オンプレミスからクラウドへの移行を考えてはいるものの、セキュリティが心配だと考える企業経営者、担当者の方は少なくありません。クラウドサービスのセキュリティ強化を実現する考え方としては、ゼロトラストが挙げられます。本記事では、ゼロトラストの概要や注目されている理由などについて解説します。今後の参考にしてください。
ゼロトラストとは
ゼロは無を意味し、トラストは信頼や信用を指します。ゼロトラストとは、セキュリティにおける概念、考え方のことであり、何も信頼しないことを前提としてセキュリティ環境を構築することです。近年、このような考え方に基づくセキュリティ環境の構築を進める企業が増加しています。
ゼロトラストに基づくセキュリティ環境では、あらゆるアクセスを信用しません。外部からの攻撃だけでなく、内部での不審な活動も警戒します。内部は安全、といった油断はせず、全階層で鉄壁の防御体制を整えることにより、組織を守ります。
ゼロトラストの概念が注目を集め始めたのは、現代のビジネス環境にマッチしているからです。さまざまなクラウドサービスが登場し、テレワークの普及により社内外から組織の情報にアクセスするシーンも増えました。
このようなビジネス環境へと変化したことで、従来のようなセキュリティの概念や対策では、対応しきれなくなっています。今後も、ますますクラウドサービスの利用シーンは増加し、テレワークやモバイルワークなど、多様な働き方を取り入れる企業が増えると考えられていることから、ゼロトラストの考え方が注目されているのです。
従来型のセキュリティモデルとの違い
従来のセキュリティモデルは、境界型と呼ばれています。組織の内と外に境界を設け、そこで悪意あるアクセスをシャットアウトしようとするセキュリティモデルです。
かつては、現在のようにクラウドサービスもそれほど多くありませんでした。テレワークも普及しておらず、社員はオフィスで業務を行うのが一般的だったのです。それゆえに、悪意ある者からの攻撃は外部のみからであるとの前提に立ち、防御体制を整えていました。
具体的には、ファイアウォールなどを中心に防御壁を設けて悪意あるアクセスをシャットアウトしていたのです。この手法では、たしかに外部からの脅威に対応できますが、完全に悪意あるアクセスを防げるわけではありません。
サイバー攻撃の手口は年々巧妙化しており、あらゆる手法を駆使して内部に侵入しようとします。万が一、内部に侵入されてしまった場合、内側から攻撃を仕掛けられてしまうおそれがあるのです。
一方、すべてを信用しないゼロトラストに基づくセキュリティ環境では、組織内部でのアクセスも警戒します。内部のアクセスだからと信用しきらず、最初から疑ってかかるのです。適切な権限の付与や、多要素認証の導入などにより、社内アクセスの信用評価を頻繁に行い、トータルでのディフェンス力を高めているのです。
クラウドサービスの情報を守る方法としてゼロトラストが注目される理由
近年になり、ゼロトラストという言葉をよく耳にするようになりました。そのため、最近誕生した言葉、考え方と認識している方が多いようですが、実際には10年以上前からある考え方です。
2010年に、Forrester Research社のアナリストが、ゼロトラストを提唱しました。では、10年以上も前からある考え方なのに、なぜ今になってゼロトラストがこれほど注目を集めるようになったのでしょうか。
テレワークやクラウド利用はこれからも加速
クラウドサービスの情報を守るには、ゼロトラストに基づくセキュリティ環境の構築が必要だといわれています。そして、クラウドサービスの利用は今後も加速の一途をたどると考えられています。
すでにクラウドサービスは、我々にとって身近な存在となりました。スマートフォンの情報保存や管理といった個人での利用をはじめ、企業もビジネスでクラウドを利用しています。また、総務省や経済産業省など国の機関においても、AWSを採用し迅速な行政サービスの提供に取り組み始めたのです。
AWSとは、Amazon Web Serviceというクラウドコンピューティングサービスのことです。2020年10月に、第二期政府共通プラットフォームとして、AWS上で運用を開始したと発表がありました。このように、省庁においてもクラウドサービスの利用が拡大しており、今後もこのような流れは加速化すると考えられます。
また、働き方改革の推進や、新型コロナウイルスの流行などにより、テレワークを導入する企業が増えています。多様な働き方ができる社会を目指し、少しずつテレワークは浸透していましたが、新型コロナウイルスの流行により、一気に広がりを見せました。
新型コロナウイルスの脅威はいまだ続いており、状況が大きく好転する兆しは見えません。働き方改革の推進もあり、今後ますます多くの企業がテレワークやモバイルワークなどの導入を始めるでしょう。
このように、テレワークやクラウド利用は、今後ますます拡大すると考えられます。あらゆる場所や端末、人からのアクセスに対し、従来型のセキュリティモデルでは対処しきれません。このような理由から、ゼロトラストが注目を集めています。
従来型のセキュリティモデルの限界
従来型のセキュリティモデルは、外部とのあいだに強固な壁を作り、内部への侵入を許さない考え方です。社外からのアクセスを制限し、悪意あるアクセスを排除する手法です。
このようなセキュリティモデルは、たしかにひと昔前では有効でした。攻撃は外から行われるとの認識が一般的であり、内部から攻撃されるとは考えてもいなかったのです。
しかし、時代は大きく変わり、現在ではクラウドサービスやテレワークが普及しました。社員が自宅で業務に取り組み、自宅からクラウドサービスへアクセスする、といったこともごく普通に行われています。
つまり、外部から社内へのアクセスを制限するだけの手法では、対応できないのです。どれほど境界を強固にしても、クラウドサービスへ不正アクセスされてしまっては、情報の流出を止められないでしょう。また、巧妙な手口で内部に侵入された場合、社内からのアクセスは安全との考えでセキュリティが構築されていると、好き勝手に攻撃されてしまうおそれがあります。
このように、従来型のセキュリティモデルでは、今の時代に対応できません。あらゆる脅威を警戒し対処する、ゼロトラストに基づいたセキュリティ環境の構築こそ、今の時代にマッチしています。
ゼロトラストはクラウド化と相性が良い
近年、オンプレミスからクラウドへ移行する企業が増えました。クラウド化により、管理や運用コストの大幅な軽減が実現でき、サーバーの増強や負荷の分散なども低価格で行えるからです。
ゼロトラストが注目されている理由として、クラウド化との相性のよさも挙げられます。ゼロトラストはクラウドベースで認証が行われ、セキュリティの管理に関しても一元化が可能です。
クラウドベースで、デバイスやユーザーごとに認証を行うため、強固なセキュリティ環境を構築できます。さらに、クラウドでの認証に一元化してセキュリティ管理を実現できるため、管理負担やコストの軽減にもつながるのです。
このように、クラウド化とゼロトラストは高い親和性があります。だからこそ、クラウドで管理している情報を守る方法として、ゼロトラストの考え方が注目されているのでしょう。
まとめ
従来型とは異なる、ゼロトラストの考え方なら、クラウドサービスの情報を守れます。内部からの情報漏洩を回避することにもつながるため、この機会にゼロトラストに基づくセキュリティ環境の構築を検討してみてはいかがでしょうか。クラウドサービスの導入やセキュリティ強化には、TCSのような実績あるコンサルに相談するのも有効です。