【目次】
ゼロトラストとは
ゼロトラストがセキュリティ対策として注目される背景
・クラウドサービスの普及
・リモートワークの増加や使用デバイスの多様化
・社内での不正アクセスリスク増加
ゼロトラスト型のセキュリティ対策事例
・不正アクセスを防ぐ多要素認証
・未知のマルウェア感染の検知
・社内データの不正持ち出しや業務外利用の防止
・業務用デバイス紛失・盗難時の閲覧防止
・Eメール誤送信やファイル流出の防止
ゼロトラスト型セキュリティ対策導入のメリット
・情報漏えいや不正アクセスのリスクが減る
・クラウドサービスを安全に利用できる
・セキュリティ設定がシンプルかつ強固になる
ゼロトラスト型セキュリティ対策導入のデメリット
・導入や維持に対するコストがかかる
・業務の利便性が下がる可能性がある
ゼロトラスト導入時の注意点
まとめ
ゼロトラストとは
ゼロトラストは、英語では、「Zero(ゼロ) Trust(信頼)」と表され、「すべてを信頼しない」という新しいセキュリティの概念、考え方です。
従来、セキュリティ対策は、「社内=信頼できる」「社外=信頼できない」という考え方に基づいていたので、外部からの不正アクセスやサイバー攻撃など、セキュリティリスクは社外にあることが前提でした。
しかし、クラウドサービスを利用する企業や個人の増加とともに、近年では不正アクセスやサイバー攻撃の手口が巧妙化しています。そのため、社内と社外で区別するという従来の考え方をもとにしたセキュリティ対策では不十分になってきました。
このような背景により広まったのが、守るべき情報資産への脅威を防ぐために、社内外問わず、守るべき情報資産にアクセスするものすべてに対し信用しないことを前提とし、全てのアクセスをセキュリティリスクと捉えその安全性を検証するというのが、ゼロトラストという考え方です。
関連記事:企業の情報セキュリティリスクとは?脅威や脆弱性、対策を解説
ゼロトラストがセキュリティ対策として注目される背景
ここでは、なぜゼロトラストが注目されるのか、その背景について詳しくみていきましょう。
クラウドサービスの普及
背景としてまず挙げられるのは、クラウドサービスの普及でしょう。企業の重要な情報資産は、独自に管理するデータセンターに保管されているのが一般的でしたが、クラウドサービスを活用する企業が増えた現在では、情報資産は社外のネットワーク上にも存在している状態にあります。
クラウドサービスは、社外からもシステムやアプリケーションへアクセスすることを可能にした一方で、社外からの不正アクセスのリスクも増大させました。
クラウドサービスの普及にともない、「内と外で境界線を引き、社内のネットワークを守る」という従来の考え方では、セキュリティ管理が行き届かず、安全を確保するのが難しくなっています。
リモートワークの増加や使用デバイスの多様化
働き方改革、リモートワークが急速に広がったことも背景の1つです。場所を選ばず、情報資産、システムやアプリケーションにアクセスできる環境が求められることも、クラウドサービスの利用の機会を増加させています。
リモートワークやブルーワークの普及により、デスクトップパソコンからノートパソコンやタブレット端末など持ち運びができるものが主流となるなど、従業員が使用するデバイスの多様化も進んでいます。
デバイスを問わずに社外からもアクセスできる環境下となった今、情報資産を守るためには、現状にあった新たなセキュリティ対策が必須だといえるでしょう。
社内での不正アクセスリスクの増加
クラウドサービスの普及やリモートワークの増加、使用デバイスの多様化により、高まったセキュリティリスクが2つあります。1つ目はデバイスの紛失・盗難のリスク、2つ目は従業員による機密情報持ち出しのリスクです。
デバイスには重要なデータが含まれています。従業員自身が悪意を持って情報を流出させるケースも、デバイスの紛失・盗難によって、機密情報が持ち出されてしまう可能性もあります。
また、持ち出された情報を第三者が巧妙な手口で入手するケースも想定されます。機密情報の漏えいや不正アクセスの防止には厳重なセキュリティが必要不可欠です。
ゼロトラスト型のセキュリティ対策事例
ゼロトラストの考え方を取り入れたセキュリティ対策の事例を、5つ紹介します。
不正アクセスを防ぐ多要素認証
IDやパスワードは、推測されやすい平易なものを使っている方が少なくありません。また、同じID・パスワードを使い回ししているケースもあり、セキュリティリスクの脅威にさらされています。
ID・パスワードとは別にワンタイムパスコードや指紋認証などの認証要素を設ける多要素認証を導入することで、セキュリティが強化できます。
多要素認証とは、2種類以上の認証要素を組み合わせた認証方法です。具体的には、「知識情報」「所持情報」「生体情報」という3つの認証要素のなかから、2種類以上を用いる方法です。
未知のマルウェア感染の検知
マルウェアとは、コンピューターウイルスをはじめとする、ユーザーに不利益をもたらすソフトウェアやプログラムのことです。マルウェアに感染して対処が遅れてしまうと、情報資産の流出や改ざん、乗っ取りなどの被害に遭いやすくなります。
マルウェアの種類は年々増えているため、未知のマルウェアも存在します。そこで有効なのが、「EDR」や「SOCサービス」です。
EDRとは「Endpoint Detection and Response」の略称で、パソコンやサーバーなどのエンドポイントの不審な動作を検知し、マルウェアの防御や感染後の対応を迅速に行なう仕組みです。
一方のSOCサービスとは「Security Operation Center」の頭文字を取った用語で、24時間365日体制で実施されるネットワークやデバイスの監視サービスを指します。
社内データの不正持ち出しや業務外利用の防止
社内データの取り扱いに関するルールを定めていたとしても、セキュリティ対策が万全でなければ対価を得る目的でデータを社外に持ち出したり、業務外で不正に利用したりすることは残念ながら可能です。
大切なのは、悪意があるかないか、故意かどうかに関係なく、データを不正に持ち出し、利用できない環境を構築することです。ゼロトラスト型のセキュリティー対策は、IDやアクセスの権限を管理し、内部からの不正を防ぎます。
業務用デバイス紛失・盗難時の閲覧防止
社用スマートフォンやタブレット端末、パソコンなど、利用するデバイスの数は増えています。比例して紛失・盗難のリスクも高まっています。
業務用デバイスの紛失・盗難が起きた場合に、情報が閲覧されるのを防ぐのが「MDM(モバイルデバイス管理)」です。 MDMとは、「Mobile Device Management」の略称で、企業で使われる持ち運び可能な業務用デバイスに関して、遠隔で一括管理・監視するサービスやソフトウェアです。
MDMを導入すれば、デバイスの紛失・盗難時には、端末のロックやデータ消去が容易に行なえます。また、「セキュリティ上リスクのあるアプリケーションの消去」「業務に不要な機能の利用制限」といった操作もでき、通常時のセキュリティ強化・管理効率化にも寄与します。
Eメール誤送信やファイル流出の防止
Eメールの誤送信やファイルの流出といった内部からの情報漏えい対策に有効なのが、「DLP」というシステムです。DLPとは、「Data Loss Prevention」の略称で、情報漏えいや消失を防ぐべき重要な情報を識別し、監視・動作制限を実施する仕組みです。
例えば、機密情報が含まれたEメールを送信しようとすると、DLPが危険を検知して送信を制限します。また、従業員が機密情報のデータをコピーしたり、キャプチャしたりする行動も制限可能です。
ゼロトラスト型セキュリティ対策導入のメリット
ゼロトラストを導入することのメリットは3つあります。ここでは、それぞれのメリットを具体的に解説します。
情報漏えいや不正アクセスのリスクが減る
全てのアクセスをセキュリティリスクと捉えるゼロトラスト型セキュリティ対策においては、必要な人にだけアクセスを許可する仕組みを構築できます。
アクセス可能な従業員が限定されることで、情報漏えいや不正アクセスのリスクが減るだけでなく、万が一被害が発生した際にも、原因を突き止めやすい点にメリットがあります。
クラウドサービスを安全に利用できる
クラウドサービスを業務利用すると、自社で設備を整えるコストの削減や、多様化する働き方に対応しやすくなるなどの利点が多い反面、サイバー攻撃などにより、社内の情報資産にアクセスされるリスクが高まります。
しかし、ゼロトラスト型セキュリティ対策を採用すれば、クラウドサービスに対するすべてのアクセスが監視できるようになるので、セキュリティリスクを減らせます。安全性が高い状況で、クラウドサービスを利用可能なので安心でしょう。
セキュリティ設定がシンプルかつ強固になる
ゼロトラスト型セキュリティ対策を導入すると、アクセス時に毎回認証する仕組みや、多要素認証などの対策により、強固なセキュリティ体制の構築が可能です。
強固なセキュリティと聞くと、煩雑な設定がなされ、サービス利用時に手間がかかることをイメージする方もいるかもしれません。
しかし、ゼロトラスト型セキュリティ対策を導入するとセキュリティ体制の強化とユーザーの負担軽減を両立できます。
ゼロトラスト型セキュリティ対策では「SSO(シングルサインオン)」の導入により、セキュリティ設定をシンプルにできます。
SSOとは、「Single Sign-On」の略称で一度のユーザー認証(1つのID・パスワード)で、権限が与えられた複数のサービスにログインできる仕組みを指します。
ゼロトラスト型セキュリティ対策導入のデメリット
ゼロトラスト導入にはメリットもありますが、デメリットもあります。ここでは、ゼロトラストの導入により生じ得るデメリットを2つ紹介します。
導入や維持に対するコストがかかる
ゼロトラスト型セキュリティ対策を実現するには、既存の仕組みを見直し、新たにシステムを構築しなければなりません。社内外問わず、すべてのアクセスを対象とするので、導入コストが高くなりも、維持コストもかかります。
しかし、情報漏えいなどの事態が起きた場合に想定される損害額を鑑みると、ゼロトラスト型セキュリティ対策の導入や維持に要するコストは、企業を守るために必要な支出だといえるでしょう。
業務の利便性が下がる可能性がある
ゼロトラスト型セキュリティ対策ではすべてのアクセスをリスクだと捉えるため、アクセスするたびに認証が必要となるので、業務中にログインが必要な場合、ログイン時とログイン状態を維持するのに余計な手間がかかります。そのため業務においての利便性や生産性が一部下がる可能性があります。
ゼロトラスト型セキュリティ対策を導入する際は、なぜ情報資産を守るべきか、その重要さを従業員にも理解してもらい、協力体制を整えましょう。
ゼロトラスト導入時の注意点
ここでは、ゼロトラスト型のセキュリティー対策を導入する際の注意すべき点を紹介します。
ゼロトラストを導入する際、暗号化やアクセス制限、ログの管理やエンドポイントセキュリティなどのシステム導入が必要となりますが、まずは、自社のセキュリティにおけるリスクや課題を洗い出すことから始めましょう。
洗い出したリスクや課題をもとに、何から解決していくか優先順位を付けて対応していくことで、効率的に必要なシステムのみを導入でき、コストや時間の削減につながります。
ゼロトラストについてのまとめ
以下に、ゼロトラストについての要点をまとめます。
・ゼロトラストとは、守るべき情報資産にアクセスするものは「すべて信頼しない」ことを前提とした、新しいセキュリティの概念・考え方
・クラウドサービスの普及やリモートワークの増加、使用デバイスの多様化などにより、ゼロトラストへの注目度は高まっている
・情報漏えいや不正アクセスなどのリスクを低減できるゼロトラストの考え方に基づくセキュリティ対策事例:多要素認証、EDR、SOCサービス、MDM、DLP
・ゼロトラストを導入する際に大切なのは、自社のセキュリティリスクや課題を洗い出し、情報資産の全体像を把握したうえで、優先順位を付けて対応していくこと
(免責事項) 当社(当社の関連会社を含みます)は、本サイトの内容に関し、いかなる保証もするものではありません。 本サイトの情報は一般的な情報提供のみを目的としており、当社(当社の関連会社を含みます)による法的または財務的な助言を目的としたものではありません。 実際のご判断・手続きにあたっては、本サイトの情報のみに依拠せず、ご自身の適切な専門家にご自分の状況に合わせて具体的な助言を受けてください。