近年テレワークが普及したことから、クラウドサービスの利用や新しいシステムの導入が増えました。それに伴い、企業外部からだけではなく内部からの情報漏洩が多発しています。

従来は、企業は外部の脅威から守る対策を重要視する傾向がありました。しかし、外部だけでなく内部にあるセキュリティリスクにも注目するべきとされ、その対策として「ゼロトラスト」の概念が広がっています。

本ブログでは、ゼロトラストとは何か、ゼロトラストセキュリティやネットワークを構築するメリット・デメリットについて紹介します。

ゼロトラストとは？

ゼロトラストとは、その言葉の通り「全てを信頼しない」という考えです。企業は「ゼロトラスト」に基づいて、全てのネットワークやアクセスを社内外に関わらず危険視し、セキュリティ対策を講じることが必要です。

ゼロトラストを実現する対策や戦略のことをゼロトラストセキュリティ、ゼロトラストネットワーク、ゼロトラストアーキテクチャと呼ぶこともあります。

ゼロトラストが重視される理由

以前は社内ネットワークは安全、脅威は社外にあると考えられており、社内外の境界にのみ監視やセキュリティ対策を行っていることがほとんどでした。

しかし、ゼロトラストでは社内の人間や、認証されたアクセスなども信頼しません。というのも、テレワークなどで社内の端末が社外で利用されたり、クラウドサービスを利用して社外でデータを保管していたりするため、社内外の境界がなくなりつつあるからです。

情報漏洩の原因は、従来は外部からのサイバー攻撃が主な原因でしたが、近年では内部不正、つまり組織や企業内部の人間による漏洩も大きな原因となって増えています。

そのため、全てを信頼せず、内部も外部同様のセキュリティ対策や監視を行う必要があるのです。実際、ゼロトラストの重要性は以前から、経済産業省やIPA、金融庁などの機関により発信されています。

ゼロトラストのメリット・デメリット

ゼロトラストにまつわる言葉に「ゼロトラストセキュリティ」「ゼロトラストネットワーク」「ゼロトラストアーキテクチャ」などがあります。

それぞれの意味は、データを守るために全てのアクセスやネットワークを信用しないというゼロトラストの上に成り立つ、厳密なセキュリティ対策やネットワーク対策、アーキテクチャを指します。

それぞれの前提条件や要件等について『NIST Special Publication 800-207』（日本語版：『米国国立標準技術研究所（PwCコンサルティング合同会社訳）「NIST SP800-207」』）にて詳しく説明されています。

以下では、ゼロトラストの考えやツールを取り入れるメリットとデメリットを紹介します。

メリットは、より厳密な認証や検査により、リモートワークには不可欠とされるクラウドサービスを安全に利用できることです。以前ではセキュリティ面で社内でしかできない作業が場所を問わずにできるようになります。

一方、認証の手間が増える、ゼロトラストツールの導入にコストがかかるといったデメリットもあります。

しかし、冒頭で紹介したような内部不正や情報漏洩といった問題が起きてしまうと、ブランドや企業イメージの低下は免れません。問題を未然に防ぐためには、ゼロトラストへの移行を検討する必要があると考えられます。

ブランドセーフティとは？ブランド毀損の危険性

ゼロトラストの詳しい要件や移行方法については、以下の文献で説明されています。

参考文献：

IPA『ゼロトラスト移行のすゝめ』

米国国立標準技術研究所（PwCコンサルティング合同会社訳）「NIST SP800-207」

金融庁『ゼロトラストの現状調査と事例分析に関する調査報告書』