DX時代のセキュリティ対策　今までのシステムで本当に大丈夫？

「DX（デジタルトランスフォーメーション）」という言葉が一種のバズワードのように広がり、企業も自治体も取り組みを進めています。最新の技術を駆使してさまざまな変革が行われることで、私たちの暮らしは、より便利で快適なものへ変わっていくでしょう。

ただ、技術革新が進んでITの使い方が変化してきたことで、新たな脅威も生まれています。
今回は、DX時代のセキュリティ対策にどう取り組むべきかについて考えてみましょう。

【関連記事】

【セキュリティ記事13本】アイネスのセキュリティ情報まとめ＜前編＞

【セキュリティ記事13本】アイネスのセキュリティ情報まとめ＜後編＞

デジタルトランスフォーメーションとは？DXのキホンのキ

DX時代のサイバーリスクとは

DX（デジタルトランスフォーメーション）が推進される現代の日本において懸念されるサイバーリスクは、以下の2点で従来とは異なります。

クラウド利用の拡大

DX時代のサイバーリスクで注目したいポイントの一つが、ホステッド型クラウド（パブリッククラウド、プライベートクラウド）の利用です。

企業などが業務でクラウドサービスを利用するようになり、従来のようにデータを社内に保管していたところから、クラウド上、つまり社外に保存するように変化してきました。
（※オンプレミス型プライベートクラウドを利用しているケースを除く）

社外とは具体的には、他社が管理するサーバー上にデータを保存するということです。
社内でデータを保管していても不正アクセスや情報漏えいといったリスクはありますし、クラウドサービスの提供者がセキュリティ対策を講じているはずです。
しかし、自社でコントロールできないという点でホステッド型クラウドの利用にはリスクがあるといえます。

また、クラウドサービスを利用している業務については、インフラをサービス提供者に依存している状態となります。クラウドサービスに障害が発生すれば、業務や提供サービスをストップせざるを得ませんし、クラウドサービスの不振や提供者の経営悪化などによりクラウドサービスそのものが終了してしまえば、自社の意向に関わらずデータを移行する必要に迫られます。こうした点もリスクといえます。

働き方の変化によるセキュリティ対策範囲の拡大

「DX（デジタルトランスフォーメーション）」や「働き方改革」の推進、「新型コロナウイルス感染拡大」の影響によって、従来のようにオフィスに出勤して働くスタイルから、テレワークでサテライトオフィスや自宅などで業務を行うスタイルへと変化が進んでいます。

これに伴い、セキュリティ対策も従来のままというわけにはいかなくなってきています。
オフィスにデスクトップパソコンを置いていただけの環境に比べ、デバイスはノートパソコンやタブレット、スマートフォンと種類も数も増え、ネットワークも社内ネットワークだけでなく、社内ネットワークからテレワーク先へ、さらにWebサービスへと広がっています。

また、オフィス以外の環境で働くことで従業員の気がゆるみ、ミスや故意による情報漏えいリスクも高まります。

【関連記事】

テレワークにおけるセキュリティ対策

エンドポイントセキュリティとは

従来型セキュリティが抱える課題

従来のセキュリティは、「社外からの悪意あるアクセスを遮断し、社内のネットワークをセキュアに保つ」という考え方から「社内のネットワーク」と「社外のネットワーク」の境界を重点的に対策する方法です。
後述する新たなセキュリティ概念「ゼロトラストセキュリティ」が登場したことにより、このような従来のセキュリティは「境界型セキュリティ」とよばれるようになりました。

境界型セキュリティの弱点は、境界だけを監視対象としているため、一度、境界の内側に侵入されてしまうと無力な点です。また、もともと社内ネットワークにサイバー攻撃者がいる場合、つまり、内部不正に対しても効力を持ちません。

こうした弱点を解消するためには、これまで安全視してきた「社内ネットワーク」に対するセキュリティ対策を講じる必要があります。
そこで、すべてのアクセスに悪意があることを前提としたセキュリティモデルである「ゼロトラスト」が有用です。

ゼロトラストでDXと働き方改革を実現

前章で触れた「ゼロトラスト」の概念でセキュリティ対策を講じれば、従来型セキュリティの課題を克服し、DXと働き方改革の実現につながります。

ゼロトラストとは？

「ゼロトラスト（zero trust）」とは、米国の市場調査会社Forrester Research（フォレスター・リサーチ）社の調査員ジョン・キンダーバーグ氏が2010年に提唱したセキュリティモデルで、「あらゆるユーザー、リクエスト、サーバーは信用できない」という考え方に基づきます。

具体的には、すべてのアクセスに対して認証を行うといった方法でゼロトラストを実現します。

ゼロトラストを実現したネットワークを「ゼロトラストネットワーク」をよびます。

ゼロトラストネットワークのメリット

ゼロトラストネットワークでは、すべてのアクセス要求に対してチェックを行うので、従来型セキュリティに比べるとセキュリティ向上が期待できます。特に、従来型セキュリティでは、マルウェア感染などが起きてしまってから検知しますが、ゼロトラストではマルウェアに感染したデバイスからのアクセスは拒否するため、ネットワークへの侵入段階から防ぐことが可能です。

セキュリティ向上だけでなく、デバイスを利用して業務を行う従業員のユーザビリティも向上できます。なぜなら、どのようなデバイスからのアクセスもすべてチェックするため、利用できるデバイスの幅が広げられるためです。

つまり、ゼロトラストモデルで構築したネットワークを活用すれば、従来型セキュリティが抱える課題を解決でき、DXや働き方改革が一歩前進するといえます。
ただし、ゼロトラストを実現すればすべてのサイバー攻撃から防御できるというわけではないため、引き続きリスクを評価し、対策を講じなければならない点には注意が必要です。

【関連記事】

ゼロトラストネットワークとは

ゼロトラストを実現する方法　～従来型との違いと導入ステップ～

DX時代のセキュリティ対策はアイネスにおまかせ

ゼロトラストは、あくまでもセキュリティの概念の一つであり、具体的なセキュリティソリューションではありません。そのため、実現する方法はさまざまあり、各社からいろいろなゼロトラスト製品・サービスがリリースされています。

ただ、セキュリティに関する専門知識に自身のある方でなければ、複数の製品・サービスを比較検討しながら、自社にマッチしたソリューションを選ぶことは難しいでしょう。
場合によっては、ゼロトラストを導入するよりも適した課題解決策が見つかることもあります。

そこで、アイネスでは、セキュリティの総合コンサルティングサービス「Makaset For Secrity（マカセテ・フォー・セキュリティ）」を提供しております。
ゼロトラストに関するソリューションはもちろん、お客様のご状況や課題に合わせて最適なセキュリティをご提案いたします。詳しくは、お気軽にお問い合わせください。

【関連サービス】

ゼロトラストセキュリティソリューション

ゼロトラストでOktaを活用

ＩＴでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

お問い合わせ