近年、ゼロトラスト(Zero Trust)という言葉がでてきました。この言葉について説明したいと思います。
今までの考え方
ゼロトラストという考え方が出てくるまでは、社内ネットワークと社外ネットワークを分離することができました。そのため、社内ネットワーク内部は信頼できる部分、社外ネットワークは信頼できない部分と分離し、その接続点でセキュリティ対策を行っていました。いわゆる境界型防御と言われるものです。この時は「Trust but Verify(信ぜよ、されど確認せよ)」という考え方です。
ゼロトラストへの移行
境界型防御で従来は十分でしたが、近年はクラウドサービスやモバイル端末の活用等が広がり、社内ネットワークと社外ネットワークを分離することが難しくなりました。そのため、「Verify and Never Trust(決して信頼せず、必ず確認せよ)」という考え方に変化しました。これがゼロトラストの考え方二なります。
つまり、従来であれば、外部からのアクセスを管理すれば情報は守れるという考え方だったのが、守るべき情報へのアクセスを全く信頼せず検証することにより、情報漏洩などの脅威を防ぐという考え方に変化したのです。
急激に最近この言葉が出てきましたが、これは内部からの情報漏洩が多発したことが理由にあげられます。また、クラウドサービスの利用拡大によるセキュリティリスクの増大という点もあげられます。更に、テレワークの急激な普及に伴うセキュリティリスクの増大という点もゼロトラストという言葉が普及した一因であると思われます。
ゼロトラストの実装
ゼロトラストを実装しようとしても範囲が広く、どこから手をつけるべきか迷われている企業が多いと思います。また、ゼロトラストを導入するにあたり、アクセス権限の適切な管理やリアルタイムでのモニタリング等を実施するためのシステムへの投資等中長期的な観点での計画が必要となります。
ゼロトラストのメリットとしては、セキュリティ強化のみならず、クラウドサービスを利用した業務の推進に繋がり、働き方改革や企業文化の変革となり、新たな価値を生みやすい組織に変容するでしょう。近年、労働者はワークライフバランスを重視し、プライベートを充実させるといわれています。したがって、無駄な出勤やテレワーク環境が揃っていない企業は、避けられる虞があります。
「まだ、早い」という考え方はITの世界では通用しません。「周りが導入した」という状態は既に手遅れです。「中小企業だから」「個人事業主だから」という考え方を捨て、専門家に相談しましょう。