ゼロトラストのビジネスケース
思い浮かべてください。あなたは、柔軟な働き方を認める方針で企業を経営しています。つまり、社員はいつでも、どこからでもログオンする可能性があります。その上、各メンバーは複数のデバイスを持ち、さまざまなレベルの接続性とインターネットセキュリティのWiFiを使用しており、あなたがコントロールできる範囲は限られています。ハードウェア、ソフトウェア、そしてその間のあらゆるものが使われています。さらに、それらのチームメンバーやデバイスは、さまざまな強さや複雑さのサイバー攻撃を受ける可能性が��あります。チームと会社を潜在的なサイバー脆弱性から効果的に守るために、あなたは何ができるでしょうか?
デジタルトランスフォーメーション、リモートワーク、テクノロジーの継続的進歩といった最近のトレンドを踏まえ、あらゆる規模の企業が、システムやインフラを保護するためのアップグレードや新セキュリティ対策の導入を必要としているのが現実です。
残念ながら、強力なセキュリティ対策を効率的に導入するための先見性や指針が欠如し、脆弱なままの企業もあります。企業の規模やタイプに関係なく、ゼロトラストのような強力で回復力のあるネットワーク保護がなければ、システム侵害が起こるのは時間の問題です。
オフィスワークからハイブリッドワークへの移行に伴ってデータやリソースが広範囲に分散された状況で、瞬時かつ安全に接続しようとすると複雑な問題が生じます。従業員がさまざまなネットワークやデバイスを使って仕事するようになったため、企業のIT部門からコントロールが奪われ、ビジネスがサイバーセキュリティの脅威に対して脆弱になっています。従来のオンサイトインフラ保護の減少と在宅勤務セットアップによって、ビジネスネットワークを危険にさらす脆弱性が生じています。
Zero Trustとは?
ゼロトラストは、リモートであろうとネットワーク内部であろうと、いかなるユーザーも信用しないことによってコントロールへのアクセスを厳格に維持するサイバーセキュリティモデルです。このモデルでは、すべてのリソースに対するすべてのリクエストを逐一検証します。他の従来型ネットワークセキュリティでは、脅威は防御を突破して企業システムに侵入してしまえば、後は自由に動けます。
脅威はネットワークの内外に存在するという前提に立つゼロトラストの枠組みを適用すれば、いかなるユーザーも自動的に信頼することはありません。ゼロトラストは、ユーザーID、権限、デバイスID、セキュリティを常に検証することが基本です。ログインと接続は断続的にタイムアウトするため、ユーザーとデバイスは定期的に再認証されることになります。
さらに、ゼロトラストの枠組みを採用すると継続的な監視と検証が行われるため、ネットワークへのアクセスを制御・制限することができます。これは、アクセス権限の制限、マイクロセグメンテーション、多要素認証(MFA)という、ゼロトラストセキュリティの主要原則を適用することによって実現します。
チームの生産性を向上
ログオンであれ、ファイル共有であれ、初日のデバイス設定であれ、従業員は簡単で迅速なユーザーエクスペリエンスを切望しています。時代遅れで効果の乏しいセキュリティ対策は、役割を問わず作業を遅らせるだけで、誰も望んでいません。
ゼロトラストを使う主な理由は、誰がどこでどんなデバイスを使っていようとセキュリティを提供するためです。ゼロトラストは手作業のセキュリティタスクに費やす時間を大幅に削減し、攻撃対象領域を減らし、時代遅れのセキュリティ対策に費やされるであろう時間を取り戻すことにより、最終的にはチームの生産性向上につながります。
こうした利点認識の下、セキュリティプロトコルが変化しています。「城と堀」の環境はもはや存在せず、レガシーパスワードはほぼ廃れ、VPNの冗長化が進んでいます。このような変化が起きているのは、従業員の自由選択を可能にし、ビジネスフローを改善するために、どこででもスピーディに接続できる必要があるからです。
コネクテッドワールドは拡大する一方ですが、それには内在するサイバーセキュリティ脅威のリスクが伴います。この現実を前に、CISO、CSO、そしてすべての経営幹部は、ビジネスとネットワークを守るためにゼロトラストが必要だと痛感するはずです。
従業員を過小評価するな
ネットワークとそれに対する脅威を理解する必要があるのはITとセキュリティの専門家だけ、という時代は終わりました。今は、企業とネットワークを守るために、従業員が単なる「コンピューターリテラシー」以上のものを身につけなければならない時代です。
サイバー脅威対策では従業員が最初で最後の防衛線になり得るため、社内にサイバーセキュリティ文化を醸成することが必須になります。職場におけるサイバーセーフティの進化を考えると、この文化醸成をしない理由はないでしょう。ゼロトラストのセキュリティ上の利点は明確で、実証済みです。しかし、従業員には、企業ネットワーク内でもゼロトラストを適用する目的について訓練を施す必要があります。
ネットワークとサイバーセキュリティを理解できるように従業員への投資と訓練を優先し、ネットワークを全面的に強化し、不必要な脆弱性を排除してこそ、利点を活かすことができるのです。従業員には、ゼロトラストセキュリティの使用とその根拠について定期的に教育を行うべきであり、その際は特に、対策は監視ではなく保護が目的であることを説明する必要があります。
こうした教育の最終目標は、従業員が利点を理解し、ゼロトラストに反感を抱くのでなく、ゼロトラストと連携できるように力を付ける環境を作ることです。
ゼロトラストがこれまで以上に必要
サイバー攻撃やセキュリティ侵害のリスクがますます高まる中、企業は自社の資産やデータを保護するために適切な戦略を採用する必要があります。サイバーセキュリティに関する従業員の訓練とスキルアップを行い、ゼロトラストの思考態度を醸成することから始めるとよいでしょう。
ネットワークセキュリティを定期的に見直し、更新し、改善しない企業は単に、不必要な脆弱性を放置しているのです。ゼロトラストは複雑で大変なことのように聞こえるかもしれませんが、このセキュリティモデルの採用は、適切な保護を確保したい人にとっては考えるまでもないでしょう。
Cloudflare Zero Trustは、すべてのネットワークトラフィックの検証、フィルタリング、分離、検査を、セットアップと運用の容易さを追求したコンポーザブルな統一プラットフォームで一元的に行います。330都市以上に広がり、12,500以上のネットワークと相互接続するグローバルネットワークを使ったセキュアな仮想バックボーンにより、セキュリティ、パフォーマンス、信頼性面でパブリックインターネットより大きなメリットが得られます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事はTechnology Decisionsに掲載されたものです。
このトピックを深く掘りさげてみましょう。
ゼロトラストと導入開始方法の詳細については、『ゼロトラストアーキテクチャへの段階別ロードマップ』ガイドをご覧ください。
著者
Raymond Maisano — @rmaisano
Head of SASE APJC, Cloudflare
記事の要点
この記事では、以下のことがわかるようになります。
サイバー脅威対策では、従業員が最初で最後の防衛線になることが多い。
企業のIT部門では、コントロールの維持が一層困難になっている。
ゼロトラストの枠組みが継続的な監視と検証を可能にする仕組み