「ゼロトラスト」は新しい働き方に最適か

新型コロナウイルスの脅威に対して、企業は「ニューノーマルな時代の働き方」が求められ緊急事態宣言発令以降、どの会社もテレワークの導入に取り組みました。残念ながら今も継続している企業は当初の３割程度まで低下しているという説もありますが、テレワークは新たな働き方の一つに過ぎません。

 

例えば、Microsoft365でも「場所や使うデバイスを問わず、誰もが創造性を発揮し情報を共有することが出来る」とあるように、よりオープンな働き方が推し進められくるでしょう。

 

その反面、多種多様な働き方にはリスクが付きものです。新しい働き方の環境に適応するために、企業はセキュリティ体制を合わせて変化させていく必要があります。

 

その中の一つの概念が「ゼロトラスト」です。

「ゼロトラスト」とは、「何もない(zero)」と「信頼する(trust)」が組み合わさった用語で「信頼できるものは何もない」と性悪説を前提にした次世代セキュリティ対策の概念です。

 

2018年頃から国内ITセキュリティー分野で叫ばれ始め、2020年6月には「政府CIOポータル」に「 政府情報システムにおけるゼロトラスト適用に向けた考え方 」と呼ばれる文書がディスカッションペーパーとして公表されました。

 

概念に基づく原則は、大きく３つです。

 

ー全てのデータへのアクセスを信用せず、常に検証をする
ー社内、社外といったネットワークの基準を設けない
ー必要な権限しか与えない

 

これまでは外部との間に壁を作り、社内の安全を保つ仕組みが企業セキュリティの主流でしたが、社内外に関係なく働く場所を選ばなくなり、システムがクラウドや外部アプリケーションを扱うようになったり、また個々を狙うサイバー攻撃の頻度を増したりと、様々な状況の変化が境界線を曖昧にし、IT部門の管理が及ばなくなったことが、この概念が求められる要因だと思われます。

ゼロトラストでは、社内外の境界線が取り払われる分、個々の管理が重要になります。

 

●管理方法

ー本人の確認
ー端末ごとのデバイスのチェック
ーデータへのアクセスの制御
ー通信内容の可視化

 

●メリット
ー働く場所を選ばないセキュリティ
－クラウドサービスや外部アクセスの安全性向上

 

●デメリット
－導入コストの増加
－業務効率の低下を懸念

　　　　　　　　　　　　　　　　　　　

一つ一つの行動に検証確認作業が必要となり、非効率な昔の個人管理にさかのぼってしまうような錯覚にも陥りますが、それだけ脅威が増え、守るべき範囲も広くなったということを再認識しなければいけないのでしょう。性善説を性悪説に切り替える点も、日本文化的に大きな変化になるのではないでしょうか。

業種、業態にもよりますが、より柔軟な働き方を追求する一方、守り方も柔軟な対応が重要になってきており、その中でもゼロトラストという概念は、今の時代に必要になってきています。

 

今回は概念の一部のみですが、次世代のセキュリティ導入について、より理解を深めて参りますので、もし機会があれば、弊社の取り組み方や働き方の変化などもお伝えできるかもしれません。