見出し画像

変化した情報セキュリティモデル!注目されている「ゼロトラスト」とは

ISOプロ/ISO・HACCPコンサルティング

クラウドサービスやテレワークの普及が進んだことで、従来のセキュリティにおける考え方では、万全なセキュリティを保つのが困難になっています。
そこで注目されはじめたのが、何も信頼せず攻撃されることを前提とした「ゼロトラスト」。

このゼロトラストを調べていくと結構難しく説明されていて、理解に時間がかかる記事ばかりでした。そこで今回は、情報セキュリティ初心者の私が、ゼロトラストについて誰でも理解できるような説明ができたらいいなと思い、このnoteを書くことにしました。

実際にテレワークをしてセキュリティに対して感じたことや情報セキュリティについて1年勉強した私が、ゼロトラストの考えに共感できた理由についてもお話していきたいと思いますので、ぜひご一読ください。


ゼロトラストとは

ゼロトラストとは、「社内であろうが、社外であろうが全員をまず疑う」という考え方です。つまり、信頼(トラスト)がゼロの状態から出発します。そのうえで、アクセスに対して認証を行うことで、許可を受けたユーザーおよびデバイスのみが、アプリケーションやデータにアクセスできるという仕組み作りをします。

従来のセキュリティでは、社内ネットワークと社外ネットワークを分離することで、社内全員を信頼し、社外の全員は疑うという考えでした。しかし、ゼロトラストは社内・社外問わずあらゆるコンピュータ、デバイス、ユーザーを信頼しません。

従来の考え方とゼロトラストをわかりやすくすると下記のようになります。

【従来】
社内ネットワーク→ 安全
社外ネットワーク→ 危険

【ゼロトラスト】
社内ネットワーク→ 危険
社外ネットワーク→ 危険


変化してきた情報セキュリティの考え方

なぜこのような考え方の変化があったのでしょうか。

その理由として、クラウドサービスの普及と働く環境の多様化が挙げられます。

従来は、企業で取り扱う各種サーバーは社内のデータセンターなどに配置するのが一般的でした。各社が各々サーバーを用意する形です。
しかし、オフィスソフトウェアやドキュメント管理などのクラウドサービスの活用が進み、アプリケーションそのものは社外のクラウド上に位置することになりました。クラウドサービスは異なる事業者が提供しているため、それぞれのサービス上で情報が管理されています。
クラウドサービスは、社内の情報を他社(社外)に預けている状態になるため、社内は安全という従来の考え方は通用しないのです。

次に、働く環境の変化が挙げられます。コロナウイルスの影響もあり、各企業でテレワークが急速に進みました。会社内だけで仕事をするという概念が壊れてきています。こうした理由から社内は安全という考えは成り立たなくなってきているのです。

私自身会社内で仕事をしていた時、社内は安全という安易な考えを持っていましたが、去年テレワークに移行し、自宅で仕事をしていく中で自らのセキュリティに対する考えに不安をもつようになりました。

また、今の会社に入って情報セキュリティを一年間学んでいくなかで、社内の情報漏洩などの原因はコンピュータウイルスなどの外部攻撃よりも、内部のヒューマンエラーなどによって引き起こされるもののほうが多いことを知ります。
こうしたことから、ゼロトラストのどこにいても安心できないという考え方に非常に共感できました。


ゼロトラストを学んで

クラウドの普及や働き方などの環境の変化で、今まで当たり前に考えられてきた情報セキュリティの概念が変化していることがわかりました。
働く環境の変化や情報セキュリティの知識がなにもなかったら社内セキュリティは、安全という風に思い込んで過ごしていたかもしれません。

とくにクラウドサービスは、社外で管理されている媒体ではありますが、社内で当たり前のように使われているものなので、外部に情報を預けているという意識がどうしても薄れてしまうのかもしれません。
クラウド上の設定ミスによる情報漏洩を最近よく見かけますが、社内は安全という従来の考え方が生む気の緩みから起きてしまうものなのかなと思いました。社内で情報を管理しているつもりでも、常に会社の情報は外部に置かれていという認識を持たなければいけないなと気づかされました。

今後、よりクラウドの普及や働き方の柔軟性が出てくると思うので、ゼロトラストの考え方もつことは必須になってくると思います。セキュリティもその時の状況に合った考え方で柔軟性を持って行動していくことが大切なんですね。

まとめ

今回は、ゼロトラストについてお話していきましたがいかがでしたか。

クラウドサービスの利用やテレワークをしている以上、社内は安全という従来の考え方を捨てて、会社はそれらに対応する仕組みづくりを、従業員はどこにいても安心できないという意識をもって仕事をしていく必要がありそうです。

ゼロトラストの考え方は、職業や役職は関係ないと思うので、知っておいて損はないと思います。

最後まで読んでいただきありがとうございます。今後ともISOプロ、わらがい紗羅@ISOプロをよろしくお願いいたします。


☟☟ぜひTwitterのフォローもよろしくお願いいたします!☟☟

ISOプロ  @isopro_haccp
わらがい紗羅@ISOプロ  @iso_waragaisara


☟☟ISOプロのサイトはこちら☟☟


この記事が気に入ったらサポートをしてみませんか?