ゼロトラストセキュリティとは？具体的なコンセプトと実現の方法を解説

企業におけるより安全なデータの取り扱いは、年々重要性を増しており、いかにセキュリティを高めるかは非常に重要な課題です。2021年1月から6月までに、128件のインシデントが発生しており、どのような企業ももはや無関係とは言えなくなっています。（出典：コンピュータウイルス・不正アクセスの届出事例）

そこで今回は、企業のセキュリティ向上に必須となるゼロトラストセキュリティについて、どのような考え方なのか、IDaaSとの関連性も含めて解説していきます。

ゼロトラストセキュリティとは？

ゼロトラストセキュリティとは、あらゆるユーザー、デバイス、接続元ロケーションなどを、「信頼できないもの」とする新しい考え方です。働き方改革や新型コロナウィルスによりSaaSの利用拡大やテレワークの導入が進んだことで、注目が集まっています。

社員が出社せず自宅などで仕事をするようになった結果、会社として許可していないクラウドサービスを勝手に利用するシャドーIT問題が発生しました。また、オフィスにあるPCだけでなく、社員の持っているノートパソコンやタブレット、スマートフォンなど、アクセスするデバイスも多様化しています。こうした変化により、これまではある程度のレベルで守られていた企業のデータが、より大きなリスクにさらされています。

そこで、「決して信頼せず必ず確認せよ」というコンセプトのゼロトラストセキュリティに注目が集まっています。従来の境界型セキュリティモデルでは、「守るべき情報は境界の内部にあり、アクセスもその内部からあり、脅威は境界の外にある」という考え方に基づいていました。しかしゼロトラストセキュリティでは、「守るべき情報は境界の内にも外にもあり、内外からのアクセスがあり、脅威も境界の内外どちらにも存在している」と考えています。

ゼロトラストセキュリティを実現する方法

ゼロトラストセキュリティを実現するためには、いくつかの条件を満たす必要があります。
1つ目は、適切なID管理です。多くの企業で複数のクラウドサービスを使用することが当たり前になりつつある今、それらのIDとパスワードを適切に管理する重要性が高まっています。

社員が使用するIDとパスワードの数が増えるほど、管理が煩雑になり漏洩の可能性は大きくなります。そのため、シングルサインオンや多要素認証などを用いて、より簡単に、より安全に管理することが必要です。

2つ目は、アクセスの可視化です。どのデータにいつどのようなアクセスがあったのか、全てを可視化したうえで、不審なアクセスを発見します。リアルタイムで監視することで情報漏洩を未然に防ぎ、万が一インシデントが発生したときにも即座に対応して被害を最小化します。

3つ目は、エンドポイントセキュリティです。エンドポイントとはネットワークにつながっている端末のことですが、EDRの導入による端末監視やマルウェア検知などを行う必要があります。また、個人の端末と識別できるよう会社貸与の端末を登録し、端末を操作するユーザーの属性によってアクセス権を制限します。

ゼロトラストセキュリティとIDaaSの活用

ゼロトラストセキュリティを実現するうえで、IDaaSの導入は不可欠非常に有効です。ゼロトラストセキュリティに必要な要素としてID管理を挙げましたが、それを行うのがIDaaSです。IDaaSを使うことで、多要素認証やクラウドサービスへのシングルサインオンを実行。さらに一度認証されたユーザーに対し再び認証画面を表示することなく、容易に安全にアクセスを許可します。

ゼロトラストセキュリティはサイバー被害を防ぐことが目的ですが、IDaaSはその原因となる認証情報の不正取得を防ぎます。また、社員がクラウドサービスのIDとパスワードを管理する必要がなくなるため、メモ帳にパスワードをメモしておりそれを見られてしまったというような、いわばアナログな失敗も発生しなくなります。

仮に社員のログイン情報が取得されてしまったとしても、部署や役職によってアクセスできる情報のレベルをわけておくことで、一気にすべてのデータが漏洩するという事態を防ぎます。このように、IDaaSの存在は「関所」としての役割を果たすでしょう。

ゼロトラストセキュリティを実現してより安全な情報管理を

企業において、情報漏洩などのインシデントは頻発するものではありません。しかし一度発生してしまうと、数千万円以上の損失につながることもありえます。そうした事態を防ぐため、不安なことなどあればぜひ三谷商事にご相談ください。

ゼロトラストセキュリティ実現のために何が必要か、具体的にどうすればいいのか、基本的なところからトータルサポートいたします。