【SMB向けビジネスの必須科目12】連載『SMB向けビジネスの必須科目』では、全国のSIerやIT販社が、ユーザー企業の変革をビジネスパートナーとして支えるために抑えておくべきビジネスやITのトレンドを「キーワード解説」の形で紹介していく。第12回は、在宅勤務やリモートワークのセキュリティ対策でキーワードになっている「ゼロトラスト（セキュリティモデル）」を紹介する。

「ゼロトラスト（セキュリティモデル）」

　現在の危機的状況で導入が進む在宅勤務やリモートワーク、そして働き方改革を推進していく際に、考慮しなければならないのがセキュリティ対策である。こうした世の中の流れやICT利活用状況の変化を受けて、セキュリティ業界を中心に「ゼロトラスト」という考え方が注目されている。

　多くの企業では、社内と社外の境界上にファイアウォール（FW）などのセキュリティ機器を設置し、マルウェア侵入や不正アクセスの検知・防御や、危険なサイトへのアクセス防止などの対策を行っている。つまり、社内ネットワークの入口に境界を設置して外側からのリスクに備え、内部に安全なネットワーク環境を構築してセキュリティを確保するという考え方である。

　しかし、リモートワークを含む働き方改革が進む昨今、社員が社外に持ち出したノートPCや私用端末で仕事を行い、SaaSを活用してクラウド上にある社外のシステムを使うケースも増えている。すると守るべき端末やデータが外にも存在し、社内のイントラを安全に保つという従来型の対策では不十分となり、なりすましによる侵入リスクも高まる。

　ゼロトラストは、文字通り「信頼がゼロ」、つまりアプリケーションやデータへのアクセスの際に、社内からまたはVPN経由のアクセスでも信頼せず、すべてのアクセスに対して権限や安全性をその都度確認するという考え方である。

　具体的には、アクセス制御の境界点をFWから各ユーザーやデバイス、あるいはアクセス場所やセッションの危険性へと移してすべてのトラフィックを検証し、安全を確保するという形になる。

　対策領域としては、まずは従来通りのエンドポイントのデバイス保護から暗号化、ID/アクセス管理、モバイルデバイス管理、多要素認証、動的にリスクを排除するためのSDNおよびネットワークオーケストレーションなど多岐にわたる。ただし、既存の仕組みをゼロトラスト化するには大規模な刷新が必要となり、コストも時間もかかる。

　とはいえ中小企業向けの提案においても、ゼロトラストの考え方は有効だ。例えば、フリーWi-Fiの利用を安全に行うためのクラウド型VPNやクラウドサービスからの情報漏えい防止、シャドーIT対策に役立つCASBなどは中小企業でも検討しやすく、働き方の改善にも効果がある。

　現在は新型コロナウイルス感染症対策が最優先となるが、まずは本質を理解し、感染症問題が無事収束した後までを見据えて、必要な部分からゼロトラストの考え方に基づいたセキュリティの導入を段階的に支援していくことが望ましい。