DX推進にあたって、ランサムウエア被害やデータの漏えいといったセキュリティリスクが最も大きな壁となっています。そこでポイントとなるのが、現代型のサイバーセキュリティモデルとして知られる「ゼロトラスト」。名前を聞いたことがあるという方は少なくないでしょう。しかし、その基本思想や具体的な実践方法についてはいかがでしょうか。
ゼロトラストの基本について、本記事で押さえておきましょう。

「ゼロトラスト」は“全ての通信を信用しない” 「境界型防御」と対比して理解しよう

ゼロトラストとは、“全ての通信を信用しない”前提で行うITセキュリティのフレームワークです。2010年、米国のリサーチ会社Forrester Research社のジョン・キンダーバーグ氏によって生み出されたこの手法は、従来支配的だった「境界型防御（ペリメータセキュリティ）」と対比させることで理解しやすくなります。

境界型防御は、社内／社外に分かれたネットワークの境界にウイルスの侵入を阻止するシステム（ファイアーウォールなど）や、ウイルス侵入時に切り離せる緩衝地帯（DMZ：DeMilitarized Zone）を設けることで、サイバー攻撃の被害を防ぐ方法です。

しかし、以下のような問題、あるいは環境の変化により境界型攻撃に変わる新たなセキュリティのフレームワークが必要とされるようになりました。

• 内部での被害の広がりに十分に対応できない
• クラウドやリモートワークが普及した
• 企業・政府・個人などでのデータの利用が広がった
• サイバー攻撃が巧妙化・増加した

そこで社内／社外の境界に注力するのではなく、すべての通信・エンドポイントを“信用せず”動的かつ継続的に監視し続けるゼロトラスト・セキュリティがスタンダードになりつつあるのです。

ゼロトラスト・セキュリティの具体的手法

それでは、ゼロトラスト・セキュリティの具体的な方法論に話を進めましょう。

前提となるのが、すべてのデバイス、ITサービス、アプリケーション、サーバーがゼロトラストの対象となるということです。また、本社、工場、リモートワーク先の自宅など通信が行われる環境にも区別は設けられません。Web上のコンテンツを取得するネットワークと社内ネットワークを切り離す「Web分離（RBI）」がゼロトラストの一環として推奨されるのも、すべてのネットワーク・環境を対象に行えるシンプルな対策の一つだからです。また、端末ごとに監視を行いエンドポイントで感染を抑止するEDR（Endpoint Detection and Response）にも注目が集まっています。

さらにゼロトラストでの監視を厳密なものにするための鉄則といえるのが、「セッション単位かつ、動的・継続的なアクセス管理」です。アクセスごとにそのIDやパスワードといったアカウント情報のみならず、行動履歴や通信環境など変化する情報も含めて常時監視に利用します。「ZTNA（Zero Trust Network Access）」や「IAM（Identity and Access Management）」がそのためのソリューションとして挙げられるでしょう。前者はまさにゼロトラストの考えに基づき、セッションごとの動的ポリシーをもとにした認証を、後者はユーザーごとのIDデータベースと紐づけたアクセス権限の管理を可能にします。

リモートワークの普及により、全てのデバイス・ネットワークのセキュリティを監視することの重要性は高まりました。そのため、タブレット、スマートフォンといったモバイルデバイスの管理に特化した「MDM（Mobile Device Management）」やアプリケーションを個別に管理できる「MAM（Mobile Application Management）」も普及し始めています。

ユーザー管理のセキュリティ強化とツールの利便性を両立させる方法として、多要素認証とSSO（single sign on）の組み合わせも効果的です。

製造業のセキュリティリスクが高まる中、OTにもゼロトラストが有効

DXの進展とともに製造業でのセキュリティリスクは高まっており、IBM X-Forceがまとめた「X-Force 脅威インテリジェンス・インデックス2022｜出典：日本アイ・ビー・エム株式会社」において、2021年、製造業は最もサイバー攻撃の対象とされた業界に位置づけられています（製造業界のセキュリティリスクについて詳しくはコチラ）。

企業ごとの繋がりが広がり、サプライチェーン網やリモートワークの活用が広がる中で、BYOD（Bring Your Own Device：個人が私物として所有しているパソコンやスマートフォンを業務に使う利用形態）などセキュリティ対象としなければならない範囲は広がってきています。製造業にとってゼロトラスト・セキュリティの導入は喫緊の課題の一つといえるでしょう。
ITだけでなくOTネットワークのセキュリティにもゼロトラストは有効だとされており、そこでポイントとなるのが、工場内ネットワークのセグメンテーションです。マルウエアは必ず工場内ネットワークに侵入する、あるいはすでに侵入しているという視点で、個々のネットワークを監視するシステムを構築し、万が一被害が生じても最低限にとどめられる対策を講じましょう。

ゼロトラストへの移行はまずは「現状把握」から

クラウド、リモートワーク、IoTの時代においてもはや避けては通れないゼロトラスト・セキュリティについて解説してまいりました。従来のセキュリティシステムを置き換えるには相応の手間と努力が必要であり、反発なども予想されることから不安を覚える方もいらっしゃるでしょう。しかし、ゼロトラストへの移行は一気に進めなければならないというわけではありません。社内の現状を把握し、必要な部分からソリューションやルールを導入していくことが、大きな変化に繋がります。
ゼロトラストの概念を社内にインストールするために、ぜひ本記事もご活用ください。