見出し画像

ゼロトラストとDXについて考えてみた

ペルソナ株式会社の「金曜どうでしょう」

こんにちは。セキュリティといえばの小牟田(こむた)です。

梅雨シーズンがやってきましたね。

晴れ間が見えないとどんよりした気持ちになる私ですが、外出先で紫陽花を見つけては「きれいだな~梅雨も悪くないよな~」と言い聞かせながら気持ちを保ってる今日この頃です。

10年前の6月に行った札幌のあのカラッとした空気と晴天が忘れられない。

ちなみに、ペルソナはフルリモートなので「6月は札幌でワーケーションしよう!」も実現できます。人材業界の皆様、お気軽にお問い合わせください!(←突然の採用広報)

さて今回はセキュリティ第4弾、”ゼロトラストセキュリティ”とDXについてお話ししたいと思います。

ゼロトラストセキュリティの定義

ゼロトラストとは、社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。

コロナ禍で、オンプレからクラウドサービスへの移行や、モバイル端末の活用・テレワークなど働く環境の変化が急速に進み、システムの内部と外部を隔てる「境界」そのものが曖昧になっているを実感されているのではないでしょうか。

時代で変わるセキュリティの考え方

「境界型防御」Trust but Verify(信ぜよ、されど確認せよ)


従来のセキュリティ対策の主流は「境界型防御」でした。簡単に言うと「外部は悪者、内部は善人」という考え方。

一度、境界を越えて侵入されると情報漏洩やマルウェア感染などの脅威から情報資産を守ることが難しくなってきています。

マルウェア感染以外にも、外部サービス(パブリック・クラウドサービス)の利用増加で、不適切なパスワード設定を悪用され、外部攻撃者に不正侵入を許してしまうケースも多発しています。

また、従業員や派遣社員が個人情報を持ち出すことや、管理者端末を乗っ取る内部不正によって被害を被る可能性は十分あります。

こうしたセキュリティリスクを解消するものとして、脚光を浴びるようになったのが「ゼロトラストモデル」です。

「ゼロトラスト」Verify and Never Trust(決して信頼せず必ず確認せよ)

セキュリティの主流となっているゼロトラストは「性悪説」の考え方に近いと思います。

具体的には、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで脅威を防ごうとする考え方です。

ゼロトラストは万全と言えるのか。
答えはNoです。それはなぜか。

ゼロトラストの考え方に則って、従業員が利用するパソコンやサーバー(エンドポイント)において不審な挙動を検知するEDRを導入したと仮定しましょう。EDRが検知、ログ収集していたとしても、実際にそれを監視する体制が整っていない場合では対策が十分とは言えません。

また、いくらシステムにお金を費やしても、内部不正対策を怠っていたばっかりに内部の人間が不正にアクセスできたとなれば、対策の意味がなくなってしまいます。

DXとゼロトラスト

日本の企業はセキュリティ意識が低い?

ほとんどの企業で”うちもやらなきゃだめだよね”と機運が高まっているDXですが、同時にセキュリティに注力している企業の割合はどれくらいだと思いますか?

ある調査ではDX に取り組んでいる企業の割合は76.5%に上ったが、DX 推進のためにセキュリティ戦略やルール、プロセスの見直しを行った企業は、21.7%にとどまったというデータが出ています。

これは、DX推進とセキュリティ対策のズレが生じていることの現れ。

背景として、経営者のセキュリティ意識が低いことや、セキュリティ人材や予算の不足から、何から手を付けるべきか判断できず、検討段階が続いていることが例として挙げられます。


DXのセキュリティとは

それぞれの企業が自社DXのゴールの向けて、AIやIoT、クラウド、工場のスマート化、テレワークなどを推進し、オープンなネットワークを構築していると思います。

どうしてもクラウド上での接続が状態化し、ネットワークがオープンにならざるを得ず、境界防御の考え方は破綻しています。

そのためDXのセキュリティはゼロトラストセキュリティと言えます。

DXをやるぞ!と攻めだけに突っ走るのではなく「今のセキュリティの強度はどれくらいか」「内部不正対策はできているか」「インシデント発生時の対応はどうすべきか」といった”守り”の視点とゼロトラストの考えを持ってDXを推進しましょう!

さいごに

今回の記事を読んでいただいた企業のみなさんが「セキュリティ対策も同時にやらなきゃだめだよね」と思っていただけたら嬉しいです。

ペルソナ株式会社はデータサイエンスティスト/ITアーキテクト/セキュリティといったDX人材と企業のマッチングを得意としてます。

DXに取り組む企業様、そして転職をお考えの方はぜひお気軽にお問い合わせください。

”スキ” を押していただけると、とても励みになります
フォローも絶賛大歓迎です

お気軽にご相談ください
LinkedIn

ペルソナ株式会社 問い合わせ先
問い合わせフォーム

▼小牟田が書きました
セキュリティ人材確保になやむ企業様へ
まずは脱PPAPを~トヨタの工場停止は他人事ではない~
サイバー空間から日本が乗っ取られる時代~企業がセキュリティ対策をやるべき理由~

▼ペルソナってどんなところか気になったら
2022年のペルソナ
ワーキングマザーの抱える罪悪感について考えてみた
ペルソナ株式会社 事業内容のご紹介

▼代表 佐野ってこんな人です、Twitter始めました
https://twitter.com/Sano__Hiroaki

▼YouTubeはじめました
#1 ペルソナ創業の思いとこれまで
#2 ペルソナの事業や制度について
#3 若手社員から見たペルソナ

この記事が気に入ったらサポートをしてみませんか?