まず最初に「守りたい情報資産が何か、明確に定義する」
――ゼロトラストを導入するにあたり、企業はどんな点に留意し、どこからスタートすれば良いのでしょうか。
手塚 最初に取り組むべきは、守りたい情報資産が何か、その資産は誰がアクセスできるのかを明確に分類・定義することです。ゼロトラストのソリューションを提供しているベンダーは技術的な提案・支援は行えますが、どの情報資産を守るのかはその企業自身で判断する必要があります。それを行ったうえでセキュリティ専門家のアドバイスを受けることは大いに結構なのですが、この部分はしっかりと押さえておく必要があります。
さらに情報資産へのアクセス制御は今までのように運用でカバーするのではなく、きちんとシステム化することが重要です。システム化といっても、従来のようなID/パスワードの組み合わせで認証・認可する仕組みでは、情報の改ざんやなりすましを防ぎきることはできません。ID/パスワードに依存するのではなく、生体認証と公開鍵を用いてデータを送受信する人が本人であることを厳格に認証する方法を取り入れることで、安全性と使い勝手を両立させます。まずは、認証・認可の仕組みを根本的に見直すところから始めると良いでしょう。
てづか・さとる/1984年慶應義塾大学工学部卒。日立製作所システム開発研究所勤務を経て、2009年に東京工科大学コンピュータサイエンス学部教授、2016年に慶應義塾大学大学院政策・メディア研究科特任教授に就任。2019年から慶應義塾大学環境情報学部教授(現職)。大学で研究・教育活動に携わりながら、国際連携組織「InterNational Cyber Security Center of Excellence(INCS-CoE)」の設立に尽力。一方で政府のサイバーセキュリティ政策・制度の策定にかかわる立場にある。令和2年度「情報通信月間」総務大臣表彰を受賞。
――ゼロトラストのセキュリティ対策に取り組んでいくにあたり、企業経営者、IT部門はどのような心構えを持って臨むべきでしょうか。
手塚 セキュリティ対策は企業経営者の視点からは“守り”のための投資に見えるので、投資に見合った利益がどれだけ得られるかを意識しがちです。しかし、ゼロトラストというのは“守り”ではなく“攻め”のセキュリティ対策です。企業にとって最も重要なのは顧客や投資家に「信頼」を得ることですから、経営者には「ゼロトラストを取り入れてシステムやネットワークを信頼できるものにすることは、利益を生む“攻め”の投資なのだ」という発想に転換してほしいと考えています。
IT部門には、“ゾーンディフェンス”ではなく“マンツーマンディフェンス”、性善説ではなく性悪説のセキュリティ対策へと変える取り組みに、早く着手することをお勧めします。今後さらにボーダーレス化が進んでいくと、日本の“ゾーンディフェンス”や性善説に基づくセキュリティ対策では世界に通用しないことが明白です。従来のセキュリティに対する考え方や立ち位置を改め、ゼロトラストのセキュリティ対策に臨んでほしいと思います。
