ビジネス視点で分かるサイバーのリスクとセキュリティ

ゼロトラストを取り巻く「5つの誤解」

染谷征良 (パロアルトネットワークス)

2020-12-01 06:00

 本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。

 前回は、単なるバズワードではなく企業が採用すべきサイバーセキュリティ戦略である「ゼロトラスト」について解説した。クラウド移行やテレワークによって企業のITインフラが境界線のないものに変化すると同時に、アカウント権限や正規アプリケーションの悪用をはじめとするサイバーリスクの変化からも、ユーザー、アプリケーション、エンドポイントおよびワークロード、コンテンツの全ての観点で企業のデジタルインフラから信頼を取り除く必要があることが理解していただけただろう。

 今回は、ゼロトラストが議論されている中でよく聞く「5つの誤解」について述べてみたい。

誤解1.ゼロトラストは「信頼できるようにすること」

 「システムやITインフラを信頼できるようにすることがゼロトラストの目的である」といった議論を一部で目にするようになった。情報漏えいだけでなく、金銭詐欺や事業継続の妨害など、近年一層深刻になるサイバーリスクが企業だけでなくサプライチェーン(供給網)や顧客、社会にもたらす影響の大きさは、もはや計り知れないものになっている。

 ゼロトラストの定義は、サイバーセキュリティ分野で参照される機会が増えているNIST(米国標準技術研究所)発行の「SP800-207」において、「企業は暗黙の信頼を全て取り除き、資産やビジネスに対するリスクを評価して、これらのリスクを回避するための防御を行うこと」と記載されている。ゼロトラストとは、「全ての場所の全てのユーザー、デバイス、アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで、侵害を防ぐためにデザインされたセキュリティ戦略」である。その戦略のもとに、全ての通信や状態を可視化した上で検査しログを取得するというアプローチをとる。

 つまり、「ユーザー」「エンドポイント」「ワークロード」「アプリケーション」「コンテンツ」といった全てのリソースに対する信頼を取り除いて、ポリシーとコンテキストに基づいて動的に可視化、監視、制御を「継続する」ことがゼロトラストであり、単なるセキュリティツールの導入や一時的な認証・認可を通じてリソースを信頼するためのものではない。先に述べた通り、「セキュリティの戦略」である。認証・認可しても、その後の挙動や送受信されるコンテンツを信頼できる保証は一切ない。「信頼は企業にとって最も危険な脆弱性」という思想がゼロトラストの根底にある。

 セキュリティを継続して強化することで企業の信頼性を構築する取り組みは重要施策の1つになっている。近年はセキュリティの取り組みを対外的に公表する企業もおり、社会や顧客、サプライチェーンの企業に対する信頼の醸成に確実に寄与するだろう。企業が信頼を構築する手段としてゼロトラスト戦略を採用する発想自体は理にかなっている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]