オンライン時代の『ゼロトラストセキュリティ』

先日、所属している一般社団法人が主催するテレワークセミナーに参加させていただきました。

中小企業のテレワーク　製造業編／在宅勤務のためのシンクライアント、その基礎知識

「既存の社内イントラネットに外から接続してシンクライアント環境を使う」という割と従来型のテレワークスタイルの話は非常に参考になりました。
元々あったシステムを使うので、やり方を変えなくていいというのは心理的な負担は少ないと思います。
半面、ネットワークの負荷（社内に繋いでそこからZoomなどのオンラインミーティングツールを使うと使いものにならないという話をよく聞く）や現代の働き方の変化などを考えると、社内ネットワークに繋ぐことに拘るのはあまりよくないのかなと思うところもあります。

現在は様々なSaaS型のサービスが普及しており、これらを駆使することでより便利で働きやすい環境をスムーズに作ることができ、サービスを安全に使用するためのセキュリティについてもしっかり設計されています。
「社内なら安全。」
「外のツールは危険。」
こんなイメージを持っている人はまだ多いかもしれませんが、はたして古い社内環境は安全なのでしょうか？
個人的には、サービス提供の為に常に安全に気を配り、アップデートしているSaaS型のサービスの方が安全性が高いという場合も多いかと思っています。

（SaaSの代表例 Salesforce。古い記事ですが、当時からセキュリティに力を入れていることがわかります）

「個人情報漏えいは論理的にあり得ない」セールスフォース宇陀社長

そんなSaaS型のサービスでも、適当に使えば安全ではないことに変わりはありません。
なので、セキュリティの基本的な考え方として意識したいのが「ゼロトラストセキュリティ」という考え方。

ゼロトラストセキュリティとは何か？ そのアーキテクチャと運用体制

「ゼロトラストセキュリティ」とは、「信頼できないことを前提としてセキュリティ対策を講じていく」というセキュリティモデルである

「社内ネットワークなら安全。」
「SaaSなら安全。」
という妄信的な発想ではなく、
「どこにでも危険がある」
を前提に、100%の安全はありえないということを理解し、対策を考えて実施していくことがこれからのオンライン時代で大切な考え方です。

実際、僕がセキュリティのセミナーなどでお話する際には以下のようなスライドを入れています。

外に繋いでいないパソコン内に入っているデータなら、外からアクセスされることはないので安全だと思います。
ただし、それだと今は仕事にならないですよね？
それなら、リスクを理解し適切に外に出す仕組みを整える必要があります。
ITリテラシーがどうとかデジタルわからないとか色々聞きますが、オンライン時代ではそんなこと言ってられなくなると思います。

オンラインを活用する動きが活発になっていく中で、理解し安心して使う側にいくのか、理解しようとせずよくわからないという不安を抱え続けるのか。
僕は、理解して安心してたくさん使っていきたいので、これからも学び続けたいと思っています。

以上！！