重要インフラや機密データを標的とした大規模な侵害が相次ぐ中、ゼロトラストの必要性が高まっている。境界型防御では防ぎ切れない攻撃に対して、なぜゼロトラストが有効なのか。導入のポイントと併せて解説する。
サイバーセキュリティは長い間、強固な城壁と監視塔、外界との境界を隔てる堀を備えた「要塞」(ようさい)を構築することに例えられてきた。この境界防御型のアプローチは何十年にわたって有効だった。だが、今日の高度に接続し合ったデジタル環境では、ITリソースもユーザーも要塞の境界を超えて存在しており、攻撃者にとって格好の標的が増加している。最近のサイバー攻撃は、従来のセキュリティ手法の限界を露呈させ、脅威が絶えず変化する状況において組織がいかに脆弱(ぜいじゃく)であるかを如実に示している。
ゼロトラストセキュリティ(以下、ゼロトラスト)はこの要塞の考え方を根本から覆す。その基本原則はシンプルながらも革新的だ。「攻撃者の存在を前提とし、常にアイデンティティー(ID)を検証し、リソースへのアクセスを厳格に制限する」。サイバー脅威が日々進化し、データがクラウド、アプリケーション、デバイス間で拡散する現代において、ゼロトラストはセキュリティおよびリスク管理(SRM)リーダーにとって戦略的必須事項となっている。まずその導入の現実を知っておこう。
ゼロトラストに必要なことは、組織のあらゆる側面にレジリエンス(障害発生時の回復力)を組み込むことだ。これを達成するために、SRMリーダーは新たな課題に対処するための戦略を再構築し、重点的に取り組むべき領域を明確にする必要がある。
ゼロトラストにおいてIDは基盤となる要素だ。2025年において、SRMリーダーは、多要素認証(MFA)、継続的モニタリング、リスクベース認証など、ID検証メカニズムをさらに強化する必要がある。これにより、人間とマシンの両方のIDが、アクセスのあらゆる段階で厳密に検証されるようになる。組織はまた、より広範な範囲で「最小特権の原則」を実装するためのポリシーを改善する必要がある。これには、ユーザーの振る舞いやデバイスの信頼性、位置情報に基づいてリアルタイムで調整されるコンテキスト(背景情報)認識型の動的アクセス制御が含まれる。
重要インフラや機密データを標的とした大規模な侵害が注目を集める中、ゼロトラストの必要性は決定的な転換点を迎えている。これらの攻撃は、境界型防御への過度の依存やネットワークセグメンテーションの不備など、組織のシステム的な脆弱性を露呈させた。加えて、クラウド環境におけるセキュリティ体制のわずかな隙を悪用する攻撃の高度化も浮き彫りになった。
ゼロトラストへの認識が高まる一方で、その成功を収めている組織はまだ少ない。調査会社Gartnerの2024年の調査によると、63%の組織がゼロトラストを試行または部分的に導入している一方で、35%の組織では導入が失敗し、業務に悪影響を及ぼしていると報告されている。これらの調査結果は、ゼロトラストの導入を成功させるためには、戦略的な整合性、明確なコミュニケーション、反復的な実行が不可欠であることを示している。
最近のサイバー攻撃の事件から得られる教訓は明確だ。静的防御では適応力のある攻撃者に対しては無力であり、セキュリティ戦略を進化させなければ、組織は経済的損失だけでなく、評判の低下や規制当局からの監視といったリスクにも直面することになる。ゼロトラストは、攻撃が「起こるかどうか」から「いつ起こるか」に焦点を移すことで、侵害を確実に食い止め、影響を最小限に抑える可能性を提供する。
ゼロトラストは、もはや単なる理想論や流行語を超えて、必要不可欠なものとなった。テレワークの普及、クラウドサービス導入の加速、接続デバイスの急増により、攻撃対象領域(アタックサーフェス)は劇的に拡大している。攻撃者はAI(人工知能)技術や自動化技術を駆使し、より洗練された攻撃手法を開発している。
この新たな現実において、暗黙の信頼はリスクであり、検証によって対応しなければならない。組織は、進化する脅威に対抗するための基盤戦略としてゼロトラストを採用する必要がある。攻撃者が進化を続ける限り、防御側も進化し続けなければならない。ゼロトラストのコンテキスト認識型の動的アクセス制御は、攻撃者の戦術を上回る可能性のある優位性を持っている。
ゼロトラストは、従業員がどこからでもリソースにアクセスするテレワーク環境を保護する上でも不可欠だ。この場合、セキュリティはネットワークではなくユーザーに追従する必要がある。
仮に攻撃が成功した場合でも、ゼロトラストは攻撃の影響領域を削減することでレジリエンスを向上させ、重要なシステムとデータの安全を確保しながら、復旧努力に必要な時間を短縮できる。
2025年にゼロトラスト戦略を確実に実現したいSRMリーダーにとって、その道筋は明確だ。最優先で取り組むべきは、最も重要度の高いシステムとデータのセキュリティ確保だ。この集中的なアプローチにより、最大の効果を得ながら、より広範な導入に向けた機運を高めることができる。
次に重要なのは、ゼロトラストの原則と利点について関係者を教育し、セキュリティ文化を醸成することだ。IT部門、事業部門、そして経営陣が一丸となって協力する体制を構築することが不可欠だ。
最後に、継続的な改善への投資も重要だ。ゼロトラストは一度限りの取り組みではなく、組織の変化に合わせて進化し続ける動的な戦略だからだ。定期的な評価、段階的な改善、技術の進歩を積極的に取り入れることが、ゼロトラスト戦略を成功に導くための鍵となる。
2025年が進むにつれ、サイバー攻撃のリスクはかつてないほど高まっている。SRMリーダーは断固として行動し、過去の攻撃から得た教訓を変革の原動力としなければならない。ゼロトラストを最優先課題とし、組織の目標と整合させることで、現在の脅威に対抗できるだけでなく、明日の課題を予測する防御を構築できる。ゼロトラストの未来は今始まり、それはリーダーシップから始まる。
翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
