日本企業は、従業員の多様化(非正規社員、転職者、多国籍、他)による価値観の変化をはじめ、新型コロナウイルス感染症対策のリモートワークやBYOD(Bring Your Own Device)の急増により、従来よりも強固なセキュリティが求められています。その実現のためには、社員への信頼を前提とした発想から脱却し、内部犯行を仮定したセキュリティ施策(『ゼロトラスト』の発想)を採り、自社のファシリティ、ITリテラシー、運用負荷、組織構造、業務プロセス等を多面的に考慮することが必要です。
KPMGは、企業の状況を360°の方向から検討し、ゼロトラストのアーキテクチャの提供と、コンサルティングファームならではの情報セキュリティ環境の整備を総合的に支援します。
『ゼロトラスト』の概念と現状
日本ではビジネス環境の変化だけでなく、派遣制度や転職を前提とした働き方の多様化によって人材の移動が流動化し、内部起因の情報セキュリティリスクが高まっています。このような内部犯行が発生しうる可能性に基づいてセキュリティを見直す思想が『ゼロトラスト(だれも信用しない)』です。しかし、城壁(ファイアウォール)に加えて、内部からの攻撃にも対応できる武器(ふるまい検知等のテクノロジー)や傭兵(モニタリング/相関分析テクノロジー/怪しい端末の隔離等)を単純に増強することは、コスト増加だけでなく無尽蔵に労力を消費する結果となり、必ずしも効率的とはいえません。確実なセキュリティの実現には、単発的なテクノロジー施策にとどまらないルールや要員育成、城構造再設計(IT設備、ファシリティ)などの組織横断的な施策の検討と実行が重要です。
【働き方の多様化によって高まる内部犯行の脅威と『ゼロトラスト』の概念】
ゼロトラストの概念に基づく360°対策の進め方
ゼロトラスト・モデルによる設計思想は、在宅ワークやクラウドの活用などによりビジネス環境が複雑化し、守るべき領域の境界が曖昧になってきたことに起因して、政府をはじめ市場がその考え方を強く意識するようになりました。
現在のビジネス環境に対して、事業部やシステム毎に個別に予算を計上してセキュリティ製品を導入することは、内部の管理・運用工数の増加リスクを孕みます。そのため、自社の業務プロセスやIT運用体制など、これまでは各部門が個別に対応していたものを、組織横断的視点(360°視点)で経営層が正しく現状把握・チェックする必要があります。
それらを全社的な命題として、 IT部門・事業部門・管理部門が一体となり、情報セキュリティ施策と各部門の施策の関係性を考慮しながら、戦略的に中長期計画(ロードマップ)を策定することが不可欠です。
経営層による組織横断的なトップダウン体制の構築
組織横断的な対応を行うためには、各事業部に任せていた事業システムの企画段階から、情報システム部門が情報セキュリティの観点をもって参画するなどといった、制度面の変更へとメスを入れることが求められます。トップダウンで情報システム部門が旗振り役を担って推進することができる組織体制と、役割に応じた権限の付与が必要です。
【IT部門×事業部門×管理部門が三位一体となった体制によるゼロトラスト推進】
ゼロトラストの検討対象領域
非ITインフラ領域を含めてやみくもにゼロトラスト化の検討を開始しても、範囲が広すぎるため、どこから手を付けるべきか容易に判断できません。効率的に推進するためには、検討観点についてフレームワークを用いて可視化し、個々の領域にかかわるステークホルダーを明確化します。これにより、検討領域の位置づけと目的に関して、ステークホルダーと同じ目線で協議を行いながら施策を策定できます。またそうして協議を重ねることで、ステークホルダーとのリレーションシップを強めながら、情報システム部門がリーダーシップをとってゼロトラスト化を推進する土台を築くことが可能となります。
ゼロトラストセキュリティ対策の多層防御とは
ゼロトラストを実現する総合的なセキュリティ環境を実現するためには、既存のセキュリティ対策だけでなく、内部犯行を前提とした「多層防御」が重要です。多層といえば、ファイアウォールを重ねることや、ネットワーク、認証、データ暗号化などの施策を多重に実装して守るイメージですが、現状のITアーキテクチャのまま実装すると、複雑性が増すばかりで運用が破綻するおそれがあるため、企業の現行構成や守るべき資産等の配置を考慮した適切な設計が必要となります。
ゼロトラストアーキテクチャの概念構成
実効性、運用効率性の高いゼロトラストアーキテクチャの設計には、各ソリューションを効率的に配したモデルを設計し、そのセキュリティチェックポイントに対する運用効率と、検知・対応の迅速性を最大化することが重要となります。すなわち、悪意のある第三者の攻撃を防ぐソリューションだけでなく、内部関係者(従業員、派遣社員、外部委託先等)のミスや不正の可能性も見越した、利用シーンに応じた漏れと無駄のない多面的なアーキテクチャ(ソリューション実装と監視運用)の設計が重要です。これにより余分な投資も運用負荷も極小化されたゼロトラスト環境が整備されます。