サイバーセキュリティ業界の最新のバズワードの1つは、“ゼロトラスト”なセキュリティモデルです。端的に言えば、ゼロトラストモデルとは、基本的にエラーの余地をまったく残さず、誰も何も信頼しないことを意味します。
新型コロナウイルスがもたらした新しい生活様式によるハイブリッドな労働環境や、メタバース、Web 3.0、拡張現実(AR)、仮想現実(VR)などの新しいテクノロジーによって、サイバーセキュリティ業界は将来起こり得ることに可能な限り対応できるように、これまでも、これからも懸命に取り組んでいます。しかし、これらのテクノロジーの進化とそれに付随する影響は現時点ではまだ明確でないため、これらのテクノロジーを活用する際には慎重になる必要があります。
ゼロトラストとはいったい何か
では、ゼロトラストとはいったい何なのでしょうか? 新しい製品なのか、なんらかの認証なのか、あるいはサイバーセキュリティ業界における単なるバズワードにすぎないのでしょうか?
企業のなかには、ゼロトラストを実際の製品か認証だと考えているところもあるかもしれません。ゼロトラストモデルは、サイバーセキュリティ業界において製品でも新たな認証でもありません。それは、エンドツーエンドのサイバーセキュリティとクラウドセキュリティを確保するために導入されます。社内だけでなく社外のステークホルダーのセキュリティ保護にも通ずるソリューションです。根幹となる概念は「決して信用するな、常に検証せよ」というものです。また、あらゆるアプリケーションやプラットフォームへのアクセスを許可するために多要素認証を有効にすることも含まれています。さらに、セキュリティ侵害を回避し、セキュリティレベルを高めるために、セキュリティ境界のマイクロセグメンテーション(ネットワークを複数の細かいセグメントに分割して構成すること)を採用することも重要です。
どんなに新しいセキュリティ機能やモデルでも、社員の中にコンプライアンスと良い業務習慣を築かなければ、完全にリスクを回避することはできません。また、アプリやプラットフォームにアクセスする際に、社員が多要素認証を使用できるようにすることも重要です。これは、IT管理者、リーダークラスの役職者、あるいは開発担当者など、誰の手によっても解除されるべきではない付加的なコンプライアンスレイヤーの形態の1つです。組織内でより良いセキュリティ体制を構築するためには、上層部から一般社員へのアプローチと、すべての社員が継続的に認証と検証を受けることが必要です。
ゼロトラストモデルは、単に多要素認証のことではありません。あらゆる種類のアプリケーションやデータにアクセスするために、すべてのユーザーが認証を受け、権限を与えられ、セキュリティ設定が継続的に検証される必要があります。これは、セキュリティの追加レイヤーとして行われます。このモデルには、社員がリモート環境下でも認証および確認ができるなど、さまざまな利点があります。これにより、遠隔地やハイブリッドな環境で安全に作業できるようになります。
では、ゼロトラストモデルはいつでも好きなときに導入できるものなのでしょうか?
ゼロトラストモデルを導入する前に
新しいセキュリティモデルを導入する前に、投資対効果を理解する必要があります。つまり、本当に必要なのかどうかを知る必要があります。ゼロトラストはビジネスの最も重要な資産を保護するためのアプローチですが、「ジュースは絞る価値がある」かどうか※注を知ることも同様に重要であることを理解する必要があります。
(※注:ジュースはおいしいですが、コップ一杯分のジュースを作るために果実を搾るのは努力が必要で、その努力をしてまでそのジュースを作ることに価値があるのだろうかということ)
ゼロトラストセキュリティの導入を決定する際には、すでにデジタル化が浸透した組織である必要があります。つまりは、ゼロトラストモデルを組織内で適用するためには、クラウドとサイバー保護を必要とするデジタル資産を持つ組織であるかということです。社員は、自分自身を証明・確認することができるデジタル資産を持つ必要があります。
私たちは、トレンドに乗り、ローンチされたばかりの新しいテクノロジーをすべて導入する必要はありません。まずは自分たちがどんなセキュリティニーズを欲しているのかを理解し、それに基づいて行動する必要があります。サイバーセキュリティへの投資は、あなたとあなたの社員が長期的にそれにコミットし、完全なサイバーセキュリティを確保するために良い習慣を構築することを望んでいる場合に、最も価値があるものとなります。
(寄稿:Veeam Software)
この連載の記事
-
第5回
TECH
ゼロトラストとオープンソースを活用したデータ保護のアプローチ -
第4回
TECH
バックアップはランサムウェアに対する防波堤になり得るか -
第3回
TECH
ゼロトラストへの道のり -
第2回
TECH
ゼロトラストを実現するために知っておくべきアクション - この連載の一覧へ