お客様の企業文化と規模に合った最適なゼロトラストソリューションを提案していきたい

黛氏はMINDのセキュリティ事業部でセキュリティサービスの企画や評価、開発のマネージャーを務めています。ゼロトラストについて黛氏は次のように語ります。

「ゼロトラストは、セキュリティのキーワードであると同時に、次世代ITのキーワードであると考えています。デジタルトランスフォーメーション（DX）と並んで、ITの考え方を大きく変えるコンセプトといえるでしょう。今までのセキュリティは、区切られた境界の中は安全で、そこへ外からやってくる脅威の侵入を防ぐというコンセプトに基づいていました。ゼロトラストでは、対策をすればネットワークやシステムに侵入されないという考えは捨てなければなりません。むしろ侵入されることを前提として、重要なアプリケーションやデータを守る、何かあった時には、すぐにアラートを出し、影響範囲も特定できるようにするという考え方に変わります」

ゼロトラストは様々な対策を複合的に組み合わせてセキュリティを高めます。黛氏はこれからゼロトラストへ取り組む際のポイントとして、端末管理、構成管理、セキュリティ運用管理の3点を挙げます。

「ゼロトラストを推進するうえでは、まず端末の管理が必須となります。EDR（Endpoint Detection and Response）のようなツールを使って、情報資産にアクセスする端末が信頼できるものかをきちんと確認できるようにしなければなりません」。EDRとは、ネットワークに接続されているあらゆる端末（エンドポイント）の操作や動作の監視を行い、脅威への素早い対応を可能にするソリューションです。

「2つ目はネットワークの中で、守るべき情報資産がどこにあるかという構成管理をしっかり行うことです。以前はすべての資産が境界内の見えるところにありました。しかし、クラウドの普及で情報資産が外に出て行くと、重要なものをどこに置き、どういう構成で管理するかがとても重要になります」（黛氏）

ゼロトラストへの取り組みではIDの管理を最初に行いたくなりますが、まず守るべき資産をきちんと把握してからID管理に取り組むべきだと黛氏は話します。

「3つ目がセキュリティ運用管理です。ゼロトラストではネットワーク上のあらゆる通信のログを収集することが基本です。また、データやアプリケーションに対するアクセス制御もきめ細かく行い、状況に応じて常に変更する運用が求められます。こうしたログの分析やアクセス制御のすべてを人手で行うのは難しいのでAIなどを使った自動化が必要になるでしょう。単なる運用ではなく『セキュリティ運用』の確立が重要です」

ゼロトラストの導入にあたり、セキュリティを向上させると同時にユーザビリティを確保することが重要だと黛氏は語ります。

「ゼロトラストではID管理がとても重要です。ただし、企業内ではシステム毎にID管理されていることが多いため、既存のID管理をゼロトラストに合わせて強化、もしくは統合していく方が適しています。ユーザーが長年使ってきたID体系がある日突然が変わってしまうことは、ユーザーエクスペリエンスとしては望ましくありません。セキュリティを高めながらも、ユーザーの仕事に対するモチベーションを下げないための工夫が必要になるでしょう」

また、ゼロトラストのような新しいコンセプトを導入する際には、古いサーバーなどレガシーシステムの扱いが問題となります。

「ゼロトラストは、決して既存のものをすべて捨てるわけではありません。クラウド全盛になっても多くの企業には外に出せない情報資産があります。レガシーなシステムを区別し、取り扱う情報の機密レベルを管理する等、適切なアクセス制限をかけるのがよいと思います。社員の大多数が利用するシステム等は、クラウドを用いたシステムへの移行やデータ移行を進め、ゼロトラストでセキュリティを確保していくことになるでしょう」（黛氏）