Googleをはじめ、世界中の企業が導入を進めている「ゼロトラスト」をご存じでしょうか。次世代のセキュリティモデルとして注目を集めるゼロトラストですが、運用課題があるのも事実です。本記事では、ゼロトラストの概要やメリット・デメリット、考えられる運用課題などについて網羅的に解説します。
ゼロトラストとは?
「ゼロトラスト」とは、すべて信頼しないことを前提に、セキュリティ環境の構築と運用を行う考え方です。「社内ネットワークだから安心」「従業員しか利用しないから問題ない」と前提することなく、社内-社外問わず「すべてのアクセスが等しく脅威である」との認識でセキュリティ環境を構築します。
ゼロトラストでは、従来のようにネットワークを外と内で分けて考えません。外はもちろん内部からも脅威が発生する、と考えるのが基本です。そのため、「アクセス権限や認証をその都度行う」「ネットワークを常時監視しリスクを検知する」「通信の可視化や分析を行う」といった対策を講じます。
従来は、ネットワークを外と内とに分けて、その境界線上にセキュリティを設けるのが一般的でした。内側は信頼できる領域と考えたうえで、外側からの攻撃にだけ備えていたのです。しかし、近年ではテレワークが普及し、クラウドサービスの利用率も高まりました。それにより内外の区別が希薄となり、従来の手法ではリスクに対応しきれなくなったため、ゼロトラストの考え方が広がり始めたのです。
ゼロトラストのメリット
ゼロトラストの導入を検討している企業経営者やIT担当者がもっとも気になるのは、やはり導入するメリットではないでしょうか。具体的なメリットがわからないと、導入後のイメージも湧きにくいでしょう。以下、ゼロトラストの導入で得られるメリットをピックアップして紹介します。
セキュリティ水準が大幅に向上
高水準なセキュリティ環境を構築できるのが、最大のメリットと言えるでしょう。社内は安全という考えを排除し、その都度アクセス権の付与や認証を行うため、堅牢なセキュリティ環境を構築していけます。
「EDR」を導入すればログデータの取得や分析ができ、外部からの攻撃も検知可能です。不正なアクセスやサイバー攻撃を検知し、速やかに管理者へ通知をするため、ダメージを受ける前に適切な対処を実行することが可能です。ファイアウォールとは異なり、内部に侵入されても脅威を検知できるのが特徴と言えるでしょう。
また、「SOAR」の導入によりセキュリティ運用業務を自動化すれば、限られた人的資源を有効に活用できます。
テレワークでもアクセス可能
従来型のセキュリティモデルでは、テレワークに対応できないケースが少なくありませんでした。外部アクセスのみ脅威と考え、ファイアウォールで防御するスタイルだからです。
テレワークでは従業員の自宅やカフェ、図書館など、さまざまな場所からのアクセスが考えられます。ゼロトラストに基づいたセキュリティ環境を構築し、クラウドでデータ管理を行えるようにすれば、外部からも安全にデータ利用ができるため、スムーズにテレワークへ移行可能です。
システム部門のセキュリティ運用効率化
フレームワークの作成や、EDR・SOARの導入により、セキュリティ運用の効率化を図れます。従来では、さまざまな事態を想定して機器やシステムを実装していましたが、これでは管理が煩雑になってしまいます。担当者の負担増加による、ヒューマンエラーの誘発につながっていたのです。
ゼロトラストベースのセキュリティモデルでは、セキュリティに関するさまざまな業務プロセスを一元化できます。同一のプラットフォームに業務を集約させられるため、運用の効率化を図れるのです。
また、従来型のセキュリティモデルでは、内部へのマルウェア侵入や不正アクセスに対し、スムーズに対策できませんでした。内部は安全との考えでセキュリティ環境を構築していたため、社内で想定外の出来事が起きたときには、うまく対応できないのです。
ゼロトラストベースでは内部も「警戒すべき領域」と常時みなしているため、内部に侵入したマルウェアもいち早く検知し、迅速かつ効率的に対策可能となります。
ゼロトラストのデメリット
これからの時代に欠かせないセキュリティモデルとも言われるゼロトラストですが、いくつかデメリットがあることも覚えておきましょう。主なデメリットとしては、「コストの増加や、業務効率の低下」などが考えられます。
業務効率が下がる可能性もある
セキュリティ運用の効率化を実現できる反面、主力業務の効率低下を招いてしまう恐れがあります。すべてを信頼せず、あらゆるところに脅威が潜んでいると考えるため、業務中に幾度も認証を迫られることがあるからです。
従来、内部のシステム間を移行する際などは一度の認証で業務を進められました。しかしゼロトラストベースでは、内部も信用しないため、その都度認証やアクセス権限の付与を受けなくてはなりません。必然的に工数が増加してしまい、業務を進める手が止まってしまう恐れもあるでしょう。
セキュリティコストが高くなる
ゼロトラストベースのセキュリティ環境を構築するには、SOARやEDRなど、さまざまなツール・サービスを導入する必要があります。そのため、セキュリティコストが増加してしまうのはネックと言えるでしょう。
ただ、これは一概にデメリットとも言えません。むしろ、コストを気にしてゼロトラストを導入しないことこそ、企業にとってデメリットと言えます。
サイバー攻撃の巧妙化やマルウェアの進化、テレワークの普及など、企業を取り巻くリスクは多々あります。こうした時代、従来のセキュリティモデルでは、組織の情報資産を守りきることは困難です。一定のコストをかけてでもゼロトラストを導入することは、組織を強力に防衛することに直結するのです。
ゼロトラストの運用課題
ゼロトラストの運用課題として、内部からの反発や運用担当者の必要性などが挙げられます。導入後もスムーズな運用を継続するには、これらの課題を解決しなくてはなりません。以下、詳しく見ていきましょう。
セキュリティ運用担当者が必要
先述したように、ゼロトラストに基づいたセキュリティ環境を構築するには、さまざまなツールを導入しなくてはなりません。自社の業務にマッチした適切なツールを選定する必要があるため、運用担当者にはある程度の専門性も求められます。
自社に専門的な知識を有する人材がいなければ、新たに採用しなくてはなりません。アウトソーシングを活用して自社のオフィスで勤務してもらう方法もありますが、いずれにしてもコストは発生します。
都度認証の煩わしさから反対派が発生する
ゼロトラストベースのセキュリティ環境で業務を行う場合、従業員は幾度となく認証をしなくてはなりません。社内のデータや業務で使用するアプリなど、その都度認証をしなくてはならないため、社内で反対派が発生してしまう恐れすらあります。
特に、従来の環境で長らく業務に携わってきた従業員からは、強い反発が予想されるでしょう。業務が一向に進まないと批判され、システムを元に戻すよう求められる可能性もあります。
業務の進め方や要する時間も変わるため、このような反発が起きるのも無理はありません。したがって、ゼロトラストセキュリティの重要性について、上層部や担当部門はきちんと従業員側へ説明し、理解を得ておくことが大切です。本格的な導入の前に、説明会や勉強会を開催して周知させるのもよいでしょう。
まとめ
ゼロトラストの導入により、セキュリティレベルを大幅に高められるうえ、システム部門の運用効率化も実現できます。その一方で、セキュリティコストが高くなる、専門性を有する人材が必要といったデメリットもあるので、注意が必要です。
本記事でお伝えしたように、ゼロトラストを導入すると働き方も変化するため、従業員の反発を招いてしまう恐れがあります。現場の理解を得られるよう、事前の説明や周知は必須と言えるでしょう。また、なるべく従業員の負担を増やさないツールやサービスを導入することも大切です。
- カテゴリ:
- ゼロトラスト
- キーワード:
- ゼロトラスト