ゼロトラストの基本である「誰も信用せず、常に確認する」という考え方は、今の複雑で多様化したクラウドネットワークを守るために欠かせないものになっています。昔は、会社の玄関に鍵をかけておけば大切な情報はその中に守られている、と信じていました。その後、ノートパソコンやUSBメモリが普及し、うっかり電車に国家機密を置き忘れるような話もよく耳にするようになりました。今では、会社のデータはどこからでもアクセスできるようになり、リモートワークや分散型の働き方が広がったことで、「どこでも」は本当に「世界中どこからでも」になりました。

最近では、優れたソフトウェアの多くがクラウドで動いています。世界中のインダストリアルIoTネットワークには何百万台ものデバイスや資産がつながっています。クラウドアプリが必ずしもオンプレミスより安全性が低いわけではありませんが、今のつながる時代には新しいリスクも生まれています。デジタルやクラウド技術の進化で、セキュリティ担当者が守るべき範囲（攻撃対象領域）は広がっています。

昔のサイバーセキュリティは、ユーザーが会社の「仮想の玄関」を通って一度中に入れば安全、という発想で作られていました。これはクラウド以前の考え方です。しかし今は、アクセスポイントが増え、社員のスマホやIoTプリンターも新たな侵入口になり得ます。企業はセキュリティ対策をより強化しなければなりません。サイバー攻撃が過去最高に増えている今、ネットワークセキュリティは最優先事項です。ゼロトラストを導入するには、会社全体での意識や協力が必要です。

ゼロトラスト：定義と戦略

2010年、John Kindervag氏がForrester Researchのアナリストとして活動していた当時、クラウドアプリケーションやIoTデバイスの急速な普及が始まっていました。Kindervag氏は、Forrester社のシステム内にあるデータや知的財産が非常に重要であることを認識し、増大するリスクに対応するため「ゼロトラスト」という概念を提唱し、その中核となる多くの原則の発展を主導しました。

ゼロトラストは、ITセキュリティモデルの一つであり、すべてのユーザーや接続される可能性のあるデバイスについて、社内外を問わず厳格な検証を行うことが求められます。ZTA（ゼロトラストアーキテクチャ）は、各種プロセスやプロトコル、専用のデジタルソリューションやツールを活用することで、その実現を目指します。

ゼロトラストネットワークアクセス（ZTNA）は、Gartnerによって「アプリケーションやアプリケーションセットへのIDベースおよびコンテキストベースの論理的なアクセス境界を作るもの」と定義されています。これにより、アプリケーションはパブリックに公開されず、認証および事前に定められたアクセスポリシーに従ったユーザーだけが利用できるようになります。

しかし、実際のところゼロトラストは、組織内の文化的な変革から始まります。多くの場合、私たちはサイバーセキュリティを意図的に攻撃を仕掛ける悪意ある人物の視点から考えがちですが、実際にはリスクや損失の多くは悪意ではなく知識や理解の不足によるものです。実際、最近のレポートによれば、2022年上半期にはメール攻撃が48%増加し、その多くで従業員がフィッシング詐欺に騙されたり、情報漏洩が発生しています。こうした背景から、教育や文化の醸成がゼロトラスト導入の鍵となることがわかります。

ゼロトラスト原則が今求められる理由

サイバー攻撃が増えているのは、ほぼ間違いありません。2022年には、14の異なる業界と16カ国にわたる1,200の大企業を対象に大規模な調査が行われました。多くの企業がサイバーセキュリティを重視しているにもかかわらず、多くの回答者が自社のセキュリティ対策が十分でないことを認めています。実際、この調査では、2020年から2021年にかけて情報漏えい件数が20.5％増加したことが明らかになりました。

今日のビジネスが直面しているその他のセキュリティ課題は次の通りです。

• 従来のファイアウォール：多くの企業は、クラウドの普及以前に導入されたファイアウォールに依存しすぎています。VPNはファイアウォールの補助として役立ちますが、カバー範囲が限定的で、業務アプリのパフォーマンス低下を招きやすく、長期的な解決策にはなりません。そのため従業員の生産性にも影響します。

• 認証の複雑：デバイスに依存しないソフトウェアはユーザーにとって便利ですが、セキュリティプロトコルを複雑にしてしまいます。たとえ会社支給のスマートフォンやノートパソコンを使っていても、しっかりとした認証やセキュリティプロトコルが整備されていなければ安全とは言えません。

• サードパーティ製デバイス：パンデミックの影響で、多くの従業員が急遽在宅勤務に切り替わりました。そのため、企業は社員に個人のパソコンやデバイスの利用を認めるしかありませんでした。業務継続のためにセキュリティの抜け道を作らざるを得なかったケースも多く見られますが、こうした一時的な対策を見直し、リモートワーカー向けの堅牢なゼロトラスト対策を十分に導入できていない企業も少なくありません。

• 非承認アプリケーション：SaaS型の業務アプリ利用は増加傾向にありますが、多くのIT部門は手が回らず、ユーザーがIT部門に連絡せず独自にアプリを購入し、社内ネットワークで利用してしまうこともあります。これらのアプリは厳格なゼロトラスト運用の対象外となり、セキュリティ対策が十分でない場合もあります。

• IoT接続：インダストリアルIoTデバイスは、ファンのようなシンプルなものから溶接機のような複雑なものまで様々です。これらのデバイスは一般的に「コンピュータ」と認識されにくいため、社内ネットワークへのアクセスポイントとなるリスクが見過ごされがちです。ゼロトラストアーキテクチャの導入により、すべてのエンドポイントやマシン、IoT資産のセキュリティを自動化されたプロセスで確保できます。

• オムニチャネルポータル：ビジネスクラウドには従業員だけでなく、店舗内のスマートシェルフやモバイルアプリによる「どこでも決済」など、さまざまなコネクテッドデバイスが利用されています。これらのオムニチャネルポータルは新たなリスクとなるため、ゼロトラストを導入することで、顧客に不便をかけずにリスク管理が可能となります。

• ERPのセキュリティ課題：これまでERPシステムは特定の業務や財務処理に限定され、利用者も限られていました。しかし、現在のクラウドERPシステムは、AIや高度な分析機能、拡張性の高いデータベースによって進化し、さまざまな業務やシステムと連携してビジネス全体の最適化に活用されています。最新のERPシステムにも高度なセキュリティが搭載されていますが、利用範囲の拡大により新たな脆弱性も生じています。ゼロトラストの考え方を強力なクラウドERPセキュリティに適用することで、あらゆる段階でビジネスを守ることができます。

ゼロトラストの仕組みとは

ゼロトラストは、多要素認証やエンドポイントのセキュリティ対策、クラウドベースのツールなど、さまざまな技術やプロトコルを組み合わせて、ユーザーやエンドポイントの属性やIDを常に監視・検証します。また、ゼロトラストではデータやメール、ワークロードの暗号化も不可欠です。基本的なゼロトラストの考え方は以下の通りです。

• 誰が、どこから、どのデバイスや資産であってもネットワークへのアクセスを厳格に制御・制限する

• ネットワークのどのレベルにアクセスできるか、もしくはアクセス権を持つユーザーや資産をしっかり検証する

• あらゆるネットワークトラフィックをリアルタイムで記録し、監視・確認する

ゼロトラストセキュリティモデルでは、「知る必要がある」原則が適用されます。つまり、ユーザーは自分の業務に必要なデータやアプリケーションだけにアクセスできる仕組みです。また、テクノロジーはサイバーセキュリティ強化のための両刃の剣とも言えます。デジタル化や接続性の向上によって攻撃のリスクも高まるため、常に進化し、より迅速なセキュリティ技術が求められます。さらに、ユーザーの利便性や混乱を最小限に抑えることも重要です。そのためには、コンテキストや利用可能なデータポイントを最大限活用し、リアルタイムで柔軟かつ動的に対応できるセキュリティポリシーが必要です。この人は誰なのか、今どこにいるのか、何にアクセスしようとしているのか、その理由は何か、どのデバイスやエンドポイントを使っているのか、といった情報をもとに判断します。

ゼロトラストソリューションのメリット

深刻なデータ漏洩は、企業にとって計り知れない損失をもたらすことがあります。顧客の個人情報はもちろん、財務データや知的財産、そして企業の評判も非常に重要です。セキュリティへの投資は保険のようなもので、必要なときには大きな支出に見えるかもしれませんが、ビジネスを守るためにはむしろ小さなコストです。

ゼロトラストソリューションには、次のような多くの利点があります。

• ハイブリッド・リモートワーク環境の保護リモートワークや個人デバイスの普及により、サイバーセキュリティがますます重要になっています。リスクは企業だけでなく、個々の社員にも及ぶため、厳格な対策でリスクを最小限に抑えることが大切です。

• 俊敏性と新たなビジネスモデルの推進競争力を維持し、変化に対応するには、新しいビジネスモデルやアプリケーション、システムを柔軟に導入できることが求められます。こうした環境でもセキュリティを確保するには、手作業では限界がありますが、優れたゼロトラストツールなら自動化と柔軟なカスタマイズで対応可能です。

• ITリソースコストの削減IT担当者にとって、手作業によるセキュリティ対応は大きな負担です。クラウド化により、セキュリティパッチや更新作業を自動化でき、ゼロトラストの仕組みも多くの暗号化や認証タスクを自動で行えます。

• 資産の正確な管理ゼロトラストでは、すべての資産やユーザー、デバイス、アプリケーションの管理が求められます。適切なソリューションを使えば、在庫情報をリアルタイムで自動更新でき、セキュリティインシデント時の調査にも役立ちます。膨大な資産を持つ企業ほど、正確な管理がコスト削減にもつながります。

• ユーザー体験の向上従来の認証プロセスは煩雑で、ユーザーの負担になりがちでした。ゼロトラストソリューションなら、スムーズでストレスのない認証を実現し、パスワード管理や作業の手間も大幅に軽減できます。

ゼロトラストのベストプラクティス入門

ゼロトラストへの移行が始まったら、以下の作業が必要です。資産の棚卸しや組織内のセグメント分け、スムーズな移行のためのデータ分類などが含まれます。

ゼロトラストはまず決意から始まります。次のステップが導入を後押しします。

• 代理人の活用： ITチームは日々多忙です。リスク軽減や改善点の発見、現実的なロードマップ作成のために、サイバーセキュリティの専門家をアサインすることを検討しましょう。

• コミュニケーション： セキュリティ強化の知らせを聞いて、社員がすぐに前向きな反応を示すとは限りません。セキュリティ対策への投資と同時に、変革の意義を伝えるコミュニケーションにも力を入れましょう。サイバー犯罪の被害は経営層だけでなく、全社員に影響します。実際の事例を交え、データ漏えいが個人や会社全体に及ぼすリスクを理解してもらいましょう。

• 監査： セキュリティの専門家と連携し、リスクチェックリストを作成して各部門を監査します。部門間の壁を取り払い、現場の担当者としっかり連携しましょう。特にサプライチェーンやロジスティクスのような複雑な業務では、現場が弱点や脆弱性を一番よく把握しています。

• 優先順位付け： 業務やタスクごとに重要度や緊急度を評価し、誰がどの情報へアクセスすべきか役割ベースで判断します。こうした優先順位付けは、ゼロトラストの要であるマイクロセグメンテーションの準備にもなり、横方向の侵入や情報漏洩を防ぐ効果があります。

最近では婉曲的な表現が多いですが、「ゼロトラスト」という言葉に社員が警戒心を抱くかもしれません。そのため、導入時には率直に伝えましょう。「信用しない」のではなく、「サイバー攻撃者を信用してはいけない」という意味です。彼らは巧妙に隙を突き、侵入すれば誰にでも被害を及ぼします。