脱IT初心者「社長の疑問・用語解説」(第55回) ゼロトラストはゼロベースで検討

脅威・サイバー攻撃

公開日:2022.07.06

 セキュリティ強化が経営課題だと理解しても、何から手を付ければいいのか分からない。そんなIT初心者の社長にも、分かりやすく理解できるようにITキーワードを解説する本連載。今回は、まず疑ってかかる「ゼロトラスト」だ。

「社長、中堅中小企業を狙ったサイバー攻撃が増えています!当社もゼロトラストを考慮した対策を検討しませんか。先に言っておくとゼロトラストとは、『何も信頼できない』という前提で対策を立てるというセキュリティの考え方です」(総務兼IT担当者)

「君の信頼も……、ついにゼロになったか」(社長)

「いえいえ、私の信頼はいつも満タンですよ。トラストが歩いているみたいなもんです!」

「そういうところが信頼できないんじゃないか。まずはワシにも分かるように説明して、信頼を取り戻しなさい」

「何も信頼できない」を前提に対策を講じる

 ゼロトラストは、「トラスト(信頼)」が「ゼロ(何もない)」という意味です。よりかみ砕くと、次のような点を意味します。従来の考え方では、社外からの攻撃をブロックできれば、社内ネットワークは安全という前提でした。多様化し、巧妙化するサイバー攻撃に対して今や社内ネットワークも安全ではありません。何も信頼できないという前提で、さまざまな対策を講じる必要があるのです。

Q ゼロトラストとこれまでの考え方の違いを教えてください

 単純に言うと、これまでは社内ネットワーク=信頼できる、社外=信頼できないという構図でセキュリティ対策を立てていました。ところが、テレワークで社外から社内システムを利用したり、クラウドサービスを利用したりするようになり、社内外の境界が曖昧になっています。社外にいる社員のノートパソコンがウイルス感染する可能性もあります。

 また、サイバー攻撃が巧妙化し、長期間にわたり攻撃に気付けないケースもあります。社内外のあらゆる場所が危険との認識から、何も信頼しないというゼロトラストの考え方が重要視されているのです。

Q ゼロトラストではどんな対策が必要ですか

 ネットワーク、システム、端末、利用者といった業務に関わるあらゆるものが対策の対象となります。例えばネットワークでは、これまでと同様に社内ネットワークとインターネットの境界を防御する対策が必要です。

 業務で利用するパソコンやタブレット、スマホなどの端末のウイルス対策を行ったり、社内システムやクラウドサービス利用時にユーザー・端末認証を行ったりするなど、アクセス制御の仕組みも必須です。標的型メール攻撃などの被害に遭わないよう、定期的な社内訓練も欠かせません。

Q ソリューション検討時の注意点はありますか

 ゼロトラストのセキュリティ対策では、サイバー攻撃に遭わないようにする事前対策はもちろん、攻撃に遭った場合の事後対策も必要です。被害特定や復旧、再発防止といった事後対策までサポートしてくれるソリューションを検討しましょう。社外からの不正な通信やセキュリティ機器の異常検知などの監視や、問題発生時のサポート体制も評価ポイントです。セキュリティ事情に精通し、継続的に対策を任せられるITサービス事業者に相談するといいでしょう。

ゼロが一番「ゼロトラスト」

「社長、ゼロトラストの考え方を分かっていただけましたか」(総務兼IT担当者)

「ゼロトラストが何も信頼せずに疑ってかかることは分かった。いろいろな対策を検討する必要がありそうだが、大丈夫なのか」(社長)

「はい。私を信頼してお任せください!」

「なにしろゼロトラストだからな。対策費用もゼロに近づけてくれ」

執筆=山崎 俊明

【MT】

あわせて読みたい記事

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

脱IT初心者「社長の疑問・用語解説」

もっと見る

カテゴリー 一覧