本連載は、「CIOの『人起点』マニフェスト」をテーマに、Ridgelinezの最新の知見をお届けしている。今回のテーマは、「クラウド時代のビジネスを支えるゼロトラストの最適解」だ。SaaSなどクラウドサービスの利用拡大によって、従来のセキュリティモデルは大きな転換点を迎えている。本稿では、クラウド時代の新たなセキュリティの概念モデルである「ゼロトラスト」を実践する上で、どのようなビジネスの視点が必要なのか、ゼロトラストへの投資効果はどのように評価すればいいのか、また、そこで重要となる最高情報セキュリティ責任者(CISO)の役割などについて考えてみたい。
ゼロトラストの導入で直面するセキュリティの運用体制やコストの課題
近年、多くの企業がSaaSの多様な活用や「Amazon Web Services(AWS)」や「Microsoft Azure」といったメガクラウドへのシステム移行を加速させている。また、コロナ禍によってリモートワークが普及し、従業員がオフィス外のさまざまな場所から企業システムにアクセスするようになってきた。このような変化の中、新しいセキュリティ概念モデル「ゼロトラスト」が大きな注目を集めていることは周知の通りだ。
従来のネットワークセキュリティといえば、社内ネットワークと外部のインターネットの境界にファイアウォールを設定する、あるいはVPNを用いて通信を行うといった、組織の内部と外部の間に壁を作る「境界型防御」が中心だった。
しかし、こうした手法はリモートワークによって多くの人々が社内ネットワークの外で仕事をするようになったことで、VPNへのアクセスが急増してボトルネック(通信のひっ迫による遅延など)が発生するなど、もはや通用しにくくなっている。
同時に、クラウドシフトも含めた環境変化は、企業の情報資産のリスクコントロールを複雑化させ、その結果、企業では「社内ネットワークを経由すれば安心」といった考え方をリセットし、「全てのアクセスを信用しない」という前提に立ったゼロトラストが、セキュリティモデルの新たな潮流となっている。
では、このゼロトラストのモデルは、実際にどれくらいの企業が導入しているのだろうか。米国のセキュリティ企業、Fortinetが実施したグローバル調査によると、「ゼロトラストを導入済み」と回答した企業は、2021年の段階では40%だったが、2023年の調査では28%に減少していることが明らかになった。
この意外ともいえる結果の背景には、企業がゼロトラストの導入で直面するさまざまな課題がある。現在の市場では、ゼロトラストを売りにしたさまざまなセキュリティのソリューションやツールが提供されているが、これらは単独で機能するものではなく、実際の運用においては、新たなアーキテクチャーの設計や、既存のセキュリティ基盤との相互連携など、多くの技術課題に直面することになる。
ここでは当然、新たなコストが発生し、専門家による運用体制の再編成といった課題も生じる。こうした運用技術や体制、コストの課題が、ゼロトラストの普及を阻む大きな障壁となっているのだ。
図1:ゼロトラスト実現に向けた課題(出所:Fortinet「フォーティネット、ゼロトラストに関する最新グローバル調査結果を発表」を基にRidgelinezが作成)
