【情シスの中の人】ゼロトラストネットワークについてver.002
print ('zero trust_002')
前回で人間不信(アカウント不信)になったアメリカの企業の何とかさん( Forrester Research, Inc の John Kindervag 氏)が提唱したゼロトラストアーキテクチャという概念の続きです。ご覧になっていない方は上記からちらっと見てから読んでもらえると幸いです。
アカウントが信じられなくなると何を信じるのかという話になるのですが、結論から言えば本当に「何も信じない!」になります。(性悪説が前提のモデルとも言います。)
だから【ゼロ=0】 +【トラスト=信用】になります。信用0。ね?中二病っぽいでしょ。
何も信じないのに「どうやって企業の情報を守るんだ!」って役員会議にそのまま持っていったら憤慨されるかもしれませんが、まぁ落ち着けと。
これはゼロトラストの概念をどう捉えたかなんですが、私個人的には超超超監視ネットワーク概念と理解しています。
色々な捉え方はあると思うので、別の捉え方をしている方も多くいるし、何が正しいというものでないので、セキュリティに特化した詳しい方々からの賛否はあると思うんですが、そこは広い心で受け止めてもらうってことで。何故ならIT業界の味噌汁だから。
じゃあ何で超超超監視ネットワークなんだというとこなんですが、これも結論から言うと、PC(スマホ等のデバイス含む)でやったこと全部監視され分析されます。具体的に言うとPCにログインした場所や日時、閲覧したWebサイト、ファイル、フォルダからメールに至るまで、日々の行動分析も含めた全てを監視され、普段と違うことしたら警告され、最悪追い出されることになります。
何故なら何も信じないから。アカウントではなく、そのアカウントの行動による信用によって制御されます。現実社会でやったら様々な人権団体から猛反発され、政界が大混乱になるレベルです。というか多分後ろめたいことをやっている人たちは非常に困る。だっていつ、どこで、だれと、どんな話をした、何をした、ってのが全部わかるようになるから。
でもって、誤解のないように記載すると、上記の閲覧したWebサイト、ファイル、フォルダ、メールも含め、基本的に企業においては昔から今に至るまで全社員分わかるようになってますからね?マジで。勤務時間中にゲームしたり、Youtube見てたらわかりますからね?社外の自分のメールに社内の情報をこっそり送付してもわかりますから。何かやらかしたら、そういう情報をとことん調査されて、突きつけられるので気を付けて下さいね。
じゃあ何で今更ゼロトラストなんて中二病っぽい名称までつけて概念ができたかというと、社内の雰囲気から言うと働き方が変わってきたというのが大きいでしょうかね。
今までは会社に出社して、物理セキュリティで守られた(社員証をかざす、暗証番号入力する等)オフィスに入退室して、会社の中でしか仕事をしてこなかった。データも個人に貸与されているパソコンや社内ネットワークの共有フォルダにあり、インターネットも制限されていて、イントラのページも社内からしか見えないようになっていたのが、リモートワークで会社の中ではなく、社外からでも見れる、使える、働けるようにしなければならなくなった。
Microsoft365(Excelやword、teams等様々なサービスが使えるサービス)だ、GCP(GoogleCloudPlatform→Microsoft365のgoogle版)だ、Slack(チャットしたりするコミュニケーションツール)、backlog(タスク管理するやつ)で、社内社外問わずコミュニケーションができる、データのやり取りができるサービスが生まれ、個人でも自由に使えるようになってきて、個人と会社間のデータのやり取りも簡単にできるようなってしまった。
※江戸を例にすると(早くもそろそろやめたい)ドローンや飛行機、ミサイルが開発されて、個人が自由に買えるようになり、関所みたいに境界をつくっても江戸は守れなくなった感じですかね。
それがコロナの影響で急激に加速しましたが、もともと既にそういう多様な働き方が求められてきていたけど、セキュリティ的に難しいから禁止してた。(大体の企業はそうサービスを社内で一部例外を作り禁止にしてるのではないかと)
なので、いきなりデータを外から見えるようにしたり、コミュニケーションできたりするようになると、情報漏洩につながり、会社の信用問題にも関わる。だけどコロナ過において従業員を出社させないと業務ができない状態だと従業員を守れない、生産性が悪く、従業員満足低下にもつながり、離職リスクが高まる。じゃあそういうサービスを開放するか…でも情報漏洩が…と堂々巡りするわけです。
情シス部門として非常に難しい課題で、経営からも言われている経営課題でもあります。八方ふさがりといっても過言ではない状態を、このゼロトラストが救ってくれると大いに期待されているため、IT業界で盛り上がりを見せています。
今年の様々な企業(Microsoft,AWS,VMwere,NTT,NEC,Softbank等)が主催しているイベントでも、100%ゼロトラストの講演があります。それくらいゼロトラストは市場としても期待されています。(MicrosoftのDigital Trust Summit2020は面白かった。)
で、ここからはゼロトラストを売ろうとしている営業の方々に伝えたいのですが、正直ゼロトラストについては情シスの方々は勉強してるはずで、理想的な考え、世界であるのは理解しているんです。
なので、その世界にどうやって行くのか、どういう段階を踏んでいくといいのかという提案を頂くととてもうれしいです。その段階をどう踏むかを社内であーでもない、こーでもないと議論をしているので。
というわけで、ゼロトラストが必要とされる状況を情シスの中の視点で書いてきましたが、いよいよ次回からゼロトラストの中身に触れていきたいと思います。(わかりやすく書けるかな……)
この記事が気に入ったらサポートをしてみませんか?