ゼロトラスト
クラウドサービスの普及が進んでいる中、会社の内外で境界を引いて重要な情報資産を管理するという従来の情報セキュリティに変革が求められています。企業がDXやAI活用・テレワークといった時流に適応していくために重要となる、ゼロトラストという新しい情報セキュリティの考え方についてお伝えいたします。
- ~目次~
- 1.ゼロトラストとは
- 2.ゼロトラストの仕組み・考え方
- 3.ゼロトラストの考え方が広まった背景
- 4.ゼロトラストのメリット・デメリット
1.ゼロトラストとは
ゼロトラストとは、社内・社外問わず自社の重要な情報資産への全てのアクセスに対して認証を求めるという情報セキュリティの考え方です。従来の情報セキュリティである、社内・社外の間に引いた境界線をまたぐアクセスに対してのみ認証を求めるペリメタセキュリティに変わる考え方として注目されています。
2.ゼロトラストの仕組み・考え方
ゼロトラストの根本思想は「Verify and Never Trust(決して信頼せず必ず確認せよ)」です。社外からのアクセスは言うまでもなく、社内ネットワークからのアクセスでさえ信頼せず確認・認証を求めます。
ゼロトラストセキュリティは下記7要素のすべてを管理・条件を満たす必要があります。
- 1)デバイス
- 社内で管理しているデバイスからのアクセスのみを許可する
- 2)ネットワーク
- 社外に対してのアクセス承認に加えて、社内アクセスも端末ごとに認証を行う
- 3)データ
- 情報資産の持ち出し・外部からの脅威に対して対策する
- 4)アイデンティティ
- アクセス時のID/PASSは定期的に更新するなどのセキュリティを講じる
- 5)ワークロード
- 社内で保有するすべてのシステムを社員個人レベルで監視して脅威の発生を防止する
- 6)可視化と分析
- セキュリティ状態の可視化・攻撃に対しての検出・対応を分析する
- 7)自動化
- 管理・運用のプロセスは自動化して問題発生時に素早い解決ができる
ゼロトラスト実現に向けた具体的な施策としては、ネットワーク通信経路の暗号化や多要素認証によるユーザー認証・ネットワークに接続したデバイスのログ管理などが挙げられます。
3.ゼロトラストの考え方が広まった背景
ゼロトラストの考え方が広まった背景には、クラウドサービス・テレワークの普及が大きく関係しています。
DXやAI活用への注目が高まる中、ブラウザ上で利用できるクラウドサービスが普及し社外から社内情報にアクセスすることが可能になりました。また、新型ウイルス感染拡大を受けて自宅でのテレワークも進展しています。そのため、社内の情報資産が社外に点在することになり、「守るべき情報資産は社内にある」という従来の情報セキュリティの前提が崩れました。
したがって、社外・社内問わずすべてのアクセスに対して認証を求めるゼロトラストの考え方が重要になりました。
4.ゼロトラストのメリット・デメリット
ゼロトラストのメリット・デメリットは以下の通りです。
- (メリット)
- ①情報セキュリティの強化
- ②セキュリティを担保した上でのクラウドサービスの積極活用が可能
- (デメリット)
- ①導入コストがかかる
- ②認証の頻度が増えることで業務の効率が下がる可能性がある