「ゼロトラスト」効果はセキュリティだけじゃない 生産性、事業スピード向上のための投資に

[PR／ITmedia]

PR

　近年、「ゼロトラストセキュリティ」という言葉をよく耳にするようになった。

• 「コロナ禍に伴うテレワーク導入のためにはゼロトラストセキュリティが必要」
• 「グローバル化に伴う柔軟なセキュリティ対策にはゼロトラストセキュリティで対応」
• 「デジタルトランスフォーメーション（DX）実現にはゼロトラストセキュリティが不可欠」

　このように、さまざまな文脈においてゼロトラストセキュリティの重要性が語られているが、その意味を理解している人は案外少ないかもしれない。ゼロトラストとはその名の通り「何も信頼しない」という意味だが、サイバーセキュリティにおいては「情報資産に対するアクセスを制御し、常に認証・認可を行うことで、その正当性を検証する」ということを指す。

　これまで主流だった「境界型」のセキュリティモデルでは、企業の内部ネットワークとインターネットとの境界上にファイアウォールを置いて社内の情報資産を守っていた。一方で、ネットワーク内部の、情報資産に対する正当な権限を持つユーザーからのアクセスは信頼して許可していた。

　しかし、クラウドシフトなどの環境変化によって「社内からアクセスされる」という前提が徐々に通用できなくなり、従来の境界型のセキュリティ対策にこれ以上頼り切るわけにもいかなくなってきた。

扇健一氏（日立ソリューションズ セキュリティマーケティング推進部 部長／セキュリティエバンジェリスト）

　日立ソリューションズのセキュリティエバンジェリスト・扇健一氏は、ゼロトラストセキュリティについて次のように述べる。

　「クラウド活用が進み、社外に業務システムやデータを置くことが、当たり前になってきました。働き方改革やコロナ禍に伴うテレワーク導入で、従業員が自宅など社外の環境からインターネット経由でクラウドアプリケーションを利用するケースが増えています。こうなると、今までのように境界の内側と外側というようにはっきり分けられなくなり、既存の方法では十分なセキュリティ強度を保つのが難しくなります」

　コロナ禍に伴うテレワークの導入は、ゼロトラストセキュリティの必要性や有効性を広く世に知らしめる結果となった。多くの企業が、従業員のテレワーク環境と社内ネットワークとの間を結ぶためにVPN回線の増強に追われたが、想定以上にVPN回線に負荷がかかり、業務に支障をきたすケースも出てきている。

　また、高度化した近年のサイバー攻撃の中には、境界型のセキュリティ対策をやすやすとすり抜けて社内ネットワークへの侵入を果たすものもある。こうした脅威に対抗するためにも、境界に頼らないセキュリティの必要性が増している。

セキュリティ以外にもメリットが

　セキュリティ対策以外にも、ゼロトラストセキュリティはさまざまなビジネス課題の解決に役立つ。

　「近年では、企業間の合併や組織の統廃合などが頻繁に行われるようになりました。その際、企業・組織ごとに異なるセキュリティポリシーを統合しますが、ここでゼロトラストセキュリティの考え方が大いに役立ちます」（扇氏）

　ゼロトラストセキュリティではインターネット上のクラウドアプリケーションなどの利用を前提としており、ツールも多くはクラウドサービスとして提供される。そのため、異なる組織間にまたがるアカウントやセキュリティポリシーなどを一元管理しやすい。クラウドならではのスケーラビリティが強みになり、システム全体の規模も柔軟に拡張・縮小できるため、事業の展開や撤退にも無駄なく迅速に対応できる。

　こうしたメリットは、グローバル企業においてグループ会社や海外拠点のITガバナンスやセキュリティポリシーを管理するうえでも大いに役立つという。多くのグローバル企業では、海外拠点ごとにセキュリティ対策のレベルや方式がさまざまだったり、ITガバナンスがなかなか行き渡らなかったりといった悩みを抱えている。

　ゼロトラストセキュリティを導入すれば、クラウドを中心に各拠点のセキュリティポリシーを一元化して管理できるため、グローバルガバナンスをしっかり効かせることができる。

デジタルトランスフォーメンションヘの対応

　さらには、企業の垣根を越えた協創・協業を促進するうえでも、ゼロトラストセキュリティは重要な役割を果たすと扇氏は考えている。

　「スピード感を持ってDXを進めるには、他社との協創・協業をいかに活性化できるかがポイントになります。そのためには、複数の企業がインターネット経由で同じシステムにアクセスできる仕組みが必要になりますが、そのためにわざわざファイアウォールに穴を開けたりVPNのアカウントを発行したりしていては、スピード感のある取り組みは望めません」

　ゼロトラストセキュリティモデルなら、社外からのアクセスをアカウントで柔軟にコントロールできるため、企業間の協創・協業もスピード感を持って進められる。

現場にもたらすメリット

　ゼロトラストセキュリティは、単に情報セキュリティやITガバナンスを強化するための施策としてではなく、ビジネスの現場にもさまざまな恩恵をもたらす。

　例えば企業の情報システム部門やセキュリティ担当者にとっては、全社のセキュリティポリシーをクラウド上で一括管理し、ユーザーや端末に対し効率的に適用できるようになる。

　現場の従業員にとっては、何より脱VPNの効果が大きい。回線の帯域不足によるパフォーマンス低下に悩まされていたところが、十分な安全性を確保しつつVPNを介さず安全に直接インターネットにアクセスできるようになれば（インターネットブレイクアウト）、業務生産性を大幅に改善できるチャンスが生まれる。

インターネットブレイクアウトにより、VPNを介さず安全に直接インターネットにアクセス

　「ゼロトラストセキュリティの環境下では、情報資産へのアクセスに満遍なくセキュリティ対策が適用されるので、安全かつある程度自由にインターネットを活用できます。その結果従業員の生産性が向上すれば、企業全体の収益にもプラスの効果が見込めます」（扇氏）

ゼロトラストセキュリティ実現に至るまでの道筋

　このように、これからの企業ITの在り方を考えるうえでゼロトラストセキュリティは欠かせない存在になりつつあるが、具体的にそれを導入・活用するにはまず何から始めればいいのだろうか。扇氏は、まずはゼロトラストセキュリティへの取り組みを2段階に分けて考えることを提唱する。

　「まずは、いつでもどこでもクラウドアプリケーションにアクセスして仕事ができる下地を整備するところまでを第1フェーズと定義しています。これを実現するには、IDaaS（Identity as a Service）を導入するのが先決です」

　アクセス制御の前提となるID管理、認証、1回の認証で複数のクラウドアプリケーションにログインできるシングルサインオン（SSO）などの仕組みをここで作り上げる。

ゼロトラストセキュリティへの取り組み

　次に「EDR（Endpoint Detection and Response）」「MDM（Mobile Device Management）」といったカテゴリーの製品を導入し、社用PCやモバイル端末からマルウェアの活動ログなどをモニタリングしてセキュリティ上の脅威を抽出したり、資産管理などを行う体制を整えたりする。

　ここまでの仕組みが一通り整備できた段階で第1フェーズが完了し、ゼロトラストセキュリティ全体の取り組みの約半分が完成する。これ以降の第2フェーズは、「SASE（Secure Access Service Edge）」分野の技術を活用するなどして、きめ細かなアクセス制御を施したうえで端末やネットワークからさらに多くの情報を収集し、高度な分析を行う。そして最終的には運用の自動化まで到達するのが理想的だ。

　ゼロトラストセキュリティではログデータを始め、人間の手には負えないほど多くの情報を取り扱う。脅威の分析、対応、レポートまでを自動化するのが理想的だが、完全な自動化まで実現できている企業はまだほとんどない。まずは、社外のSOC（Security Operation Center）サービスを使って、ネットワークの監視や脅威の分析などの業務をアウトソースすることで省力化・自動化を図ることも考えていただきたい。

　これらを実現するにはいくつかのセキュリティ製品・サービスを導入する必要があるが、その選定に当たっては幾つかのポイントに留意する必要があると扇氏は述べる。

　「まずはクラウド型の製品であること。そして他社製品と連携させやすく、高いスケーラビリティを持つ製品が望ましいでしょう。また今後多くの企業でリモートワークが常態化することを考えると、遠隔地にある端末に導入しやすい製品を選ぶべきでしょう」

　製品そのものだけでなく、ベンダーが提供する運用サービスの内容も細かくチェックするべきだ。今後、セキュリティ対策だけでなくテレワーク対応やDXなどさまざまな課題に取り組まなくてはならない情報システム部門にとって、運用をアウトソースして業務の省力化・自動化を図れるかどうかは極めて重要なポイントになると扇氏は強調する。

　「大半の企業は、コロナ禍に伴い急きょテレワーク体制を整備した際に相当な苦労を強いられたはずです。しかし、もしゼロトラストセキュリティを既に導入していれば、その苦労は少なく済んだかもしれません。長い目で見れば、ゼロトラストセキュリティは経営の効率化に大きく寄与するため、企業の経営層はぜひコストではなく投資として、その価値に目を向けていただきたいですね」