いまや「ゼロトラスト」は“企業の武器”だ――エンジニアも営業職も いま企業がセキュリティを学ぶワケ

» 2021年12月28日 10時00分 公開
[PR/ITmedia]
PR

 テレワークやクラウドの活用が普及したことで、企業や組織が守るべき情報資産は社内から社外へと急速に拡散しつつある。本来、管理すべき端末やサービス、誰がどんなデータを、どこでどうやって使っているのか?状況をきちんと把握するのが難しくなったいま、効果の高いセキュリティ対策が模索されている。そこで注目を集めるのが「ゼロトラストアーキテクチャ」の考え方だ。

 ゼロトラストは企業の情報資産を守るだけでなく、DX(デジタルトランスフォーメーション)を進める上でも役立つ考え方だ。企業が次々とゼロトラストの導入を模索する中、システムやサービスを他企業に提供する立場のIT企業にとってはゼロトラストを理解することが営業活動をスムーズに進める“武器”にもなりつつある。

このゼロトラストの概念を取り入れることで企業にどのようなメリットが生まれるのか。今回はセキュリティコンサルティング事業を手掛けるグローバルセキュリティエキスパート(以下、GSX)の武藤耕也さん(CCO 兼 コーポレートエバンジェリスト)に解説してもらった。

photo グローバルセキュリティエキスパートの武藤耕也さん(CCO 兼 コーポレートエバンジェリスト)

「ゼロトラスト」は、実はシンプルな考え方

 これまでのセキュリティ対策では、守るべき情報資産は社内ネットワークの中にあり、ユーザーも社内ネットワークからアクセスすることを前提としてきた。コンピュータウイルスやサイバー攻撃などの脅威は、社内と社外の境界で防御することで一定の効果が期待できた。しかし、そうした前提はテレワークやクラウド活用の普及によって崩れ去っている。守るべきデータは社内だけでなく、社外にもあり、アクセスする場所も社屋に限定されない。

 こうした状況で「どのネットワークからアクセスしたかに関係なく、むやみに信頼せず毎回検証する」という考え方にシフトした。これがゼロトラストアーキテクチャの考え方だ。ゼロトラストの本質は、システムを利用するユーザーが 「データにアクセスしたい」 というリクエストをあげた時、そのアクセスを許可する前に、毎回必ず、厳密に、継続的に、アクセス元とアクセス先の信頼性を確認検証することだ。例外なく全てのアクセスを同じように検証することで、結果的に管理がシンプルになる。リクエストがある度に暗号化した通信をつなぐため、通信の安全性も確保できる。

photo ゼロトラストアーキテクチャの考え方(画像クリックで拡大)

 この仕組を整えれば、恒久的なテレワークや、より一層のマルチクラウド活用を進めてもセキュリティ運用が破綻せず、中長期的に見れば運用コストも下げられる。

 「ゼロトラストは、これまでの境界防御とは考え方がかなり違うため、セキュリティ業界を長く経験したエンジニアや、ITに詳しい人でも分かりづらい部分があります。しかし、一度本質を理解すれば、考え方そのものは、実はとてもシンプルだと気付くはずです」(武藤さん)

ゼロトラストは「営業の武器」にもなる

 ゼロトラストの考え方は企業活動におけるセキュリティ課題を解決するだけでなく、IT関連の製品やサービスを取り扱う企業にとっては今後の営業活動を支える武器にもなる。製品開発の担当者だけでなく、顧客企業へ提案活動する営業やプリセールスエンジニアもゼロトラストを理解することで、自信を持って提案できる。合わせて顧客の信頼獲得につながると武藤さんは説明する。

 営業の武器を増やすため、GSXに相談したのがある大手通信キャリアだった。携帯電話の市場が飽和状態になる中、それ以外のITソリューション販売に力を入れている通信キャリアから「製品やサービスを売る上で、営業担当者のセキュリティ理解を高めないと売れない。これからはゼロトラストが主流になると想定しているので、営業や企画、新サービス開発の担当者などを全員がゼロトラストの本質を理解し、お客さまに正しく提案できるようにしたい」――こんな要望があった。

 そこでGSXはゼロトラストアーキテクチャの考え方を理解し、実際の導入時に気を付けるべきポイントを学べる教材を開発。通信キャリア社内で研修を行った結果、受講者の99%が「受講して良かった」と評価するほど好評だった(自社調べ)。GSXはこの内容を基に「ゼロトラストコーディネーター」というオリジナルの学習コースを開発して、2021年12月1日から提供を始めている。

“セキュリティの勘所”を押さえる資格「セキュリスト(SecuriST)」

 ゼロトラストコーディネーターは、GSXが独自に提供するオンライン学習コースと認定資格「セキュリスト(SecuriST)」の一部として開設した。

 企業のセキュリティ対策は、セキュリティやリスク管理の担当者だけが理解しても効果は薄い。専門家以外の従業員が“セキュリティの勘所”を押さえることで効果を発揮する。しかし、多くのセキュリティ教育では高度な専門知識を持つセキュリティスペシャリストの育成がメインだった。そこでITエンジニアや営業担当者など、セキュリティを専門にしない人でもしっかりセキュリティの本質をつかみ、すぐに業務で活用できる内容をやさしく学べる教育コンテンツを目指して作ったのがセキュリスト(SecuriST)だ。

ゼロトラストコーディネーターには「入門編」「基礎編」「応用編」という各90分間の3コースで構成されている。

 入門編では、「なぜゼロトラストがこれほど注目されているのか」「前提となる課題は何で、それがゼロトラストの考え方によってどう変わるのか」といった、ゼロトラストの基礎を押さえていく。「IT企業の関係者や製品/サービスを提供するベンダーだけでなく、これからゼロトラストを取り入れたいと考える企業のシステム部門の人や、セキュリティ担当者が社内でゼロトラストの取り組みを進めるのにも役立つ内容です」(武藤さん)

 基礎編は、企業や組織がそれぞれ抱える課題を見つけ出し、どう解決していくかを考える実践的な内容を含む。例えば複数の課題を抱える企業では、IDの統合管理や新しいネットワーク制御の仕組み、端末管理など多岐にわたるゼロトラストのカバー範囲の中から「どれを優先的に解決していくべきか」といった、GSXがコンサルティング現場でよく相談される内容を、事例を交えて解説する。

 応用編は技術的な要素が強くなる。識別/認証/認可や端末管理、ネットワーク制御の仕組み、動的ポリシーの組み方など、ゼロトラストを実装する上で必要になる技術要素について解説。実際の導入や運用時に必要なゼロトラストの考え方を説明する。

セキュリティを学べば、社内の安全+製品価値の向上に役立つ

 セキュリティの要点をしっかり身に付けることが目的のセキュリスト(SecuriST)では、ゼロトラストコーディネーター以外にも「脆弱性診断士」と「セキュアWebアプリケーション設計士」の2コースを用意している。

 ITシステムの運用者やアプリケーション開発の業務に携わる従業員がセキュリティの勘所を押さえることで、その企業の社内システムやサーバ運用などの安全性を高めるだけでなく、開発した製品やアプリケーションのセキュリティ対策にもつながり、製品価値を高めることができると武藤さんは話す。

photo セキュリスト(SecuriST)のコース内容(画像クリックで拡大)

自分が開発したアプリや運用しているシステムの脆弱性を見つける、脆弱性診断士

 セキュリスト(SecuriST)の第1弾として20年12月から提供しているのが2日間で学べる脆弱性診断士だ。2種類に分かれており、「Webアプリケーション脆弱診断士」の受講対象は普段からアプリケーションの開発や運用に当たる開発者、「ネットワーク脆弱性診断士」の受講対象はネットワークのエンジニアや運用担当者だ。

 受講者が開発や運用するシステムのセキュリティホールや脆弱性を見つけられるよう、ハンズオン(演習形式)で学ぶ。自分たちの手を動かし、自分で作ったり管理したりしているシステムの脆弱性をすぐ見つけられるようにするコンセプトが共感を呼び、1年間で650人もの受講者を集める大ヒットとなった。

システム開発上流のセキュリティに特化した、セキュアWebアプリケーション設計士

 脆弱性診断士コースの受講者から「システム開発における企画や要件定義、設計といった上流工程で、どのようにセキュリティの要所を押さえるべきか知りたい」という新たな相談に応えて生まれたのが、「セキュアWebアプリケーション設計士」だ。わずか1日の受講で学習できる。

 武藤さんによると、世の中には要件定義や設計段階で本来必要となるセキュリティの観点が抜け落ちている残念なシステムも多く、そこが原因の不正アクセス被害が未だに無くならない。そうした事態を避け、安全な要件定義と設計手法を座学で伝えるコースだ。

 「実装段階など下流工程だけでなく、要件定義や設計などの上流工程でセキュリティの勘所を押さえることで、シフトレフトが実践でき、開発サイクルも短縮できます。早期に問題に気付いて修正することで、より安全なサービスを素早く展開できます」(武藤さん)

photo セキュアWebアプリケーション設計士と脆弱性診断士の講座で扱う内容

セキュリティ対策の効果UPは“防災訓練”が大切

 武藤さんは企業のセキュリティ対策の効果を高める基本的かつ有効な手段は“防災訓練”や "防犯訓練"だと話す。自組織でどんな被害が起こり得るかを想定し、どう対応すべきかを組織全体で認識することで、リスク意識を共有できる。それが「このデータは適切に管理する必要がある」「今のツールの使い方は問題だ」といった具体的な対策につながっていく。

 「職種に関係なく、ITに関わる人がセキュリティの勘所を学べば、システムやネットワーク、アプリケーションなどITはもっと安全になるはずです。セキュリスト(SecuriST)を通して、ITサービスの開発や運用を担うエンジニアの方々や、顧客企業へ提案活動を行う営業担当者など幅広い人々がセキュリティの要点をつかむことで、すぐに普段の業務でセキュリティのスキルを生かせます。今までセキュリティ企業がノウハウとして蓄積してきた内容を、学習コースとして、広く皆さんへ還元することが責務だと思っています」(武藤さん)

 ゼロトラストを含め、セキュリティを学ぶ上で役立つ選択肢の一つがセキュリスト(SecuriST)だ。エンジニアがハンズオンで学んだり、IT知識の少ない人でもしっかり身に付く内容になっていたりと、評価が高いのには理由がある。自組織や自社製品、サービスのセキュリティを高めたい人は、GSXに相談してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:グローバルセキュリティエキスパート株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2022年2月15日