を行うことで、情報流出のリスク低下に寄与しています。
まとめ
働き方の変化にともない対応できるセキュリティも変える必要があります。クラウドサービスの利用も増えている中で、社内のみで完結させ業務を行うことの方が現状難しくなってきているのです。従業員にとっては便利な働き方ができるようになり、ストレスなどが減るメリットがあります。しかし、同時に情報漏えいなどの問題が生じるリスクも高まっているのです
VPNの課題などリスクをしっかりと認識した上で、対策していきましょう。「働き方改革を現在行っている」または「これから取り入れていこうとしている」という企業は、ゼロトラストの導入をおすすめします。
