新型コロナウイルスの感染拡大が企業に突きつけた「リモート前提」のビジネス環境は、企業ITの形を根本的に変えようとしている。特に情報セキュリティの観点では、アクセスの急増によりVPNの容量が不足する問題がさまざまな企業で浮上。また、社内外ネットワークの境界を守る従来型のセキュリティでは、企業の外で働く従業員を脅威から守ることができず、セキュリティ対策としての限界が顕在化している。そうした中で大きな注目を集めているのが「ゼロトラスト」の考え方だ。ゼロトラストとは何を指し、企業はどう取り組むべきなのか、改めて考えてみよう。
（取材・文／指田昌夫 編集／前田幸慧）

“強制リモート”で露呈した
従来型セキュリティの限界

　2020年、新型コロナウイルスの感染拡大が社会を揺さぶり続けている。その猛威は今も収まる気配がない。特にビジネスの現場では、4月に全国を対象とした緊急事態宣言が発動され、多くの企業がオフィスのへの出勤を取りやめ、在宅勤務に切り替えた。強制的リモートワークが始まったのだ。医療や公共セクター、食品販売など社会活動を維持する活動に関する業務を除き、そこから2カ月間、ビジネスの場はインターネット上に移行した。そして現在も、全部または部分的なリモートワークを多くの企業が継続している。

　この数年、政府の重点政策の一つとして「働き方改革」が打ち出され、企業ではリモートワークや残業削減などの取り組みが進められてきた。だが、それまでの進み方と比べて、コロナ禍で強いられたリモートワークのインパクトは、比べものにならないぐらい大きい。

　これまで、ほとんどの企業は、リモートワークは一部の従業員が行うもので、仕事の中心はあくまでオフィス内部にあると当たり前に考えてきた。インターネットを介して仕事をするには、当然それに対応したITインフラが必要になるが、基本的にITは企業の中で仕事をしている従業員のためのもので、例外的に外部から仕事をする人は、まず企業の中にログインし、そこから企業の内部の情報にアクセスする方法が中心だった。

　情報セキュリティの世界も、この形のITインフラに対応するように設計されていた。企業内部を安全に保ち、外部との間に「境界」を設け、そこを通過する情報を監視して外部からの不正な侵入を防ぐことに、さまざまな技術が用いられた。いわゆる「境界型セキュリティ」である。



　従業員がオフィスに出社し、境界の中で働くことが前提であれば、境界を守るセキュリティの考え方にも一定の合理性はあった。だがコロナがその前提を完全にひっくり返した。すべての仕事を、従来“危険”とされてきた社外で行わなければならなくなったのだ。

　これに対応するため、企業はリモートワークの仕組みを利用することになったが、もともと例外的な一部従業員への対応のために作っていた企業がほとんどだったため、さまざまな問題が起きた。そもそもリモートワークに使えるPCが足りないことにはじまり、社外からの安全なアクセスを実現するためのVPN用の機器が容量不足で、追加の購入が必要だったり、ネットワーク回線そのものの増強を迫られたりする企業も多かった。特にセキュリティ面では、VPNの容量不足が深刻な問題で、企業によっては満足にアクセスできないために出社せざるを得ない従業員も出ていたという。

　もう一つの問題は、リモートワークで重要なITツールである「Zoom」や「Microsoft Teams」などのWeb会議システム、「Slack」などのビジネスチャット、「Microsoft 365」などのクラウドアプリケーションを利用する場合でも、企業のネットワーク経由でアクセスする必要があったことだ。インターネットから直接使うことが許されなかった企業は、いったん企業ネットワークにログインし、そこからまたインターネットに出て行ってクラウドアプリを使うという非合理的な利用法を採らざるを得ず、結果的に社内ネットワークを圧迫することにつながった。

　さらに、こうしたクラウドアプリケーションのビジネスへの浸透で、企業が守るべき情報は、すでに企業の中だけでなく、クラウド上にも散在してしまっていることは見逃せない。社内で管理しているデータだけでは、企業として統制がかけられているとは言えないのである。クラウド上の動きも含めて、従業員のデータアクセスを監視し、ガバナンスを効かせる必要が出てきている。

　これらの問題を含みながら、セキュリティを確保しつつリモートワークを実現するために、多くの企業が苦しみ、境界型セキュリティの限界を感じていた。この先、コロナの感染状況によっては再びリモートワークを主力に業務を行う事態も想定される。企業の外からでも、直接インターネットを駆使して安全に仕事を進められる環境の構築が、急務となっている。

境界型セキュリティに代わる
「ゼロトラスト」とは

　そうした中、境界型セキュリティに対する新しい考え方として注目されているのが「ゼロトラストセキュリティ」である。その誕生は意外に古く、米フォレスター・リサーチが2010年に提唱したモデルだが、当時はリモートワークへの対応のためではなく、従来の境界型セキュリティが抱えているいくつかの問題を解決する概念として登場した。

　問題点の一つは、「境界の外は危険、中は安全」という考え方では、どんなに境界を厳重に防御しても、不正プログラムがいったんそれを破って中に侵入してしまえば内部で自由に情報窃取などの犯罪行動ができてしまうことだ（ラテラルムーブメント、横展開と呼ばれる）。攻撃者にとっては、未知の脆弱性（ゼロデイ）を用いた攻撃などで侵入することにだけ心血を注げば、あとはやりたい放題というおいしい状況なのである。企業側にとっても、幾重にも重ねた外部からの防御態勢への投資を繰り返しているが、それで本当に安全なのかという確信が持てていない。

　もう一つの問題は、企業内部に犯罪者がいる場合だ。最初から正規の入場が許されている従業員などに対して、「中は安全」とみなす境界型セキュリティは無力である。2010年までに、こうしたセキュリティ侵害や情報漏えい事件が相次いだため、ゼロトラストの考え方が出てきたとも言える。

　では、ゼロトラストとは何か。その名の通り、「何も信用しない」という方針に基づいたセキュリティの仕組みを指す。企業内部でも、外部でも関係なく、すべてを怪しいアクセスとしてセキュリティ対策を実施する考え方である。
 
　企業にセキュリティサービスを提供するラックの仲上竜太・セキュリティプロフェッショナルサービス事業統括部デジタルペンテストサービス部部長は、ゼロトラストの基本的な考え方について、「ゼロトラストは“アンチ境界型”とよく言われるが、実際に境界型とは全く違うコンセプトかというとそうではなく、“境界を限りなく小さくする”という考え方が基本だ。ネットワークを安全と危険に分けることはせず、すべて危険という前提に立つ。守るべきものはデータであるから、ユーザーがデータにアクセスしようとしたときに、その都度正しいアクセスのものかを判断することで、データそのものを守っていくというのが、ゼロトラストのアプローチだ」と説明する。

　また仲上部長は、ゼロトラスト市場の成熟化についても指摘。「これまでのセキュリティ製品ではこうした考えを実現できるものが少なかったが、最近になって各社からのゼロトラストに対応した製品やソリューションが増えており、10年経って実装として使えるようになってきた」と話す。対応製品・ソリューションが出そろってきたところで、今年勃発したリモートワークへの緊急対応が引き金となり、ゼロトラストへの動きが急拡大しているというわけだ。

　事実、企業側のゼロトラストへの関心も、非常に高い。IT製品の専門商社であるマクニカネットワークスでも、ゼロトラスト関連製品を担当する部署への引き合いは非常に多いという。
 
　「5年ほど前にクラウド化のブームがあったときは、最初に先進企業、次に大手企業、最後に中小企業といった導入の流れが見られた。しかし、今回のゼロトラストは、皆が一斉に動いている印象がある。また顧客企業の側も十分に情報収集、勉強しているケースが多い。これはやはりコロナの影響が大きく、本気度を感じる」と、塩澤将弘・第2技術統括部第3技術部部長は語る。

　また、同社の小田切悠将・第4営業統括部第1営業部第1課課長代理は、ゼロトラスト化を軸に、企業のIT戦略や予算を見直している企業も多いと話す。「ゼロトラストの全体像はかなり壮大なものになるが、従業員が何千人という大企業でも本格的な導入を検討しているところが多いことも特徴で、われわれも驚いている。予算の使い方の中でも優先順位が上がっていると感じる」
 
　ゼロトラストは、セキュリティ分野のバズワードという小さな存在ではなく、企業のITインフラ、ネットワークの在り方、さらに言えば働き方そのものを大きく動かす重要なキーワードとなっている。その中身はどういうものなのか、見ていこう。

[次のページ]複数のソリューションの組み合わせで実現