【PCビジネスの成長領域はここだ!~新型コロナで変わる市場環境~-4】 新型コロナウイルス感染症のパンデミックを経験した現在、国内の中堅・中小企業(SMB)でも強制的に働き方改革が進んでいる。企業のITやデジタル活用を正しく成功に導くことが、各地のSIerやIT販社に与えられた役割だ。全国のSIerやIT販社が、SMBの働き方改革をビジネスパートナーとして支えるために抑えておくべきPCビジネスや、ITのトレンドを短期集中連載で紹介。第4回は「ゼロトラストモデル(Zero Trust Model)」を取り上げる。

全てを脅威として疑うことを前提とする「ゼロトラストモデル」

 現在企業で採用されている一般的なサイバーセキュリティ対策は、ファイアーウォールで外部との境界を固めて内部を安全地帯とみなす「境界防御モデル」と定義される。これは、社内のシステムは自社で管理するオンプレミス型、従業員が仕事で使う端末は充分な性能を備えたデスクトップPC、そして働く場所はオフィスという形を前提として構築されている。

 ところが現在はIT環境も働き方も変わり、外部の複数のクラウドサービスを活用し、端末も高機能なスマートデバイスが普及、さらにテレワークの加速によって在宅勤務やリモートワーク併用という環境になっている。社内ネットワークの入口および境界の内部以外にも守るべき場所やものが増え、従来の対策はそぐわなくなっている。そこで注目を集めているのが、アクセスしてくる全てを信頼しない「ゼロトラストモデル」という新しいセキュリティ対策だ。

 ゼロトラストモデルでは、全てのアクセスをその都度検証し、権限や安全性を確認するという考え方である。なりすましのリスクから、社内やVPN経由のアクセスでも信頼しない。具体的には、アクセスを制御する境界をファイアーウォールではなく、ユーザーやデバイス、あるいはアクセスしている場所やセッションの信頼度へと移してすべてのトラフィックを検証し、安全を確保する形になる。

 従業員が自社で活用しているアプリケーションやサービスにアクセスするたびに認証を行い、ユーザーの認証もID/パスワードだけでなく多要素認証で本人を確認。デバイスも証明書がインストールされているか、セキュリティパッチが最新に保たれているか、マルウェアに感染していないかを確認し、条件を満たしていない場合はアクセスを拒否する。さらに、その後の振舞いがおかしければ遮断する。EDR(【第3回のリンク】)を導入し、侵入された後の対策も講じておく。

 ゼロトラストセキュリティは、1種類の統合製品を入れれば実現するものではない。どこにリスクがあるのかを把握し、クラウドサービスの採用など既存環境の刷新状況を考慮しつつ必要な機能から押さえていくのが現実的となる。テレワーク対策であれば、リモートアクセス端末の二要素認証と、端末のセキュリティパッチやソフトのバージョン管理などがゼロトラスト的アプローチの第一歩となるだろう。

 ほかにも対策を取るための製品、つまり商材は多い。支援する側は場当たり的な提案にならないように、ユーザーにゼロトラスト対策の必要性を納得させたうえで俯瞰した対策を推奨していくべきである。

週刊BCN+ 読者アンケート
「ニュースコンテンツ改善・強化のためのアンケート」
https://www.seminar-reg.jp/bcn/survey_news/