9割の企業が「情報セキュリティ」に不安あり。急がれる情報セキュリティ対策

　働き方改革やデジタルトランスフォーメーション（DX）で企業のネットワーク環境が多様化するなか「データ保護」の重要性がますます高まっている。企業のセキュリティ対策を支援するゼットスケーラーは2022年12月、国内企業勤務者を対象に「データ保護の現状と課題について」の調査を実施した。回答から浮かび上がったのは、旧来のデータ保護対策で十分とする認識傾向だ。同社エバンジェリスト＆アーキテクト髙岡 隆佳氏は「実際は対策が不十分なケースも決して少なくない」と警鐘を鳴らし、今後の対策の鍵として「ゼロトラスト」を挙げる。

セキュリティ対策「十分」「まあ十分」が多数、でも実際は・・・

　まず、特定の組織をねらった攻撃を指す標的型攻撃や、身代金要求型ウイルスともよばれるランサムウエア などが、自社の情報セキュリティに対するリスク要因だと捉えている人は90％に上った（Q1）。

　この結果に対し、髙岡氏は「妥当な数値です」と話し、さらに標的型攻撃やランサムウエアが「最も脅威」となるリスク要因として上位を占めた結果（Q2）については「実際そうしたリスクを認識しているのでしょう。グループ内の他組織までは統制できないという問題もあります」と加える。

　情報保護対策を行っているかとの質問に「はい」と回答した割合も、89％と高かった（Q3）。

　では、具体的に行われている策はなにかと聞いたところ、「ウイルス対策（ソフトウエア）の導入」「Webブラウザやメールのフィルタリングの導入」「USBメモリの利用制限」が半数を超えた（Q4）。

　これらの対策には、課題や留意点もあることを、髙岡氏は指摘する。
「ウイルス対策は端末の部分での初歩的な対策といえますが、対策がこれだけだともはや不十分というのが私どもの共通認識です。フィルタリングは対策として有効ですが、強めに設定すると業務に支障をきたすため、つい緩めてしまう傾向があります。USBメモリの利用制限は代表的な手段の1つですが、データの抜かれ方には他にもBluetooth経由やプリントアウトなど、多様であることを認識しておく必要があります」

　課題や留意点もあるこれらの対策が具体策の上位を占めるなか、さらに情報セキュリティ対策は十分かと聞くと、「十分」「まあ十分」が計44％となり、「不足」「やや不足」の計29％を大きく上回った（Q5）。

「十分」「まあ十分」が多かったこの結果に対して、髙岡氏は気掛かりな点をこう語る。
「実際は対策が足りていないのに、十分と認識してしまっている場合が多くあります。ここ3年ほどで、クラウドコンピューティングの本格活用が進んだり、コロナ禍で働き方が多様化して職場外での端末機器使用が増えたりした結果、攻撃表面ともよばれるサイバー犯罪者にとっての攻撃対象領域は至るところに広がっているのです」

　数年前までは、組織内におかれたサーバーやコンピュータなど、境界内のスキを防御すればセキュリティは保てるという考えが主流だった。だが、ネットワーク環境も働き方も変わり、境界内を守るという考えが成り立たなくなってきている。「もはやパッチワーク的なデータ保護対策では通用しなくなっています」

　2021年以降でも、 大手製造業グループの子会社がサイバー攻撃を受けグループ全体にシステム障害が広がったケースや、医療機関がランサムウエアに感染し8万人分以上の電子カルテなどにアクセスできなくなったケースが起きている。原因はそれぞれ、システムの技術的な脆弱性対応が十分でなかった こと、また、VPN（仮想プライベートネットワーク）機器の修正プログラムを適用していなかった こととされる。多くの企業にとって、より全体的・総合的なセキュリティ対策が求められているのだ。

コスト、人材、手間・・・ゼロトラストが課題解決を請け合う

　では企業は今後、データ保護の対策をどう取っていくべきなのか。「クラウドやモバイルの活用による企業の生産性を担保しつつ、攻撃対象領域を削減する手段として『ゼロトラスト』という考え方があります」

　この「ゼロトラスト」とは、境界内のセキュリティを守るといった考えから脱し、基本的にネットワーク利用者を「信頼すべきではない」という考えに立ったセキュリティ確保の考え方だ。起源は2000年代初頭まで遡ることができるが、2020年頃からのクラウドの本格化や働き方の多様化とともに関心が高まってきている。

「ゼロトラストでは、ネットワーク環境で使用するアプリケーションを基本的にはネットワークから隔離した状態にして、ユーザーの信頼性やデバイスの妥当性などを見た上で、必要なアプリケーションだけをつなぐことのできるアーキテクチャです。これで攻撃対象領域を削減できるのです」と髙岡氏は説明する。今回の調査のQ4では自社で行われている情報セキュリティ対策として、少数ながら「ゼロトラスト」を挙げる人もいた。

　多くの企業にとって、ゼロトラストに基づくセキュリティ対策については、未着手か、そもそも初めて知るというのが現状ではないだろうか。導入を検討するとなれば心配事も出てくるだろう。今回の調査では、情報セキュリティ向上に取り組む際に感じる課題も聞いている。「コストが掛かる」「費用対効果が不透明」といった実効性への課題意識が上位となり、「人材不足」「体制整備」「手間が掛かる」が続いた（Q6）。

　これらの課題について髙岡氏は、むしろ同社が提供するゼロトラストの仕組みを導入することが、いずれも解決する方に働くと説く。

　まずコストや費用対効果などの実効性の点については、「いわゆるデータの棚卸しに、膨大な時間や人件費が掛かると考えられがちですが、これを自動的に分類することが可能」という。データの棚卸しとは、流出対策の対象となるデータの種類や保存場所、また承認・非承認といった整理・分類の作業を指す。同社は、人工知能・機械学習による自動分類エンジンを、ゼロトラストの原則に基づいて構築されたプラットフォーム「ZIA（Zscaler Internet Access）」 に入れている。 「自動的にデータの棚卸しができ、自社のリスクがどこにあるかを人件費を掛けることなく俯瞰して把握することができます。そのリスクの傾向に基づいて方針を定めれば、効果的なセキュリティ対策を取れます」と髙岡氏は続ける。

　回答で次に多かった「人材不足」についても、運用面では同様に機械による自動化に担わせられる部分は多そうだ。プラットフォームの直観的なUI（ユーザー・インターフェース）も助けとなろう。それでも懸念されるナレッジ不足については、「私どものさまざまな知見を提供するワークショップなどを通じて、お客さまごとに適切なプランニングを整理させていただいています」（髙岡氏）

　また、「体制整備」が必要という課題に対しては、「端末機器、ネットワーク、クラウドと多方面への対策が必要とお考えかもしれません。しかし、ゼロトラストは全データ経路を網羅するソリューションとなっており、 従来よりセキュリティの構造を単純化できます」と髙岡氏。「ポリシーを定めるという意味での体制整備については、従来のセキュリティ担当部門などが、その役割を担われるのが適切といえます」と、体制整備のフォローも考慮されている。

　さらに「導入に手間が掛かる」という課題についても、既存のアーキテクチャ上にオーバーレイで展開できるため、懸念するほど手間は掛からないという。「昔は新たな仕組みの導入に半年の覚悟が要るようなこともあったかもしれません。現在はお客さまに概念実証（POC）をしていただくことで、2週間で導入することも可能です。私どものゼロトラストではクラウドを前提としているので、既存環境に影響をあたえず機能を付加してみることができ、効果をご実感できたら既存の機能を消却するといった移行方法が可能です」（髙岡氏）

　少数ながら「何から始めたら」との回答もあった。これも切実な課題だ。髙岡氏は、「ゼロトラストに何を求めるかが重要です。もちろんデータ保護などのセキュリティ向上はあるでしょう。他に、従業員の仕事環境をより拡張したい、複雑化したネットワークを単純化してコスト削減したいといった要件も考えられます。 企業としての中長期的視点に立った目標と戦略ありきです」と話す。新規相談を受ける企業とはブレーンストーミングから始めることも多いという。

企業全体で「対策は十分」を確実なものに

　ゼロトラストへの移行が、データ保護対策の強化はもとより、従業員の多様な働き方への対応や、情報通信の仕組みの単純化にもつながりうる。「企業は今後インフラを、戦略的な全体像に基づいて設計する必要があります。経営層、情報セキュリティ部門、データ保護に関わる各担当部門の方々が横串になり、自社の要件を満たすためどうすべきか議論することが重要です」と髙岡氏は強調する。

　目標・戦略に沿ってゼロトラストによる情報セキュリティ策をとることのできた企業こそが、「対策は十分」と確信できることだろう。

＜PR＞