新型コロナウイルスの感染拡大が企業に突きつけた「リモート前提」のビジネス環境は、企業ITの形を根本的に変えようとしている。特に情報セキュリティの観点では、アクセスの急増によりVPNの容量が不足する問題がさまざまな企業で浮上。また、社内外ネットワークの境界を守る従来型のセキュリティでは、企業の外で働く従業員を脅威から守ることができず、セキュリティ対策としての限界が顕在化している。そうした中で大きな注目を集めているのが「ゼロトラスト」の考え方だ。ゼロトラストとは何を指し、企業はどう取り組むべきなのか、改めて考えてみよう。
(取材・文/指田昌夫 編集/前田幸慧)

“強制リモート”で露呈した
従来型セキュリティの限界

 2020年、新型コロナウイルスの感染拡大が社会を揺さぶり続けている。その猛威は今も収まる気配がない。特にビジネスの現場では、4月に全国を対象とした緊急事態宣言が発動され、多くの企業がオフィスのへの出勤を取りやめ、在宅勤務に切り替えた。強制的リモートワークが始まったのだ。医療や公共セクター、食品販売など社会活動を維持する活動に関する業務を除き、そこから2カ月間、ビジネスの場はインターネット上に移行した。そして現在も、全部または部分的なリモートワークを多くの企業が継続している。

 この数年、政府の重点政策の一つとして「働き方改革」が打ち出され、企業ではリモートワークや残業削減などの取り組みが進められてきた。だが、それまでの進み方と比べて、コロナ禍で強いられたリモートワークのインパクトは、比べものにならないぐらい大きい。

 これまで、ほとんどの企業は、リモートワークは一部の従業員が行うもので、仕事の中心はあくまでオフィス内部にあると当たり前に考えてきた。インターネットを介して仕事をするには、当然それに対応したITインフラが必要になるが、基本的にITは企業の中で仕事をしている従業員のためのもので、例外的に外部から仕事をする人は、まず企業の中にログインし、そこから企業の内部の情報にアクセスする方法が中心だった。

 情報セキュリティの世界も、この形のITインフラに対応するように設計されていた。企業内部を安全に保ち、外部との間に「境界」を設け、そこを通過する情報を監視して外部からの不正な侵入を防ぐことに、さまざまな技術が用いられた。いわゆる「境界型セキュリティ」である。