松田 幸裕 記
新型コロナウイルスの感染が再び拡大しており、ニュースやワイドショーのテレビ番組ではこの話題で持ち切りですね。
最近になって「マスクを外す会食のタイミングが最も危険」という話が出てきていて、「食べる時以外はマスクをすべき」などとも言われています。個人的に不思議なのですが、、、なぜ今になってそういうことが騒がれるのでしょうか。ずいぶん前にも保健所の現場の声として「感染者にヒアリングすると、ほとんどがマスクを外したタイミングで感染している」という話は聞こえていました。しかしそのような事実は数値データとしては見えてこず、その事実に基づいた適切な意思決定もされていません。データの基となる感染者や濃厚接触者はたくさんいるのに、データは未だに年齢、性別、感染場所、症状など基本的な項目のみで、闇雲な対策しかできない状況です。
以前の投稿「新型コロナウイルス対策をデータドリブンの側面で考える その1・その2」でも触れましたが、やはりデータを最大限活用し、適切かつ迅速な意思決定を行っていかなければいけないのではないか、と改めて感じます。
前置きが長くなりましたが、本投稿では「ネットワークセキュリティの在り方」について考えてみたいと思います。
「ゼロ・トラスト」というキーワードが世間を賑わせ、「CASB(Cloud Access Security Broker)」、「SWG(Secure Web Gateway)」、「SDP(Software Defined Perimeter)」などを謳うソリューションが市場に出回ってきています。さらにそこから「SASE(Secure Access Service Edge)」というキーワードとともに、セキュリティ市場はまた新たな競争へと向かいそうな雰囲気を醸し出しています。本投稿では、日本においてネットワークセキュリティの在り方がどのように変わってきたのか、今後どのように変わっていくのか、考えてみたいと思います。
「社内は安全、社外は危険」という思想
以前は、企業活動を支えるITは社内で完結しているのが普通でした。
サーバー側においては、社内のデータセンターにサーバーを設置し、WANを介して各拠点のPCへサービス提供する形が長く続いてきました。一時期、「ASP(Application Service Provider)」というキーワードでインターネットからのサービス提供が進むと思われましたが、当初はまだインターネットを構成する物理ネットワークが貧弱だったためか、盛り上がりませんでした。また、「クラウド」というキーワードと共にインターネットから提供するサービスが次々と出てきましたが、漠然とした心配からか、浸透するまでには時間がかかりました。
デバイス側においては、「PCを持ち出すのは危険」という考え方が主流でした。「働き方」という観点でも、労働基準法では労働時間をタイムカード等客観的な記録を基本とするように定められているため、「営業活動で社外に出ている社員も、会社に戻って日報を書いてから帰宅する」という形が自然でした。IT部門でPC持ち出しの議論は時々出るものの、「現在の人事的な規約に合わない」などでとん挫することも多かったと思います。
「社内は安全、社外は危険」の限界
しかし、徐々に考え方は変化してきました。
サーバー側においては、「クラウドは危険」という認識が徐々に薄れてきました。明確な根拠を持って認識が変わってきたわけではなく、漠然と不安感が薄れてきたように思えます。企業のITにクラウドという選択肢が増えたことはよいことですが、最近ではセキュリティリスクを十分に考慮せず、安易にクラウドサービスを導入する例も散見されるため、心配ではあります…。
デバイス側においては、「働き方改革」の変化と共に認識が大きく変わっていきました。2016年の政府による働き方改革担当大臣の設置、働き方改革実現会議のを設置をきっかけに、「働き方改革」がIT屋主導から政府主導に変わっていきました。そこから、企業内においてもIT部門から全社的な取り組みに変わってきたためか、「社外でデバイスを用いて業務を行うことは是」という空気が醸成されていきました。
このような流れで、サーバー側もデバイス側も社内から社外へ出ていくようになりました。しかし、まだ社外にPCを持ち出す人は営業など一部の社員に限定されるという考え方は強かったため、「クラウドサービスへのアクセスは社内ネットワークからのみ許可する」、「持ち出しPCはVPNで社内ネットワークに接続後、クラウドサービスにアクセスする」というように、今までの「社内は安全、社外は危険」という基本思想を崩さずにしのいできました。
そして、コロナ禍に突入。半ば強制的にテレワーク、ワーク・フロム・ホームを全社導入することとなり、「社内は安全、社外は危険」という思想のまましのいできた企業では、「社外に持ち出せるPCが足りない」、「VPN機器が高負荷でパンクする」、「とりあえず社外PCからクラウドサービスへの直接接続を許可したが、セキュリティリスクは増大」などの課題にぶつかりました。
「ゼロ・トラスト」という考え方
海外では、先行して「クラウドサービスを積極的に活用する」、「PCを社外に持ち出す」、「個人のPCを業務で使う」などの考え方が浸透していました。個人的な感覚としては、利便性を優先してPCを外に持ち出したものの、徐々にセキュリティの脅威が増大していき、その課題を解決するという意味で、「ゼロ・トラスト」の考え方と、その考え方に基づく各ソリューションが出現してきたと思っています。
ゼロ・トラストは「社内は安全、社外は危険」という思想への否定であり、社内でも社外でも同等の対策を行う必要があるため、必然的にクラウドサービスとデバイス内のエージェントで機能を成立させることになります。また、ゼロ・トラストの考え方に基づくソリューションの中でも守備範囲は複数あり、それぞれ「CASB(Cloud Access Security Broker)」、「SWG(Secure Web Gateway)」、「SDP(Software Defined Perimeter)」など、ソリューションの領域は分かれています。
現在は、多くの企業においてCASBやSWGなどのソリューション検討や導入が行われていて、「社内は安全、社外は危険」という思想は残しつつも、「社外に持ち出したPCを安全に」という観点で課題解決が進められています。
長くなってしまいましたので、本投稿は一旦ここで切り、続きは次回投稿で考えていきましょう。
<関連する投稿>