コロナ禍を背景にリモートワークを活用する企業が増えていますが、その実現・普及のためには、場所を問わず安全かつ快適に業務を行うためのセキュリティ環境が重要です。リモートワーカーの増加にともない、情報漏洩やサイバー攻撃にさらされるリスクの増大、大量トラフィックによる通信速度の低下など、多くの問題が明らかになってきました。これらの問題を解決するセキュリティ概念として注目を集めるゼロトラストについて、豊富な実務経験と知見を有するNRIセキュアテクノロジーズの石井晋也と、野村総合研究所（NRI）の江口勲、大野剛に話を聞きました。

なぜ今、ゼロトラストなのか？

インターネットは、もともと性善説に基づいた仕組みです。つながることが目的であり、コンピュータどうしが簡単に接続できるように発展してきました。そのため、悪意のある者に技術があれば、たやすくサイバー攻撃を仕掛けることができます。そこで、企業等がインターネットに接続する際には、内部のネットワークと外部のインターネットとの間にファイアウォールと呼ばれる境界をつくり、内部にある情報資産を守るようにしました。社内は安全だが社外は危険なので、その境界を防御するという考え方で、いったん社内ネットワークへのアクセスが許可されればどのような状況でも信頼（トラスト）されます。これが従来のネットワークセキュリティの基本です。
しかし、このやり方では、マルウェアに感染したモバイルPCやUSBなどが社内に持ち込まれると、簡単に社内ネットワークに感染が広がるリスクがあります。メール添付のマルウェアに社内の一台でも感染した場合も同様です。リモートワークの拡大で社外から社内にアクセスすることが増えていますが、その際に利用するVPNゲートウェイの脆弱性を悪用して社内に侵入されると対処できないなどの問題もあります。そこで、社内社外を問わず、「すべて信頼しない（ゼロトラスト）」ことを前提としたセキュリティ対策に注目が集まるようになりました。
ゼロトラストの考え方の原型は約20年前からありましたが、「ゼロトラスト」という用語自体は、2010年に米国の調査会社Forrester Research社のJohn Kindervag氏によって創られたものです。近年あらためて脚光を浴びているのには、リモートワークが拡大し、社内と社外の境界が曖昧になっているという背景があります。社内のデータが社内だけにあった時代と異なり、今では多くのデータやアプリケーションをクラウド上に置いている企業が増えていて、攻撃対象となる領域も拡大しています。リモートワークの普及にともなって、社外から社内、そこから再び社外へとネットワークを通過するトラフィックも著しく増大しており、これを抑制するという観点からも、ゼロトラストの考え方を取り入れたセキュリティの構築が課題となってきています。

ゼロトラストで実現する3つのセキュリティ

ゼロトラストに基づいたセキュリティ対策では、社内ネットワークは安全であるという先入観を捨て、社内社外を区別せずにすべてのアクセスを常時検証します。具体的には、アクセス要求が発生するたびにユーザーのアイデンティティや端末のセキュリティ状態を検証し、事前に定義された条件に基づいて情報資産へのアクセスを許可する仕組みをプラスすることで、ファイアウォールだけでは捕らえられなかった怪しいアクセスを検知・統制します。
このときにキーとなるのが、PCやモバイル機器などの「エンドポイント」、アプリケーションやデータを格納している「クラウド」、それらを接続する「ネットワーク」の3カ所です。エンドポイントではマルウェアやサイバー攻撃に対する端末の統制・制御、クラウドではアクセス状況の統制・管理や多要素認証、ネットワークでは快適な接続環境とセキュリティを同時に実現するソリューションなどを利用して、その会社にとって最適で安全な環境を構築します。
誤解してほしくないのですが、ゼロトラストという考え方を取り入れることは、まったく新しいセキュリティソリューションを導入するという意味ではありません。その目的は、社内における過度なトラストと過剰なリスクを排除し、利便性とセキュリティの確保をすることです。そのため、企業の業種や特性によって、当面ITインフラの増強が課題にならない場合は、既存のネットワークポリシーやルールの見直しなどを行って、サイバー攻撃のリスクと影響を小さくすることでもゼロトラストの考え方を取り入れることができます。一方、今後テレワークやクラウド利用の拡大が見込まれる場合は、ゼロトラストネットワークアクセス（ZTNA）をはじめとした各種ソリューションを組み合わせ、自社にとっての最適解を検討する必要があります。

ゼロトラスト導入に向けて

ゼロトラストを導入する際は、インフラなどのハード面だけでなく、ガバナンスやルールなどソフト面も同時に見直していくことが必要です。ゼロトラストベースのITインフラができれば、リモートワークをする、クラウドを使うなど利用者にとって働く環境としての利便性が非常に高まるでしょう。しかしその反面、企業側にとってみると、リスクや脅威と常に隣り合わせの状態です。ITインフラ環境の提供と同時に、ルールを整備したり、使い方を定めたりするなど、ガバナンスを管轄する部署と協力していくことが不可欠です。

NRIグループには、エンドポイント、クラウド、ネットワーク、それぞれの分野にセキュリティの専門家がいて、お客様のワークスタイルに合わせたソリューションを提案、実現、サポートしています。また、ガバナンス整備も含めたセキュリティコンサルティングも行っています。お客様の課題を共有いただき、その環境にあった要件の落とし込みや将来構想に向けたグランドデザインの提案、ポリシー策定支援など、導入運用まで一気通貫したご支援を行い、共に成長していきたいと考えています。また、そのような活動を通じて、安全安心を実現する社会インフラの高度化に少しでも貢献していきたいと考えています。