検索
連載

「ゼロトラスト」は従業員にとって何がメリットなのか――利用者視点におけるゼロトラスト導入時の変化と課題働き方改革時代の「ゼロトラスト」セキュリティ(25)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、利用者視点におけるゼロトラスト導入時の変化と課題について解説する。

[仲上竜太,ニューリジェンセキュリティ] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 働き方改革によって注目された「ゼロトラスト」は、ハイブリッドワークやクラウドファーストの普及に伴うデジタル環境の変化によってセキュリティの目指すべき姿として多くの企業や組織で導入が進んでいます。

 自社のオフィス内に情報システムや従業員が集約されていた状況から、昨今は従業員の自宅や他社のデータセンターなどに分散するように変化しました。内部/外部という境界を意識しないデジタル全領域でのセキュリティが重要視されているといえます。

 ゼロトラストのコンセプトを企業や組織に適用するには、新たなセキュリティシステムの導入が求められますが、最近では基盤となる情報システムそのもののクラウドサービス化が進み、結果として透過的にゼロトラストの恩恵を受けられる状況になってきました。

 既存のセキュリティを維持しつつ、ゼロトラストの考え方を、新たなデジタル環境に適用させながら導入するには、新たなセキュリティシステムの構築と併せて、従業員などの利用者の理解が必要です。

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載「働き方改革時代の『ゼロトラスト』セキュリティ」。今回は、利用者視点におけるゼロトラストの導入による変化と課題について考えます。

ゼロトラストの導入におけるユーザー体験の変化

 企業や組織が新たなシステムやセキュリティの仕組みを導入する際、その影響を大きく受けるのが、従業員など、情報システムの利用者です。

 ハイブリッドワークが主体となった環境では、利用者がリモートからでも快適かつ高い生産性を発揮しながらセキュリティが保たれる情報システムやデジタル環境が求められます。

 一斉にテレワークが実施された2020年当時では、VPN接続装置などのパフォーマンスやライセンス制限が課題となり、セキュリティの不便さが生産性の低下につながる事態となりました。セキュリティ対策は重要ですが、生産性を著しく下げるようでは対策への理解が得られません。モラル低下やセキュリティの迂回(うかい)など、結果としてセキュリティの維持が難しい状況にもつながります。

 ゼロトラストは、利用者やプログラムが使用するアイデンティティー(ID)を常時検証し、データへのアクセスを制御する考え方です。その考え方の根底には、ネットワークの内側/外側という区別なく脅威が存在する現実があります。

 一般的には、ゼロトラスト導入の結果として、社内ネットワークの接続はSSE(Security Service Edge)やSASE(Secure Access Service Edge)によって透過的なインターネットセキュリティとともに提供されるようになり、社内ネットワークとインターネットの違いを意識する必要がなくなります。既存のファイルサーバは「Microsoft SharePoint」「Box」など企業や組織が統制するクラウドストレージに置き換わり、ここでも透過的にデータセキュリティやクラウドセキュリティの仕組みが働いています。

 利用者にとってもVPNに接続している/していないといった接続状態に左右されず、セキュリティが透過的に保たれた形で社内システムやクラウドサービスを安全に活用できる大きなメリットが生まれます。

 ID基盤のクラウド化によって、さまざまな場面で組み合わせて利用されるSaaS型クラウドサービスをSSO(シングルサインオン)によって統一された認証が使用できるようになります。利用者はログインの際にIDやパスワードを探す必要なく安全かつ便利にサービスを利用できます。

 CASB(Cloud Access Security Broker)やCSPM(Cloud Security Posture Management)の機能は、クラウド上での操作ミスによる不適切な権限設定も機械的に検知し、対処を指示するようになっています。

ゼロトラストの導入に利用者が感じる不安と不満

 セキュリティ機能の高度化とともにビルトインセキュリティによるサービスとの一体化が進み、情報システムの多くの部分がクラウド基盤に移りつつある昨今では、既存のセキュリティシステムの体験と比較してセキュリティシステムの存在を意識する場面は減少しています。

 一方、利用者にとっては従来使い慣れた社内システムやネットワーク接続のやり方が変更になることに対して抵抗感が生じる場合があります。

 ゼロトラストの導入は、情報システムそのものの刷新と一体化しているものが多く、利用者にとっては新たなサービスの使いこなしや学習に時間がかかってしまうので、一時的に生産性が低下するケースを考慮する必要があります。結果的に利用者の体験が向上し、生産性が高まるとしても、利用者の理解を得られないままでの急激な変化は生産性の低下を招く結果になります。

 ゼロトラストの導入担当者は情報システム部門と密に連携しながら、利便性の向上とセキュリティの強化が一体化していることを理解してもらい、ゼロトラストを推進することが求められます。

 ゼロトラストを導入するには、情報システムにおける利用者の行動の追跡についても理解を得る必要があります。

 ゼロトラストの考え方では、デバイスやIDの挙動について日常的な可視化によって異常なアクティビティー(活動)を検出する取り組みが重要です。

 具体的には、利用者が業務で使用するPCやスマートフォンで操作した内容やWebサイトの閲覧履歴、位置情報、活動時間帯、アクセスしたデータ、ログインなどの履歴などの活動内容が、検証可能かつリアルタイムにモニタリング可能な形で収集されます。このようなデータの収集については、プライバシーの観点から抵抗感がある利用者への配慮が必要です。「セキュリティを保証するため」ということと、「個人の活動を監視する目的ではない」ことを明確にし、丁寧に説明して理解を得ることが重要です。

 業務で使用するPCやスマートフォンなどのデバイスに企業の統制と監視が加わることで、利用者のデバイスやアカウントを悪用するサイバー攻撃者の割り出しが可能になり、全体的な情報漏えいリスクが低下するメリットを理解してもらう必要があります。

 個人のPCやスマートフォンを業務利用するBYOD(Bring Your Own Device)についても、ネットワークアクセスのためのエージェントやEDR(Endpoint Detection and Response)などの導入について理解を得る必要があります。

ゼロトラスト導入を成功させるための利用者理解の促進

 最近では、民間企業だけでなく、港湾などの大規模な流通基盤、病院や学校といった公的機関、官公庁での深刻なサイバー攻撃被害に関する報道が続いています。

 その背景には、企業が設備として使用しているインターネットに接続されたネットワーク機器の機種やバージョンが簡単に検索可能な点や、機器に対する脆弱(ぜいじゃく)性を悪用するプログラムがサイバー犯罪者のエコシステムによって流通している点などがあります。最近では生成AI技術の一般化や自動化技術の発展を背景に、サイバー攻撃者はターゲットを狙った攻撃に加え、セキュリティが脆弱な組織に対して機械的に攻撃を仕掛ける活動を強化しています。

 業種や業態にかかわらず、セキュリティの脆弱な部分がインターネットに露出しがちな現在のデジタル環境では、サイバー攻撃は決して対岸の火事ではありません。

 いわゆる「社内ネットワーク」で正規のアカウントを悪用するサイバー攻撃者が自分たちの気が付かない間に活動しているという現状と、働き方の多様化というニーズにマッチしたゼロトラストは、セキュリティと生産性の両方を向上できる考え方として注目され、今では当たり前になりつつあります。

 在宅やリモートなど管理者の目の届かない場所で従業員が安心して働くには、情報システムの変化を伴うゼロトラストの導入について、利用者観点での理解と協力が不可欠です。

 2014年に「BeyondCorp」としてゼロトラストの全社的な導入を開始したGoogleでは、ゼロトラスト導入に対する従業員の理解を得るために、各組織にゼロトラストの推進担当者を設置し、システム環境の変化に対する意見や不満を吸収しながら徐々にゼロトラストのコミュニティーを形成しながら導入を進めたことが「USENIX協会」において発表されています。

 多くの買収や合併を経て企業が大きく成長する過程では、バラバラな情報システムの統合は常に大きな悩みの種です。特にセキュリティは組織によって運用基準がバラバラで、レベルを一致させるだけでも大きな苦労が伴います。

 まさに「会社の枠を超える仕組みづくり」ともいえる、BeyondCorpにおける利用者理解の取り組みは、経営陣からサービスを所有するチーム、サポート担当者に至るまで、全ての関係者との対話を通してプロセスの変化に対するコミットメントの強化をもたらしました。

 企業においてゼロトラストや新たな情報システムの導入を進める上で大変参考になります。

 利用者のつまずきや不安を払拭(ふっしょく)しながら共に新たなデジタル環境を作り上げるチームワークは、情報システム部門やセキュリティ部門の取り組みと併せて、ゼロトラストの導入を成功に導く鍵の一つといえます。

筆者紹介

仲上竜太

ニューリジェンセキュリティ株式会社

CTO 兼 クラウドセキュリティ事業部 副部長

ラックと野村総合研究所の合弁によるクラウドセキュリティ企業、ニューリジェンセキュリティ株式会社のCTOを務める傍ら、進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行う。

デジタルトラストナビゲーター。家では夜な夜なクラフトビールを片手にメタバースでの生活を過ごしている。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  4. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  5. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  6. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  7. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  8. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. Cloudflareが「ゼロトラストセキュリティ」のツールを無料化 何が狙いなのか
ページトップに戻る