ゼロトラストについて情シスはどう取り組んでいる？ 2023年の最新動向をチェック

「ゼロトラスト」は、リモートワークやクラウド化が普及した時代に効果的なセキュリティ対策として、最近広がっている考え方です。すでに多くの情シスは目にしたことがある言葉かもしれませんが、今回はこの「ゼロトラスト」の取り組み状況や最新動向について紹介します。なお、このnoteは主に中堅・中小企業の新任情シスや兼任情シス向けの内容です。

1. ゼロトラストはどのような考え方か？

「ゼロトラスト」という考え方が、近年、セキュリティ対策において重要視されています。その理由としては、従来のセキュリティ対策（境界型）ではサイバー攻撃から守り切れないことがわかってきたことが挙げられます。IPAの解説では、これまでは「社内を『信頼できる領域』、社外を『信用できない領域』として外部からの接続を遮断」していたものの、リモートワークやクラウド利用などで社外に接続する機会が増えたことから、限界を迎えているというのです。
 
またほかにも、『政府情報システムにおけるゼロトラスト適用に向けた考え方』では、従来の対策が「城」だとすると、ゼロトラストは「街」のイメージと例えています。考え方の違いを図で例えると次のようになります。

「【情シスと経営層が読む】難しくないゼロトラスト読本」より

また、IPA『ゼロトラスト移⾏のすゝめ』では、「『たとえ境界内部であっても無条件に信⽤せず、全てにおいて確認し認証・認可を⾏う』という考え⽅に基づいて社内の情報資産を守る概念」であると述べられています。常に疑い、確認することを求めるセキュリティ対策ということになります。

2. ゼロトラスト取り組み企業は3年で3倍に成長

このゼロトラストに対する情シスの取り組み状況について3年間の推移をソフトクリエイトが実施したアンケート結果※から見てみましょう。まず、2020年度は「すでに取り組んでいる」はわずか3.8％、「取り組みを検討している」は29.3％、「よくわからない」が28.0％という結果でした。3割はゼロトラストについて知らない状況で、取り組みもまだ一部の企業という状況でした。

それが2022年度になると、「すでに取り組んでいる」が11.4％、「取り組みを検討している」は40.3％、そして「よくわからない」が14.9％に変化しています。ゼロトラストに取り組んでいる企業が3年間で3倍に伸びていることや、「よくわからない」と回答した人が大幅に減るなど、大きな注目を集めているとともに、重要な取り組みだと認識している人が増えたことがわかります。

その背景には、近年、サイバー攻撃が深刻化し多くの企業が標的となっていることが考えられます。ランサムウェア攻撃やEmotetなど、様々なサイバー上の脅威が企業を取り巻いている状況で、これまでのセキュリティ対策では守りきれなくなっていることを認識している企業が増えていることが伺える調査結果となりました。

「情報システムの現状とIT システム活用実態アンケート 2023」より

3. ゼロトラストに関する動向

ゼロトラストへの取り組み企業が増えていることは上述の調査でも明らかですが、普及のきっかけの1つにもなったのが、日本政府の積極的なゼロトラストの取り組みです。政府情報システムへのゼロトラスト適用に向けた検討段階から資料などが公開され、その動きは多くの企業にも影響を及ぼしたものと考えられます。 

公式な見解や定義が少なかった2020年に公開された、『政府CIO ポータル　政府情報システムにおけるゼロトラスト適用に向けた考え方』（政府CIO 補佐官等ディスカッションペーパー 2020 年6 月）を参考にした企業は多かったのではないでしょうか。

政府情報システムにおけるゼロトラスト適用に向けた考え方 | 政府CIOポータル

その後、デジタル庁が発足すると、「デジタル社会推進標準ガイドライン」がリリースされました。その中のセキュリティに関するドキュメント内でもゼロトラストの重要性は指摘されています。

デジタル社会推進標準ガイドライン｜デジタル庁

また、IPAでもゼロトラストの導入を推奨する次のような資料を公開しています。

 ゼロトラスト導入指南書〜情報系・制御系システムへのゼロトラスト導入〜
ゼロトラスト移⾏のすゝめ 

ほかにも、中小機構でも、ゼロトラストに関する解説記事を掲載するなど、中堅・中小企業もゼロトラストに注目すべき機運が高まってきているという状況です。規模の小さな企業もサイバー攻撃の標的となる今、中堅・中小規模の企業もまた、ゼロトラストについての知識を持ち、新たな時代への備えについて考えることが必要となっているのではないでしょうか。

アフターコロナを見据えたテレワーク（3）〜ゼロトラスト＝信頼しない　テレワークに適ったセキュリティモデル〜

おわりに

今回は、情シスが注目したいキーワード「ゼロトラスト」について最近の動向とともに紹介しました。ゼロトラストを含め、今後のセキュリティ対策を改めて考えたい中堅・中小企業の方は、下記の資料もおすすめです。

Security Update 2023…レベル別に考える、セキュリティ対策のNEXTステップ ｜ 情シスレスキュー隊

また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊