内と外の境界を守るだけでは、もはや不十分
「もはや企業は、自社の従業員を誰一人信用すべきではない」――。こんな言い方をすると、多くの人はそんなことはないと反論するだろう。しかし、こと情報セキュリティ対策の世界では、これが1つの真実になりつつある。
それを裏付けているのが、グローバルなセキュリティ企業であるパロアルトネットワークスの調査だ。これによれば、自社従業員による内部犯行を経験している企業や組織は37.9%。また、従業員本人のアカウントを用いたサイバー攻撃を受けたことがある企業や組織は、実に79.4%に達しているのである(※)。
そもそも従来のセキュリティ対策は、企業ネットワークの内側と外側を区別し、内側のことは信用するという「境界型」のセキュリティ対策が一般的だった。つまり、いったん社内のユーザーであると認証されれば、あとは「性善説」に基づき、そのアカウントを全面的に信用してきたのだ。ところが、先の調査結果に基づけば、この境界型の対策だけでは、ビジネスを適切に守ることができないということになる。
また、折しも昨今のコロナ禍で、企業組織におけるテレワークが急速に拡大。在宅勤務者が急増したことで、企業ネットワークの内外を明確に区別することが困難になっている。また、セキュリティ対策担当者も在宅勤務になるため、セキュリティ事故が起こった場合の対応は、システム管理者とも連携しながら進める必要性が生じる。状況把握から、該当システムへのアクセス停止、隔離、復旧までの作業を、部門をまたいで進める際には、今まで以上に複雑な運用が予想される。こうした状況を総合的に踏まえると、企業は境界型対策に代わる新たな手法を早急に考える必要があるといえるだろう。
そこで近年、注目されているのが「ゼロトラスト」だ。これは文字通り“誰も信用しない”、「性悪説」に根差した対策アプローチのこと。企業の内側か外側かにかかわらず、すべてのアクセスを可視化・ロギングするとともに、精査した上で最小限の許可のみをユーザーに与える。今後は、この考え方に即してシステムやネットワークを守ることが、ビジネスリスク低減に向けて非常に重要になるといえるだろう。
では、どのような取り組みを、どのような優先順位で進めていけばよいのか。セキュリティ対策のプロフェッショナル4人に聞いた。