本日は、「ゼロトラスト」についてカスタマーサクセス部門の服部さんにお話をうかがいます。
※「ゼロトラスト」とは「完全に信頼できるものは何ひとつない」という考え方に基づいたセキュリティ対策モデルのこと。
従来は、業務システムを使うユーザーは会社に出勤している社員に限られていました。そして、社内ネットワークに接続された会社の管理端末を使って業務システムにアクセスしていたのです。
つまり、信頼できるユーザーが信頼できるネットワーク/システムを使って業務を行ってきました。これは「社内は安全」「社外は脅威」ということが前提となっていて、社内と社外の境界を防衛する「境界型セキュリティモデル」が採用されてきたんです。 しかし、コロナウイルス感染症の拡大よって多くの企業で強制的にクラウドシフトが起きたことから状況が一変。社内外の区別がなくなり、安全な場所がなくなってしまいました。そこで、新しい概念として「ゼロトラスト」が注目を集めているのだと思います。
| 境界型セキュリティモデル | ゼロトラストセキュリティモデル |
|---|---|
| ・社内ネットワークからの利用が前提 ・情報資産は企業内部に存在 ・境界を守れば安全 ・従業員は信頼できる | ・インターネット経由の利用が前提 ・情報資産の配置場所の多様化 ・高度化した脅威は境界を超える ・従業員でも信頼できない |
ゼロトラストは、セキュリティ業界やメディアなどで取り上げられるケースが増えていますね。お客様はゼロトラストについてどう感じているのでしょうか。-
お客様からもゼロトラストという言葉を聞く機会が増えています。春から夏にかけて「リモートワークをする」ことに目が向いているお客様が多かったのですが、夏以降はリモートワークが定着し、リモートワーク下での「セキュリティ」に着目しているお客様が増えてきた結果だと考えています。
HENNGEではゼロトラストに対して何か提供できるサービスはあるのでしょうか?
ゼロトラストを構成する要素をまとめてみると「利用者の正当性」「デバイスの正当性」「システムの正当性」「ふるまいの正当性」の4つに集約できます。このように整理すると、どこから手をつけていけばいいのかがある程度明確になります。この要素の中でHENNGEがお手伝いできるのは「利用者の正当性」と「デバイスの正当性」の領域です。
クラウドの使用が進むと「利用者」は、社内/社外からさまざまな「デバイス」でシステムを使うようになります。そうなると、業務システムにアクセスしている「利用者の正当性」や「デバイスの正当性」がこれまで以上に重要になってきます。HENNGEでは、クラウドサービス向けのID認証やID管理、シングルサインオン、アクセス制御などを提供するサービスIDaaS(Identity as a Service)を提供しています。このIDaaSが、ゼロトラストを実現するためのカギを握っています。
| 利用者の正当性 | デバイスの正当性 | システムの正当性 | ふるまいの正当性 |
|---|---|---|---|
| ・IDaaS ・IAM | ・IDaaS ・IAM ・EPP ・EDR ・MDM | ・IAM ・CASB | ・IAM ・CASB |
最近ではお客様の裾野が広がっていますね。学校でもオンライン授業がはじまっています。そうなると、ちいさな子どもがシステムを使うために「認証」をしなければいけないこともあり得ますよね。これはかなりハードルが高いと思うのですが…-
そうですね。現在はシステムへの認証で「ID/パスワード」や「ワンタイムパスワード」などを使うケースが多いようです。しかし、これらの情報を入力すること自体が難しいというユーザーも存在します。その場合、認証にID/パスワードやワンタイムパスワードを採用するのは現実的ではありません。ではどうすればいいのでしょうか。
たとえば、指紋認証や顔認証などの生体認証を使ったり、デバイス証明書を使って利用する端末をきちんと制御したりすることで、入力操作なしでも認証することができます。HENNGEで提供しているワンタイムパスワードや二段階認証などで使われるHENNGEのサービスでは、アクセスコントロールのベース機能でデバイス証明書の機能を提供しています。このようなサービスを使うことで、「利用者」や「デバイス」の正当性を担保し、セキュアな環境でシステムを使えるようになります。
ベンダーの中には、包括的なセキュリティ(Suites)を提供する場合もあります。Suitesであれば、ユーザーは何もしなくてもきちんと守ってもらえるイメージがあり、ユーザーメリットもあると思いますが、どう思われますか?
確かに、包括的なシステムを提供しているソフトウェアベンダーの製品・サービスは、ユーザーにとって安心感があります。しかし、不要な機能がありコストが高くなるといったデメリットもあります。ある目的に対して最適な製品・サービスを組み合わせる「Best-of-Breed」を採用すれば、必要な機能だけ選択し、コストを最適化することができます。たとえば、HENNGE Oneで「ユーザーの正当性」と「デバイスの正当性」を担保し、「システムの正当性」や「ふるまいの正当性」については、他の製品・サービスと組み合わせることも可能になります。
なるほど。セキュリティ提案はシステムインテグレーターが行うことが多かったと思います。ゼロトラストについても同様の状況でしょうか?
ゼロトラストについては、お客様自身がかなり勉強されており、情報のキャッチアップもできているように感じています。コロナウイルス感染症により、セミナーや勉強会がオンラインで開催されることが増えており、情報がとりやすくなっているのも一因かもしれません。そういったお客様は、システムインテグレーターに任せず、自社に必要なセキュリティについて常日頃考えているようです。
そういった中でHENNGEがさらに価値を提供し続けるにはどうすればいいでしょうか。
社員の育成も気を配っているんですね。これからHENNGEがどういった価値を提供できていくのか、今からとても楽しみです。本日はありがとうございました。
※HENNGEでは一緒に、変化する・チャレンジする、メンバーを募集しています。募集中の職種に関してはこちらを参照ください。
なぜ今、ゼロトラストが注目されているのでしょうか?