1. HOME
  2. KAYO NEWS
  3. 不定期配信 マウスちゃんとメモリ主任のIT1年生53

KAYO NEWS

華陽ニュース

不定期配信 マウスちゃんとメモリ主任のIT1年生53

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

 ある日の昼下がり、仕入のエリアに出掛けていたイーさんが営業部に帰ってきました。珍しくちょっと暗い顔をしているのに気づいて、マウスちゃんが声を掛けます。
 「どうしたんですか、イーさん。何かありました?」
 「何かって言うほどじゃないんだけど・・・僕の言い方が悪かったみたいで。」
 ある資料の作成を仕入に頼んでいたイーさん、受け取って何気なく、「じゃあ確認しますね」と言ったところ、相手を不機嫌にさせてしまったそう。
 「別に何か疑ったってわけじゃないんだけど、『私の資料が信用できないってことですか』って言われちゃって。担当さんだけじゃなくて、仕入みんなの目が冷たかったから、僕の言い方が悪かった・・・んだと思うんだけど、何が悪かったのか、全然わからなくて。」
 とにかく謝って逃げてきた、というイーさんをマウスちゃんが慰めます。
 「言い方がどうだったかは分かりませんけど、資料をもらって確認するのは当たり前だと思いますよ。ただ仕入のみなさんのご機嫌が悪かっただけかも。」
 「そうなのかな・・・」
 「そうですって。気にしない、気にしない。」
 言った後で、あれ、とマウスちゃん、思い当たります。
 「同じような話を、前にメモリ主任に教えてもらったような・・・」
 

 「『ゼロトラスト』のことでしょうか?」
 気分転換を兼ねて、イーさんを引っ張って総務に出掛けたマウスちゃん。突然の質問にも嫌な顔ひとつせず、メモリ主任が答えてくれます。
 「『ゼロトラスト』・・・『ゼロ』が『0』で、『トラスト』が『信用』だから、『何も信用しない』ってことですか?」
 「厳密には違うのですが、考え方としてはそうですね。企業が持つ情報資産にアクセスするものは、それが社内からであっても、社外からであっても、必ず確認しましょう、という考え方です。『ゼロトラスト』という言葉が生まれる以前から『ゼロトラスト』という考え方はあって、提唱したり導入したりする人や官庁、企業が2000年代初め頃から少しずつ広がっていったのですが、日本で導入が検討され始めたのはごく最近で、IPAが導入指南書を発表したのも2021年になりますね。」
 「最近ですね。2021年というと・・・コロナの頃ですか?」
 「その通りです。コロナ禍でリモートワークやクラウドの利用が増え、情報資産へのアクセスの経路が増えたことで、以前より注目を集めるようになったということですね。」

 「以前の情報セキュリティは『境界型防御』と言われる考え方で成り立っていました。社内と社外の間に境界があって、『社内での通信は安全』『社外との通信は危険』と考え、その境界の部分の防御を固める方式です。」
 「そう言えば先日、総務でUTMの入れ替え作業をされていましたよね。あれは・・・」
 「境界型防御の代表例は、ファイアウォールやVPNなどなので、確かにUTMは境界型防御の一端を担っていると言えるかもしれませんね。『仕事は社内のパソコンを使うだけ。ファイルサーバも社内にあって、外部には情報資産を保存していない。外部から社内の情報資産にアクセスするときは必ずVPN経由で行う』という仕事の仕方なら、境界型防御の考え方でも大丈夫かもしれません。ですが」
 「先ほど仰っていたことですね。今は

・リモートワークや在宅勤務で、自宅や公共施設の通信環境を利用して情報資産にアクセス
・クラウドサービスの利用の拡大で、社外からVPNを通さずに直接クラウド上のファイルにアクセスする機会が増加

っていう企業が増えてきたから。」
 「そうですね。自宅や公共施設の情報機器や通信環境は、社内でコントロールされているものに比べるとセキュリティが不透明で、アップデートについても会社ではコントロールできません。クラウドサービスへのアクセスについても、いくらVPNでセキュリティを強化しても、直接アクセスされてしまうと何の役にも立ちません。あと、シャドーITの問題もあります。」
 「個人のスマホを仕事に使ったり?」
 「機器の問題もありますし、情報サービスの問題もありますね。個人で設定しているWebメールをお客様や社内とのやり取りに使ったり、会社のデータを個人で契約しているオンラインストレージに保存したり。わが社でもシャドーITは禁止されていますが、それはシャドーITが会社のコントロールから外れていて、セキュリティ上のリスクが高いからです。境界型防御だけでは、マルウェア感染や情報漏洩のリスクを排除することが困難になってしまうのです。」

 「そこで登場するのが『ゼロトラスト』という考え方なんですね。」
 「そうです。先ほど、マウスさんは『何も信用しない』と仰いましたが、ゼロトラストの基本的な考え方は、とにかく確認をしましょう、ということなのです。情報機器が社内ネットワークのものでも、ユーザーが社内の人でも、通信が内部からでも、それなら安全、と考えるのではなく、確認したうえで改めてアクセスする許可を与えたり、許可しなかったりします。また、許可を与える場合も、タスクを実行するのに必要な最小限の権限を認証することで、よりリスクを減らすことが出来るのです。」
 「全部を同じようにチェックする、ということですか?」
 「それは、はい、でもあり、いいえ、でもありますね。ゼロトラストの考え方では、全ての情報資産、通信、アクセスなどを監視します。その意味では、はい、なのですが、それらを監視したうえで、その挙動や資産の状態などによって、信用度を評価する仕組みも導入し、より信用度が低い通信には認証を与えない、という区別をするので、その点では、いいえ、とも言えますね。」
 「同じ動作をしていても、この人信用できないな、と思われたら、より厳重にチェックされる、って感じですね。じゃあ、ゼロトラストのサービスを導入しちゃえば、セキュリティリスクは完全になくなるってことですか?」
 「まず前提として、ゼロトラストのサービスを導入するには導入コストがかかります。適切な設定も必要ですから、人的コストも考える必要がありますね。それに、基本的にすべての通信やデバイスなどを確認することで、作業効率が下がる可能性も考えられます。そういった課題をクリアしたとしても、各自の機器のOSやウイルス定義などを常に最新にしておいたり、情報機器を使用する上でのルールを守るといった基本的なことは変わりませんから、ゼロトラストの実現だけでセキュリティリスクがゼロになるということはありませんよ。」

 「情報システムでも他のことでも、確認はとても大切です。それは『信用しない』ということとイコールではありません。そういう意味でイーさんには何の問題もなかったと私は思いますよ。」
 メモリ主任の言葉に、思わずイーさんは涙ぐみます。
 「それに、今回の場合はタイミングが悪かったというか、多分に八つ当たりだったのだろうなと思いますし。」
 続けられたメモリ主任の言葉に、マウスちゃんは首をかしげます。
 「?仕入さんで、イーさんに八つ当たりしたくなるような何かがあったってことですか?」
 「どの部署であれ、仕事をしていればいろいろあるということです。今回のことについては、イーさんもマウスさんもあまり気にせず、今まで通りに接してあげて下さいね。」
 静かに微笑むメモリ主任に、あ、ここに、わが社の全部を監視して評価しているゼロトラストがいる、と思う2人なのでした。