本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
2021年も残すところ2カ月ほどとなったが、従来のITインフラの制約やテレワーク向けのセキュリティの課題が、依然多くの企業を悩ませる中、2021年も国内外で事業継続を脅かす深刻なサイバーリスクが顕在化した。ランサムウェアによってパイプラインが止まる、外来診療が困難になる、休校に追い込まれる、決算発表の延期を余儀なくされる――など、事業継続に直接影響を及ぼすセキュリティインシデントが国内外で多発した。被害組織自体の事業継続にとどまらず、サプライチェーンや社会にまで影響が及んでいるのが特徴だ。
各国政府機関も無視できなくなった「ゼロトラスト」
このようなサイバーリスクの深刻化を背景に、2021年5月には、米国のJoe Biden政権がサイバーセキュリティに関する大統領令を発令する事態にまでなった。その中で、連邦政府機関に対して要求されたものの一つが「ゼロトラスト」の採用だ。既に「SP800-207 Zero Trust Architecture」が米国立標準技術研究所(NIST)から2020年8月に公開されていたが、デザインから実装に至るまでの「ゼロトラストアーキテクチャープロジェクト」も2021年に入り立ち上がっている。その後、米国政府からはゼロトラスト連邦戦略の草案が、2021年9月に公開されている。
このような動きは米国だけに限らない。英国では、国家サイバーセキュリティーセンター(NCSC)から「Zero trust architecture design principles」が公開され、自組織の要件に合うゼロトラストを実装する上での検討指針が明記されている。国内では、2021年9月に内閣官房内閣サイバーセキュリティセンター(NISC)から発表された「サイバーセキュリティ2021」(PDF)においても「ゼロトラスト」が言及されている。企業・組織のIT環境の変化とサイバーリスクの深刻化を受けて、「ゼロトラスト」に国内外で多くの企業・組織が注目しているのは間違いない。
筆者が所属するパロアルトネットワークスが実施した最新調査の結果、情報収集から採用に至るまでの段階にはかなり大きな差があるものの、ゼロトラストに関して何らかの取り組みをしている国内企業は、実に約9割にも上ることが分かった。
ゼロトラストが単なるバズワードで終わるかどうかは、セキュリティ業界でビジネスを行っているわれわれ一人ひとりがどう取り組むか、そして、対策を行う企業や組織がどう受け止め対応するかにかかっている。ゼロトラスト自体に積極的に取り組むかどうかの方法論は別として、多くの企業・組織がサイバーセキュリティの現状に課題意識を持ち、再考を促されている。
段階は違うものの多くの国内企業がゼロトラストに注目している