「ゼロトラスト」3つの“誤解”　どのように考え、企業内で検討していくべきか：ニューノーマル時代のセキュリティ（1/3 ページ）

[神野光祐（PwCコンサルティング合同会社），ITmedia]

　2011年に登場した概念「ゼロトラスト」の認知度が、ここ1年で急速に高まった。企業・組織内のネットワークであっても、全ての通信を信頼せず、常に検査するという考え方だ。認知拡大の一因には、クラウドの普及やサイバー攻撃の巧妙化といったセキュリティの側面もあるが、新型コロナウイルスの感染拡大に伴い、リモートワークが急増したことが大きいだろう。とりわけリモートワークの環境整備を進める上で浮き彫りになった「VPN帯域／ライセンスの枯渇」という喫緊の課題と、ゼロトラストのコンセプトが見事に合致したのだ。

　注目を浴びているゼロトラストだが、この言葉が特定のソリューションを指さない「概念」であることから、当初は「実態をつかめない」「結局、何なのかよく分からない」という意見も多かったのではないだろうか。現在では「ゼロトラスト対応」をうたう製品が市場に流通し、抽象的だった概念も徐々に輪郭が浮かび上がりつつある。

　一方、各企業では「どのような考え方でゼロトラスト化の是非を判断すべきか」「そもそも自社でゼロトラスト化を推し進めるべきなのか」という根本的な疑問が増えてきているのはないだろうか。そのため、本稿では「ゼロトラストとは何か」「どのような製品を組み合わせるべきか」といった技術論ではなく、「そもそもゼロトラストをどのように考え、企業内で検討していくべきか」という点に触れたい。

　筆者は、ゼロトラストは経営課題にひも付く打ち手の一つであり、その前提で検討すべきと考える。強調したいのは以下の3点だ。

1.ゼロトラストは、リモートワークのツールではない

　上述したVPN帯域／ライセンスの枯渇という問題を受け、ゼロトラスト関連ソリューションが「VPNの代替」のように喧伝（けんでん）される傾向がみられる。ゼロトラストの「接続元ネットワークを問わず、ユーザー・デバイスおよびコンテキストに基づき認証する」という性質を考慮すれば、それは間違いではない。

　しかし、短期的に「VPNの代替」としてゼロトラスト化を考え、部分最適で関連ソリューションを導入することには異を唱えたい。VPNの容量が足りないのであれば、既存の回線や装置を拡張する選択肢もあるからだ。

　一般にVPNの拡張ではなくゼロトラスト化を選択する理由としては、以下のような点が挙げられる。

　どちらも正しいが、前者については、ゼロトラスト化に伴い、既存のインターネットゲートウェイを廃止できることが条件だ。それができなければ、並行運用となり、双方のコストがかかる。既存のインターネットゲートウェイを増強する方がコスト面では合理性があるのではないだろうか。

　では、後者についてはどうか。ラテラルムーブメントによる侵害リスクを低減するには、社屋やデータセンター内のトラフィックにも同様の考え方を適用しなければならない。つまり、リモートアクセス環境だけに対応しても意味がない。インフラの環境全てを厳密にゼロトラスト化する必要がある。

　いずれにしても、将来的な拡張や解決すべき課題を可視化し、それらを見据えてゼロトラスト化を検討すべきだ。