サイバー対策、ゼロトラストに転換を
MS&ADインターリスク総研サイバーリスク室長・土井剛さんに聞く
--サイバーセキュリティーでゼロトラスト(信用しない)という新しい考え方が話題だ
「以前の対策は境界防御と言われインターネットとつながるところを守っていた。城の守りのイメージで、チェックを受けて、中では自由に動いていいというセキュリティーになっていた。ただ、テレワークなど外から社内のネットワークに入る機会が増え、企業秘密など社員でも見てはいけない情報もある。こうした中で対策の限界が指摘され始めている」
--ゼロトラストはどう違うのか
「ゼロトラストには安全なエリアという概念は基本的になくなる。そのため、何か行動する度にシステムの裏側で利用者の本人確認を行い、その情報に触れていい人かどうかを確認することになる。城に対して国際空港のセキュリティーのイメージに近い。空港ではチェックイン後も保安・出国審査、免税店、搭乗ゲートなどさまざまな場所でパスポートや搭乗券の提示が求められる」
--何度もチェックを受けないといけないのは大変だ
「それを本人にあまり感じさせないでできるようにしている。基本的には一回ログインしたらこれまでのように使えるが、その裏で端末に電子的な証明書を入れて、利用者がちゃんと会社から支給された端末を使いログインしているということを確認するような仕組みになる」
--テレワークで多くの企業がサイバー攻撃の被害に遭っている
「境界防御しかしていなかったことが大きい。テレワークをするというのは、外から境界の中に入らないと仕事ができないということなので、境界線に穴を開ける必要がある。その穴の開け方が、緊急事態宣言のときに急遽(きゅうきょ)開けたので不備があった。今からでも改善すればいいのだが、危ないまま放置している企業も多いと思う」
【プロフィル】土井剛
どい・たけし 慶大商卒。1996年住友海上火災保険(三井住友海上火災保険)入社。ブラジル現地法人勤務や内閣官房IT総合戦略室出向などを経て、2019年4月から現職。大阪府出身。