「実効性のあるゼロトラスト」とは？脆弱性の可視化と守りの自動化がカギとなるワケ

ようこそゲストさん

ビジネス+ITを始める

フォローの多い人気のタグ
人気のタグ一覧へ
注目のイベント・セミナー
イベント・セミナー一覧へ

ITと経営の融合でビジネスの課題を解決する

ビジネス＋ITとは？

ログイン

無料登録

閉じる

トップページ
セキュリティ
セキュリティ総論
「実効性のあるゼロトラスト」とは？脆弱性の可視化と守りの自動化がカギとなるワケ

グローバルセキュリティエキスパート株式会社提供コンテンツ

スペシャル
会員限定
2023/11/27 掲載

「実効性のあるゼロトラスト」とは？脆弱性の可視化と守りの自動化がカギとなるワケ

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

増大するサイバー攻撃とセキュリティの脅威に、企業や組織はこれまでもさまざまな対策を講じてきた。多額の予算投入はもちろん、近年は従来の境界型防御に代わる「ゼロトラスト」の概念を導入し、体制づくりやインシデント対応の訓練など、備えに余念がない。それにもかかわらず、依然サイバー攻撃による被害は後を絶たず、対策の実効性も不透明なのはなぜだろうか。本稿では、真に有効なセキュリティ対策を実現するためのキーファクターをまず明らかにし、なおかつそれを効率的に実現する方法について探っていこう。

自社の脆弱性の「可視化」と守りの「自動化」を実現するには？

（Photo/Shutterstock.com）

実効性のあるサイバーセキュリティの鍵は「攻撃手口の理解」にあり

　今やサイバー攻撃の脅威は、あらゆる企業・組織にとって対岸の火事ではない。NRIセキュアテクノロジーズ：企業における情報セキュリティ実態調査2022によると、2021～2022年にセキュリティ対策の新規投資を増額した企業は、会社規模に関わらず増えており、1万人以上の企業では実に5～6割に達する。

　また対策の内容としては、「セキュリティ対策の体系化」が進んでいる。これは経済産業省がまとめた「サイバーセキュリティ経営ガイドライン」など、具体的な指針が提示されたことが大きいとされる。

　だが、こうしたセキュリティ意識の向上にもかかわらず、現場では被害が増加し続けているのはなぜだろうか。被害に遭った企業からは、「『事故の発生』を常に意識して、対策を講じておくべきだった」という反省の声が聞かれる。セキュリティの対象領域は非常に広範なため、漠然としたイメージで対策を行っていた企業は、いざインシデントが起こったときに、実効性のある対応ができなかったのだ。

　とはいえ、常に全体を俯瞰（ふかん）しながら、あらゆる攻撃の手口に備えるということは、果たして可能なのだろうか。それにはまず、セキュリティ対策とは「本業を守るための備え」であることを、改めて意識する必要がある。自社の業務や価値が明確になれば、それらを守るために何が必要か見えてくるだろう。そこを具体的なセキュリティ要件に落とし込んだ上でシステムとして仕組み化する「構成力」を、自分たちの中に育てていくのだ。

　その実現のヒントは、実はサイバー攻撃そのものにある。攻撃者は、事前に標的企業のセキュリティ体制を徹底的に事前調査・分析し、「対策の穴」を突いてくる。ならば迎え撃つこちらは、その攻撃手法を詳細に分析・理解していけば、必ず実効性を高めるためのキーファクターが見えてくるはずだ。さっそく次章から、サイバーセキュリティにおける被害の事例を掘り下げてみよう。

この記事の続き＞＞