このページの本文へ

ゼロトラストセキュリティを実現するためのバックアップのあり方 第1回

サイバー対策におけるゼロトラストモデルの価値と活用方法について

2022年09月27日 08時00分更新

文● デイブ・ラッセル(Dave Russell)/Veeam Software エンタープライズ戦略担当バイスプレジデント(寄稿)

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 サイバーセキュリティ業界の最新のバズワードの1つは、“ゼロトラスト”なセキュリティモデルです。端的に言えば、ゼロトラストモデルとは、基本的にエラーの余地をまったく残さず、誰も何も信頼しないことを意味します。

 新型コロナウイルスがもたらした新しい生活様式によるハイブリッドな労働環境や、メタバース、Web 3.0、拡張現実(AR)、仮想現実(VR)などの新しいテクノロジーによって、サイバーセキュリティ業界は将来起こり得ることに可能な限り対応できるように、これまでも、これからも懸命に取り組んでいます。しかし、これらのテクノロジーの進化とそれに付随する影響は現時点ではまだ明確でないため、これらのテクノロジーを活用する際には慎重になる必要があります。

ゼロトラストとはいったい何か

 では、ゼロトラストとはいったい何なのでしょうか? 新しい製品なのか、なんらかの認証なのか、あるいはサイバーセキュリティ業界における単なるバズワードにすぎないのでしょうか?

 企業のなかには、ゼロトラストを実際の製品か認証だと考えているところもあるかもしれません。ゼロトラストモデルは、サイバーセキュリティ業界において製品でも新たな認証でもありません。それは、エンドツーエンドのサイバーセキュリティとクラウドセキュリティを確保するために導入されます。社内だけでなく社外のステークホルダーのセキュリティ保護にも通ずるソリューションです。根幹となる概念は「決して信用するな、常に検証せよ」というものです。また、あらゆるアプリケーションやプラットフォームへのアクセスを許可するために多要素認証を有効にすることも含まれています。さらに、セキュリティ侵害を回避し、セキュリティレベルを高めるために、セキュリティ境界のマイクロセグメンテーション(ネットワークを複数の細かいセグメントに分割して構成すること)を採用することも重要です。

 どんなに新しいセキュリティ機能やモデルでも、社員の中にコンプライアンスと良い業務習慣を築かなければ、完全にリスクを回避することはできません。また、アプリやプラットフォームにアクセスする際に、社員が多要素認証を使用できるようにすることも重要です。これは、IT管理者、リーダークラスの役職者、あるいは開発担当者など、誰の手によっても解除されるべきではない付加的なコンプライアンスレイヤーの形態の1つです。組織内でより良いセキュリティ体制を構築するためには、上層部から一般社員へのアプローチと、すべての社員が継続的に認証と検証を受けることが必要です。

 ゼロトラストモデルは、単に多要素認証のことではありません。あらゆる種類のアプリケーションやデータにアクセスするために、すべてのユーザーが認証を受け、権限を与えられ、セキュリティ設定が継続的に検証される必要があります。これは、セキュリティの追加レイヤーとして行われます。このモデルには、社員がリモート環境下でも認証および確認ができるなど、さまざまな利点があります。これにより、遠隔地やハイブリッドな環境で安全に作業できるようになります。

 では、ゼロトラストモデルはいつでも好きなときに導入できるものなのでしょうか?

ゼロトラストモデルを導入する前に

 新しいセキュリティモデルを導入する前に、投資対効果を理解する必要があります。つまり、本当に必要なのかどうかを知る必要があります。ゼロトラストはビジネスの最も重要な資産を保護するためのアプローチですが、「ジュースは絞る価値がある」かどうか※注を知ることも同様に重要であることを理解する必要があります。

(※注:ジュースはおいしいですが、コップ一杯分のジュースを作るために果実を搾るのは努力が必要で、その努力をしてまでそのジュースを作ることに価値があるのだろうかということ)

 ゼロトラストセキュリティの導入を決定する際には、すでにデジタル化が浸透した組織である必要があります。つまりは、ゼロトラストモデルを組織内で適用するためには、クラウドとサイバー保護を必要とするデジタル資産を持つ組織であるかということです。社員は、自分自身を証明・確認することができるデジタル資産を持つ必要があります。

 私たちは、トレンドに乗り、ローンチされたばかりの新しいテクノロジーをすべて導入する必要はありません。まずは自分たちがどんなセキュリティニーズを欲しているのかを理解し、それに基づいて行動する必要があります。サイバーセキュリティへの投資は、あなたとあなたの社員が長期的にそれにコミットし、完全なサイバーセキュリティを確保するために良い習慣を構築することを望んでいる場合に、最も価値があるものとなります。

(寄稿:Veeam Software)

■関連サイト

カテゴリートップへ

この連載の記事