【ITニュース解説】PR: ホワイトハッカーと考える　ネットワーク全体を守る「ゼロトラストセキュリティ」のベストプラクティス

現代のビジネス環境において、企業のセキュリティ対策は大きな転換点を迎えている。これまでの主流であった「境界型防御」という考え方では、巧妙化するサイバー攻撃から情報資産を完全に守ることが難しくなってきたためである。境界型防御とは、社内ネットワークと社外のインターネットとの間に壁を作り、壁の内側は「安全」、外側は「危険」とみなすセキュリティモデルだ。しかし、クラウドサービスの利用拡大やテレワークの普及により、社員が社外から社内システムにアクセスする機会が急増した。また、内部関係者による不正や、マルウェアに感染したPCが社内ネットワークに接続されるリスクも無視できない。このように、社内と社外の境界が曖昧になり、「社内だから安全」という前提が崩壊したことで、新たなセキュリティの考え方として「ゼロトラスト」が注目されている。

ゼロトラストとは、その名の通り「何も信用しない」という原則に基づいたセキュリティモデルである。社内ネットワークであろうと社外であろうと、全ての通信やアクセス要求を信用せず、その都度、正当性を検証することを基本とする。具体的には、誰が、いつ、どの端末を使い、どこから、どの情報にアクセスしようとしているのかを毎回厳格に確認し、許可された最小限の権限のみを与える。これを実現するためには、アクセスするユーザーの本人確認を徹底する「認証」と、そのユーザーに許可された操作範囲を定める「認可」の仕組みが極めて重要となる。例えば、IDとパスワードだけでなく、スマートフォンアプリや生体情報などを組み合わせた多要素認証を必須にしたり、役職や業務内容に応じてアクセスできるデータやシステムを細かく制限したりすることが求められる。

しかし、このゼロトラストという理想的なセキュリティモデルを、全ての中小・中堅企業がすぐに実現できるわけではない。そこには、人的リソースとIT予算の制約という大きな壁が存在する。専門的な知識を持つセキュリティ担当者が不足していたり、他の業務と兼任していたりするケースは少なくない。また、ゼロトラストを実現するためには複数のセキュリティ製品やソリューションを組み合わせる必要があり、その導入・運用コストは大きな負担となる。何から手をつければ良いのか、自社にとって最適なアプローチは何かを見極めること自体が困難な課題となっている。

このような課題を解決するためには、攻撃者の視点を持つホワイトハッカーのように、現実的かつ効果的なアプローチでセキュリティ対策を進めることが有効だ。完璧なゼロトラスト環境を一気に構築しようとするのではなく、自社のリスクを正しく評価し、優先順位をつけて段階的に導入していくことが重要となる。まず取り組むべきは、自社のIT環境の「可視化」である。社内ネットワークにどのようなサーバーやPC、IoT機器が接続されているのか、誰がどのクラウドサービスを利用し、どのようなデータにアクセスしているのかを正確に把握することが全ての始まりだ。管理されていない端末や許可されていないサービスの利用は、攻撃者にとって格好の侵入口となるため、現状を把握することが防御の第一歩となる。

次に、認証の強化が挙げられる。特に多要素認証の導入は、比較的低コストで実現でき、不正アクセス対策として非常に効果が高い。そして、従業員には業務上必要最小限の権限のみを与える「最小権限の原則」を徹底することも重要だ。これにより、万が一アカウントが乗っ取られたとしても、被害の範囲を限定的に抑えることができる。さらに近年では、これらのゼロトラストの要素をクラウドサービスとして統合的に提供する「SASE（Secure Access Service Edge）」や、社内外のどこからでもアプリケーションへの安全なアクセスを提供する「ZTNA（Zero Trust Network Access）」といったソリューションが登場している。これらのサービスを活用することで、企業は自社で複雑なシステムを構築・運用する負担を軽減しつつ、高度なセキュリティレベルを実現することが可能になる。ゼロトラストは一度導入すれば終わりというものではなく、常に脅威の動向を監視し、継続的にセキュリティ対策を見直し、改善していくプロセスそのものである。限られたリソースの中で最大限の効果を得るためには、完璧を目指すのではなく、自社にとって最も重要な情報資産は何かを定義し、そこから優先的に守りを固めていくという戦略的な視点が不可欠だ。