脱IT初心者「社長の疑問・用語解説」（第55回）ゼロトラストはゼロベースで検討

　単純に言うと、これまでは社内ネットワーク＝信頼できる、社外＝信頼できないという構図でセキュリティ対策を立てていました。ところが、テレワークで社外から社内システムを利用したり、クラウドサービスを利用したりするようになり、社内外の境界が曖昧になっています。社外にいる社員のノートパソコンがウイルス感染する可能性もあります。

　また、サイバー攻撃が巧妙化し、長期間にわたり攻撃に気付けないケースもあります。社内外のあらゆる場所が危険との認識から、何も信頼しないというゼロトラストの考え方が重要視されているのです。

Q ゼロトラストではどんな対策が必要ですか

　ネットワーク、システム、端末、利用者といった業務に関わるあらゆるものが対策の対象となります。例えばネットワークでは、これまでと同様に社内ネットワークとインターネットの境界を防御する対策が必要です。

　業務で利用するパソコンやタブレット、スマホなどの端末のウイルス対策を行ったり、社内システムやクラウドサービス利用時にユーザー・端末認証を行ったりするなど、アクセス制御の仕組みも必須です。標的型メール攻撃などの被害に遭わないよう、定期的な社内訓練も欠かせません。

Q ソリューション検討時の注意点はありますか

　ゼロトラストのセキュリティ対策では、サイバー攻撃に遭わないようにする事前対策はもちろん、攻撃に遭った場合の事後対策も必要です。被害特定や復旧、再発防止といった事後対策までサポートしてくれるソリューションを検討しましょう。社外からの不正な通信やセキュリティ機器の異常検知などの監視や、問題発生時のサポート体制も評価ポイントです。セキュリティ事情に精通し、継続的に対策を任せられるITサービス事業者に相談するといいでしょう。

ゼロが一番「ゼロトラスト」

「社長、ゼロトラストの考え方を分かっていただけましたか」（総務兼IT担当者）

「ゼロトラストが何も信頼せずに疑ってかかることは分かった。いろいろな対策を検討する必要がありそうだが、大丈夫なのか」（社長）

「はい。私を信頼してお任せください！」

「なにしろゼロトラストだからな。対策費用もゼロに近づけてくれ」