NECが官公庁向けにゼロトラストアーキテクチャの検討を進めている。従来、官公庁では「三層の対策」と呼ばれるネットワーク分離によるセキュリティ対策が主流だったが、テレワークの普及とクラウドサービスの利用拡大により、境界防御型のアプローチでは限界が見え始めている。この動きは官公庁だけでなく、民間企業のセキュリティ戦略にも大きな示唆を与える転換点となる。
分析・見解
三層の対策は2015年の日本年金機構の情報漏洩事件を契機に総務省が推進した仕組みで、マイナンバー利用事務系、LGWAN接続系、インターネット接続系の3つにネットワークを物理的に分離することで情報を保護してきた。しかし、この10年間で業務環境は激変した。クラウドサービスは必須インフラとなり、コロナ禍を経てテレワークは常態化し、職員が庁舎外から安全にシステムにアクセスする必要性が高まっている。
ネットワーク分離では、利便性とセキュリティのトレードオフが避けられない。ファイルを層間で移動させる際の煩雑な手続きは業務効率を著しく低下させ、結果として職員が非公式な回避策を取るセキュリティリスクも生じている。
ゼロトラストへの移行は、「信頼するな、常に検証せよ」という原則のもと、ユーザーやデバイスの継続的な認証と最小権限アクセスを実現する。NECのような大手ベンダーが官公庁向けソリューションに注力することで、実装パターンが確立され、導入障壁が下がる効果が期待できる。
ただし、移行には慎重な計画が必要だ。既存システムとの共存期間をどう設計するか、職員の認証負荷をどこまで許容するか、レガシーシステムへのアクセスをどう保護するかなど、技術的課題は多岐にわたる。特に官公庁では、一度に全システムを刷新することは現実的でないため、段階的移行の戦略が成否を分ける。
ビジネスへの影響
官公庁のゼロトラスト移行は、民間企業にとって重要な先行指標となる。第一に、官公庁向けに確立されたセキュリティ基準は、しばしば民間の業界標準に影響を与える。金融機関や医療機関など、高度なセキュリティが求められる業界では、官公庁の動向を参考にガイドライン整備が進むだろう。
第二に、ベンダー各社が官公庁向けに開発したゼロトラスト製品は、やがて中小企業でも導入しやすい価格帯とパッケージで提供される可能性が高い。実際、クラウドサービスの多くは官公庁要件を満たすために強化されたセキュリティ機能を後に民間向けに展開してきた。
実務担当者は、この機会に自社のネットワークアーキテクチャを見直すべきだ。境界防御に依存している場合、テレワークやクラウド活用の拡大に伴いリスクは拡大する。ゼロトラストは一朝一夕には実現できないが、アイデンティティ管理の強化やデバイス認証の導入など、段階的に取り組める要素から着手することで、将来的な移行をスムーズに進められる。