2020.11月号

PwC タイビジネススタディ

“守るべき範囲を決めない”ゼロトラスト・アーキテクチャの導入

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが gdm-info@gdm-asia.com までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

直近のサイバーインシデントの トレンド

世界のビジネス環境は、デジタル化、IoTの進展、働き方改革、エコシステムの進展などにより、あらゆる場所・人・モノの繋がりが広がり、顧客や社外とのデータアクセス頻度・量共に劇的に増加し、取り巻くセキュリティ環境の前提は大きく変化しています。そしてそれに伴い、ハッカーによる攻撃もよりグローバルかつ複雑化・深刻化しており、セキュリティ対策に多大な工数と予算が見積もられているのが実情です。

例えばある企業では、セキュリティが整っていない海外現地法人のサーバ経由で、国を跨っての攻撃を受けて情報漏洩が発生しました。

また、タイの公衆衛生省はサラブリ病院でのランサムウェア攻撃を受けて、長期的なセキュリティと将来の侵害防止のために、全国の公衆衛生省が運営する病院に保管されているデータを保護できるセキュリティシステムの設置に19億バーツの予算を確保すると述べるなど、かつてない規模の投資が見込まれています。

セキュリティ環境の問題点

企業のセキュリティ環境に関する問題点は、

①決められない守るべき範囲
②不明確な役責分界点
③深刻化する外部サイバー攻撃の脅威
④脅かされるお客様の安全リスク
⑤厳格化する関連法規

の5つに整理されますが、本稿では①の〝決められない守るべき範囲〟に注目します。

先にも述べましたが、リモートワークの一般化や外部連携の増加で際限なく〝繋がり〟が広がり、データの収受やシステム連携が益々加速化し、外部からのサイバー攻撃の脅威を前にありとあらゆるところでデータがやり取りされています。

企業間連携や個人との繋がり密度の高まりを受けて、セキュリティ境界面の定義が困難となり守るべき範囲を定義できず、いくらでも侵入する隙間が生じてしまう際にどのような対策をすべきか考えてみましょう。

「信頼しない」前提に立ったゼロトラスト・アーキテクチャ

複雑かつ広範な対応を求められるサイバー対策において、流れるトラフィックを「信頼しない」前提に立った対策があります。それはゼロトラスト・アーキテクチャ(ZTA)と呼ばれ、その名の通り「信頼しない」こと、つまり「毎回認証・検証すること」を基本的な考え方としています。端末の接続ネットワークが社内LANであろうとインターネットであろうと、手放しで信頼することはありません。

裏を返せば、社内LANに接続されていないユーザーやデバイス(社外の関係者やリモートワーカー)であっても、同様の安全性を担保することが可能になるわけです。これは、接続元ネットワークを問わず、統合的にユーザーやデバイスおよびコンテキストに基づき認証・認可を行うことで実現されます。ゼロトラスト化により、安定・安全かつ柔軟なITインフラを実現可能です。

これだけ聞くと極めてシンプルな思想でありますが、ここまで広範になったシステム環境を全てこのZTAに置き換えるのは一大プロジェクトとなります。そのためにもZTA導入に際して押さえるべきポイントを紹介します。

ZTAへの変革に向けた検討事項

ZTAは概念であるため、特定の機能を持つソリューションや製品を指すものではありません。既存の構成に何かを組み込んで終わりというものではなく、「どうやってZTAを実現するか」という、自社なりの解釈が必要です。

まずは自社におけるITのユースケースや働き方などに関する未来像を描き、その実現手段としてZTAが適切であるか、どこから着手するべきかを吟味する必要があります。その後で、自社の現有資産などを考慮しつつそれを実現するためのソリューション・製品を選定するべきです。

ゼロトラスト化はITシステムを変えるのみならず自社のセキュリティやITの使い方・働き方をも変革し得るものであり、一朝一夕に導入できるものでもありません。しかしながら、ゼロトラスト化は近年のITインフラへの要求の変化に合致するものであり、安全かつ柔軟なITインフラの実現を可能にするものと考えます。

セキュリティ対策の一つの在り方として、社内外のステークホルダーと検討してみてはいかがでしょうか。

寄稿者プロフィール
  • 森 厚之 プロフィール写真
  • PwC Thailand Japanese Business Desk
    コンサルティング部門 マネジャー
    森 厚之

    日系損害保険会社(企業商品開発部門)、総合コンサルティングファーム(保険部門)を経て現職。これまで、保険・自動車業界、官公庁を中心にテレマティクス・MaaS等のデジタル、モビリティ、ファイナンス周辺の経営戦略・M&A、サイバーセキュリティ等のテーマおよび東南アジアにおけるクロスボーダー案件を数多く経験。2020年9月よりPwC Thailandに赴任。

    E-mail : atsuyuki.mori@pwc.com

  • PWC ロゴマーク
  • PricewaterhouseCoopers
    Consulting (Thailand) Ltd.
  • Tel : 0 2344 1000
    15th Floor Bangkok City Tower, 179/74-80 South Sathorn Road, Bangkok 10120, Thailand

\こちらも合わせて読みたい/

無駄の削減に必要な視点

この記事はPDFでダウンロードできます

ダウンロードができない場合は、お手数ですが gdm-info@gdm-asia.com までご連絡ください。

※入力いただいたメールアドレス宛に、次回配信分から定期ニュースレターを自動でお送りしております(解除可能)

gototop