「ゼロトラスト」3つの“誤解” どのように考え、企業内で検討していくべきか:ニューノーマル時代のセキュリティ(3/3 ページ)
ここ1年で認知度が高まった「ゼロトラスト」。企業内でゼロトラストをどのように考え、検討していくべきかを考える。
3.ゼロトラスト化は、目的ではなく手段である
企業にとって、ゼロトラスト化は目的にはなり得ない。課題があって、その解決手段の一つとして存在するだけだ。従って、課題を明確にし、解決方法を広く検討することが求められる。ゼロトラスト化は本来、「IT中期計画策定」のような文脈で取り扱われるべきトピックともいえるだろう。
繰り返しになるが、ゼロトラストはアーキテクチャ、つまり概念であり、変えることには相応の労力が求められる。その分、企業の諸課題を抜本的に解決し得るポテンシャルを秘めている。例えば、ビジネス部門によるDX推進や研究開発部門等に独自環境があり、ITインフラがサイロ化していることが課題として挙げられる。このようなセキュリティ部門の目が行き届かない領域に対しても、ゼロトラスト化を機に網をかけていくことができる。多くの企業が目をつむっている内部不正対策に関しても同様である。
ゼロトラスト化をアーキテクチャの抜本変革と位置付けて推進していく上では、まず「現在」と「将来」という2つの時間軸で、企業内のITユースケースを洗い出し、「ありたい姿」「あるべき姿」をイメージすることが不可欠だ。ありたい姿、あるべき姿から、自社が今後も成長していくための課題を導き出せる。
ここで注意が必要なのは、単にありたい姿をイメージするだけではアーキテクチャの未来像は描けないという点だ。当然、阻害要素も含めて変革の方向性を考えるべきであり、コストや現有資産の制約などでブレーキを踏まざるを得ないこともある。企業としてあるべき姿は言うまでもないが、ありたい姿と実現可能な姿もあわせて考慮し、検討を進める必要がある(図3)。
ここまで述べてきた通り、ゼロトラストは、昨今のITトレンドに合致した考え方であることは間違いない。しかし、それが全ての企業に適合するとは限らない。自社に「ゼロトラスト化が打ち手となる課題」があるのかを含め、俯瞰的かつ全体最適の視点で検討を進めていく必要がある。
関連記事
- VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。 - 「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。 - 2万人超“全員テレワーク”を実現、VPNのパンクを回避したLIXIL
4月から原則、在宅勤務に切り替えたLIXILグループ。コロナ禍以前は「全員が同時にテレワーク」は想定しておらず、対応に追われたという。全員が同時にVPN接続するとパンクしてしまう、という課題をどう打破したのか。 - カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。
Copyright © ITmedia, Inc. All Rights Reserved.