NRIセキュアテクノロジーズは2020年11月9日、情報システムにゼロトラストネットワークの適用を目指す組織を対象に、現状評価から全体設計、製品・サービスの導入までを総合的に支援する「ゼロトラスト・コンサルティングサービス」を提供開始した。テレワークやマルチクラウド環境のセキュリティを強化する。
NRIセキュアテクノロジーズは、ゼロトラストについて、ネットワーク環境における従来の「境界」という概念を捨て去り、「完全に信頼できるものは無い」ことを前提とする考え方であると説明する。「守るべき情報資産へのアクセスごとに、正当なアクセスかどうかを検証することで、情報資産への脅威を取り除く」(同社)
「ゼロトラストを実現するためには、情報システムやネットワーク、セキュリティインフラ、管理・運用プロセスや社内ポリシーなどの変革が求められる。特に、エンドポイント(端末)とWebアクセスのセキュリティを確保する必要がある」(同社)
このためには、「保護すべき情報資産の整理・特定」と、「従業員の職責や所属に応じた適切なアクセス権限の付与とID管理」を、情報活用のライフサイクルに沿って継続的に行うことが重要になるとしている(図1)。
図1:ゼロトラストを適用する際に重要な4つの要素(出典:NRIセキュアテクノロジーズ)拡大画像表示
同社の「ゼロトラスト・コンサルティングサービス」では、現状のリスク評価を行ったうえで、システム化の構想から運用に至るまでの段階を、NRIセキュアの専門家が支援する。コンサルティング経験や製品・サービスの導入で得た知見をベースにゼロトラスト化の全体構想を設計し、企業に適した製品・サービスを提案する。
主な提供メニューは、ゼロトラスト適用前が、「現行システムやポリシーなどのリスク評価」「ゼロトラスト適用に向けた課題の特定と改善提案」「システム化の構想・計画の立案」になる。システム化の構想・計画の立案では、「アーキテクチャーの策定・ソリューション設計」「コンプライアンス規定の整備と内部不正対策の検討支援」「ロードマップの策定支援」を提供する。
適用段階では、「システム化計画の実行とソリューションの導入支援」を行う。具体的には、「PoC(概念実証)実施計画および評価項目の策定、氷塊支援」「ソリューション導入、設定やチューニング支援」を提供する。
適用後には、「ソリューションの運用・監視」「システム環境に関する改善提案」「ゼロトラストに関する情報提供と助言」を提供する。
サービス提供の背景として同社は、テレワークやクラウドサービスの普及にともない、働き方や組織の情報資産が置かれる場所が多様化するとともに、事業のデジタル化も進んでいる状況を挙げる。「一方、境界を守ることに主眼を置いた従来型のセキュリティモデルは、対策として十分ではなくなりつつある。ゼロトラストの考え方や仕組みの適用を検討する企業が増えている」(同社)
