2019/09/10
DX(デジタル・トランスフォーメーション)により、新たなウェブサービスなどが次々と登場し、インターネット上で扱う情報が増加することに伴って、情報セキュリティに対する社会の意識も高くなってきています。また、社外からPC・スマートフォンなどを使って社内ネットワークやクラウドにアクセスし業務を行うという、勤務場所を社内に限定しない働き方が広がってきています。このような環境の変化に対応するため、現在注目されているのが「ゼロトラストモデル」と呼ばれる情報セキュリティモデルです。ゼロトラストとはどのような情報セキュリティモデルなのか、導入するメリットは何か、NRIセキュアテクノロジーズ(以下、NRIセキュア)の鳥越真理子と新井ちづるに聞きました。
IT環境の現在と境界セキュリティの限界
――デジタル化に伴い、新しいウェブサービスをスピード感を持って生み出す事例が増えています。また、自宅や外出先で仕事を行うテレワークも浸透してきています。こうしたインターネットを介した企業活動が増える一方で、企業の情報セキュリティ対策がこうした変革を阻む要因となっているという声も聞かれます。これまでの情報セキュリティ対策には、どのような課題があるのでしょうか。
鳥越:従来の企業の情報セキュリティ対策の基本的な考え方は、「境界セキュリティ」と呼ばれています。つまり、社内ネットワークと外部との接点において重点的に情報セキュリティ対策を実施するというものでした。その前提にあるのは、社内は安全だが外部(インターネット)は危険であるという考え方です。
新井:しかし最近は、社外のさまざまな企業や組織とネット上でコワークしたり、働き方の多様化に伴ってオフィスの外で仕事をしたりするなどして、社内ネットワークの外で作業することが増えており、外部クラウドに蓄積されているデータを活用する機会も少なくありません。このような状況では、ネットワークの境界だけで安全を守るということには無理が生じてきています。
ゼロトラストモデルの根幹は「決して信頼せず必ず確認せよ」
――そうした課題を解決する新たな情報セキュリティモデルとして、「ゼロトラストモデル」が注目されています。これは、どのような考え方なのでしょうか。
新井:境界セキュリティは「Trust but Verify(信ぜよ、されど確認せよ)」というポリシーでしたが、ゼロトラストモデルは「Verify and Never Trust(決して信頼せず必ず確認せよ)」と大きくポリシーが変化しています。つまり、ゼロトラストモデルの前提は、何事も無条件に信頼しないことであり、何事も信頼しないがゆえ従来よりも高度なVerify(確認)が必要であることがポイントです。ユーザーやネットワークの場所、利用するデバイスなど全てが対象になります。
このゼロトラストモデルを実現する中核的な技術となっているのが、「デジタル・アイデンティティ」を中心に位置づけた強固なアクセス管理技術です。これは、ユーザーID、役職と言ったユーザー属性だけでなく、利用しているデバイス属性、例えば、OSに最新のセキュリティパッチが適用されているか、ウイルスチェックは行われているか、など様々な属性情報をチェックし、アクセス可否を判断する技術です。
鳥越:データアクセスを100%確認するということが重要です。従来の情報セキュリティは、ネットワークセキュリティに重きがおかれ、データリソースに係るアクセスの確認の粒度や頻度が弱かった。ゼロトラストモデルでは、社内ネットワークという境界に依存しないため、従来のものから強化されたアイデンティティ&セキュリティモデルが採用され、データリソースに係るアクセスが本人のものかについて徹底的に検証される形になっています。
ゼロトラストモデルはコスト削減にも効果あり
――情報セキュリティ対策をゼロトラストモデルに転換することで、企業は具体的にどのようなメリットを得られるのでしょうか。
鳥越:ゼロトラストモデルで情報セキュリティ対策を実施することにより、クラウドサービスを積極的に活用し、インターネット回線を多用する場合であっても、ユーザーの端末(エンドポイント)まで含めて保護できる環境を整えられます。またIT環境全体としても、強固な境界セキュリティを構築するよりもコスト削減が図られ、実装にかかる時間を短縮できるという効果もあります。経営層にとっては、セキュリティに加えて得られるメリットとして捉えられています。
――最後に、ゼロトラストモデルの実現においてNRIセキュアが提供できる価値を教えてください。
鳥越:我々はベンダーフリーの立場であり、数多くの情報セキュリティソリューションについてのナレッジを有しています。複数のソリューションを比較し、特徴や仕様、どんな環境に向くのかを把握するようにしています。また、製品はそれぞれ仕様にどんな機能を有するかを表示しますが、それが、お客様が求める要件を本当に満たせるものかの検証を支援することもあります。次世代セキュリティモデルは、お客様の環境ごとに様々であっていいと考えます。お客様が自分たちのゼロトラストモデルを実現する上で、最適なソリューションを提案できることが大きな強みであると考えています。
新井:現在、多くの企業がデジタルトランスフォーメーションの実現を目標として掲げています。私たちは情報セキュリティの観点からその実現を支えるだけでなく、NRIグループの一員としてお客様のビジネス全体を支援するパートナーとしてご協力していきたいと思います。
- NRIジャーナルの更新情報はFacebookページでもお知らせしています