こんにちは。真鍋です。
昨日は私がITコーディネータとして所属するITCちば経営応援隊の月次定例会でゼロトラストアーキテクチャーについて発表してきました。
ITCちば経営応援隊では毎月の月次定例会で内外の講師が2名、その時々のテーマに沿って1時間程度の講習会を開催しています。毎月自分の業界以外のことも含めて知識を補充できることはとてもありがたいことです。
ゼロトラストアーキテクチャー
ゼロトラストは、情報資産へのアクセスはいつでも安全を検証しようというモデルになります。そのモデルを具体化するものがゼロトラストアーキテクチャーになります。
このゼロトラストですが、これまでのファイアーウォールを活用した内と外を分ける境界防御モデルと対比したモデルとなります。事業所などにルーターがあり、共有フォルダーや社内サーバーなどがある、これまでの日常が境界防御モデルです。
境界防御モデルは、ネットワークを「安全な内側」と「安全ではない外側」に分けて管理します。ゼロトラストは、「どこかしこも安全でない」とします。ここに決定的な違いがあります。
ランサムウェアの被害はゼロトラストにより軽減する
ランサムウェアというマルウェアをご存知でしょうか。これは、IPA(情報処理推進機構)が毎年発表している情報セキュリティ10大脅威にここ10年間で9回登場している脅威で、事業所内に侵入したウイルスがデータを外部へ送信し、社内のデータを暗号化した上で身代金を要求するウイルスによる脅威です。
被害の程度にもよりますが、社内のデータは暗号化されるため業務が行えなくなります。さらにデータが外部に送信されるため、情報漏洩にもつながります。
事業所の内外でセキュリティレベルを分ける境界防御モデルでは、内に入ったときのセキュリティは弱点となってしまうのです。ゼロトラストの場合、情報資産であるデータはアクセスするために安全を検証するため被害が軽減される可能性が高くなります。
中小企業とゼロトラスト
ゼロトラストですが、中小企業にとって必要なのか?です。
結論としては、境界防衛モデルを中心とした基礎的なセキュリティ対策と発展的なセキュリティ対策を進めつつ、ゼロトラストのエッセンスを取り込むことが望ましいと考えます。
そもそも、情報資産の管理は価値に応じたものであることが望ましいです。俗に言う費用対効果です。これは、国家機密と社員旅行のスナップ写真が同じレベルで管理される必要がないことは明かです。そのため、まずは情報資産の価値を明確にして対策が必要になります。
ゼロトラストは、実現するために仕組みを根本的に変える必要があります。そして、そのためにかかる費用も少なくありません。守るべき情報資産の価値と守るためにかかるコストのバランスを取ることが難しいのです。
しかし、重要な情報資産、例えば会計システムの情報や共有ファイルの情報などはSaaSを活用することでより安全になります。このような例がゼロトラストのエッセンスを取り込むということになります。
さいごに
ゼロトラストについて中小企業向けにどうするかという観点でまとめてみました。ITCちば経営応援隊での発表内容はもう少し技術的な内容についても触れてご説明しましたが、中小企業で情報を取り扱う方にはこのくらいの内容を理解いただけると良いと思います。
ビーグルコンサルティングでは、DXとセキュリティをバランス良く取り込み、経営戦略の実現に最適なITを進めるためサポートします。何かご相談後がございましたらこちらよりお問い合わせください。
