「ゼロトラスト」という言葉、聞いたことはあっても「うちのような中小企業に必要なの?」と感じる方は多いはず。先に結論を言うと、”フル導入”は必須ではありません。でも、その”考え方”は、中小企業にも確実に効いてきます。
まずはセルフチェック ── 「社内=安全」と思っていませんか?
- 社内ネットワークにつながっていれば、基本的に信頼している
- 一度ログインすれば、その後はあまり確認していない
- 誰が・どの端末でアクセスしているか、把握しきれていない
▶ これらは「境界型」の発想。クラウド・テレワーク時代には、見直しのサインかもしれません。
ゼロトラストとは?──「何も信頼せず、常に検証する」
ゼロトラスト(Zero Trust)とは、社内・社外を区別せず、アクセスのたびに「本人か」「安全な端末か」「問題ない状況か」を検証する考え方です。一言でいえば「何も信頼せず、常に検証する(Never Trust, Always Verify)」。2010年に提唱され、いまや世界の標準的な考え方になりつつあります。
なぜ今、注目されるのか ──「社内=安全」が崩れた
これまでの主流は「境界型防御」でした。社内ネットワークを安全な領域、社外を危険な領域と分けて、その境界をファイアウォールで守る考え方です。ところが、テレワークやクラウド(SaaS)が広がり、社員が自宅や外出先から直接クラウドにアクセスするようになった今、「社内」という境界そのものが、事実上なくなりつつあります。
境界型には「一度中に入られると、内部を自由に動かれてしまう」弱さもあります。だからこそ、社内だからと無条件に信頼せず、アクセスごとに検証するゼロトラストの発想が注目されているのです。
中小企業にも必要か?──「フル導入」より「考え方」
正直にお伝えすると、フルなゼロトラスト(ID管理の基盤・端末の検証・通信の細分化・継続的な監視)は、中小企業には重く、コストもかかります。今すぐ、すべてをそろえる必要はありません。
大切なのは、その根っこにある”考え方”を、できる範囲で取り入れることです。「社内だからと信用しすぎない」「アクセスは検証する」「権限は必要な分だけ」——この3つを意識するだけでも、守りは確実に強くなります。
なお、ゼロトラストの環境でも、結局はPCなどの末端(エンドポイント)が攻撃の入り口として狙われます。その守りについては、「EDRとは?『アンチウイルスだけでは足りない』を中小企業向けに解説」もあわせてご覧ください。
中小企業が現実的に始められる3ステップ
- まず「見える化」── 誰が・どの端末で・何にアクセスしているかを把握する
- 多要素認証(MFA)── ID・パスワードだけに頼らない
- 最小権限── 必要な人に、必要な分だけ権限を与える
順番が大切です。出発点はいつも「見える化」。誰が・何を使っているかが見えていなければ、検証も、権限の絞り込みもできません。見えないものは、守れないのです。
ゼロトラストも、最初の一歩は同じです。自社のIT環境を「見える化」して、誰が・何に・どうつながっているかを把握すること。
SOLAMILUは、その一歩を支える仕組みです。
参考リンク(公式情報)
※リンク先は外部の公式サイトです(別タブで開きます)。内容は更新されることがあるため、最新情報は各公式ページでご確認ください。
あわせて読みたい | EDR・MDMEDRとは?「アンチウイルスだけでは足りない」を中小企業向けに解説 ›「ゼロトラスト」という言葉、聞いたことはあっても「うちのような中小企業に必要なの?」と感じる方は多いはず。先に結論を言うと、”フル導入”は必須ではありません。でも、その”考え方”は、中小企業にも確実に効いてきます。
まずはセルフチェック ── 「社内=安全」と思っていませんか?
- 社内ネットワークにつながっていれば、基本的に信頼している
- 一度ログインすれば、その後はあまり確認していない
- 誰が・どの端末でアクセスしているか、把握しきれていない
▶ これらは「境界型」の発想。クラウド・テレワーク時代には、見直しのサインかもしれません。
ゼロトラストとは?──「何も信頼せず、常に検証する」
ゼロトラスト(Zero Trust)とは、社内・社外を区別せず、アクセスのたびに「本人か」「安全な端末か」「問題ない状況か」を検証する考え方です。一言でいえば「何も信頼せず、常に検証する(Never Trust, Always Verify)」。2010年に提唱され、いまや世界の標準的な考え方になりつつあります。
なぜ今、注目されるのか ──「社内=安全」が崩れた
これまでの主流は「境界型防御」でした。社内ネットワークを安全な領域、社外を危険な領域と分けて、その境界をファイアウォールで守る考え方です。ところが、テレワークやクラウド(SaaS)が広がり、社員が自宅や外出先から直接クラウドにアクセスするようになった今、「社内」という境界そのものが、事実上なくなりつつあります。
境界型には「一度中に入られると、内部を自由に動かれてしまう」弱さもあります。だからこそ、社内だからと無条件に信頼せず、アクセスごとに検証するゼロトラストの発想が注目されているのです。
中小企業にも必要か?──「フル導入」より「考え方」
正直にお伝えすると、フルなゼロトラスト(ID管理の基盤・端末の検証・通信の細分化・継続的な監視)は、中小企業には重く、コストもかかります。今すぐ、すべてをそろえる必要はありません。
大切なのは、その根っこにある”考え方”を、できる範囲で取り入れることです。「社内だからと信用しすぎない」「アクセスは検証する」「権限は必要な分だけ」——この3つを意識するだけでも、守りは確実に強くなります。
なお、ゼロトラストの環境でも、結局はPCなどの末端(エンドポイント)が攻撃の入り口として狙われます。その守りについては、「EDRとは?『アンチウイルスだけでは足りない』を中小企業向けに解説」もあわせてご覧ください。
中小企業が現実的に始められる3ステップ
- まず「見える化」── 誰が・どの端末で・何にアクセスしているかを把握する
- 多要素認証(MFA)── ID・パスワードだけに頼らない
- 最小権限── 必要な人に、必要な分だけ権限を与える
順番が大切です。出発点はいつも「見える化」。誰が・何を使っているかが見えていなければ、検証も、権限の絞り込みもできません。見えないものは、守れないのです。
ゼロトラストも、最初の一歩は同じです。自社のIT環境を「見える化」して、誰が・何に・どうつながっているかを把握すること。
SOLAMILUは、その一歩を支える仕組みです。
参考リンク(公式情報)
※リンク先は外部の公式サイトです(別タブで開きます)。内容は更新されることがあるため、最新情報は各公式ページでご確認ください。
あわせて読みたい | EDR・MDMEDRとは?「アンチウイルスだけでは足りない」を中小企業向けに解説 ›
