【個人情報対策】JAPHICマーク取得企業が導入すべきゼロトラストについて

未分類

JAPHICマーク取得企業は、個人情報保護体制を堅固にするだけでなく、常にその状態を維持するためにアップデートを重ねなければいけません。
また、近年の社会情勢に合った個人情報保護の考え方に、ゼロトラストというものがあります。
今回は、JAPHICマーク取得企業が導入すべきゼロトラストについて詳しく解説します。

ゼロトラストの概要

ゼロトラストは、その名の通り信頼(Trust)を何に対しても与えない(Zero)ということを前提とした情報セキュリティ対策の考え方です。

例えば、企業における機器の持ち出しが特殊なケースとして扱われていた従来の情報セキュリティ対策では、情報の境界線を越える場合のリスク対策を取るのが基本でした。
具体的には、社外から社内に持ち込むとき、社内から社外に持ち出すときの対策です。

しかし近年はテレワークなども増え、社内と社外という境界線の引き方自体が機能しなくなっています。

ゼロトラストではこのような現状を踏まえ、以下のような観点で安全性のチェックを実施します。

・許可されたユーザーからのアクセスかどうか
・通常と異なるロケーションからのアクセスがないか
・その他不審な振る舞いが発生していないか
・利用中のクラウドサービスにリスクがないか など

ゼロトラストで検証する7要素

JAPHICマーク取得企業がゼロトラストの個人情報保護対策を導入する場合、以下の7つについて検証、認証を実施します。

・デバイス
・ネットワーク
・データ
・アイデンティティ
・ワークロード
・可視化と分析
・自動化

まずはアクセスするデバイスやネットワークが許可されたものかどうかをチェックします。

またアクセスしているデータが許可されたものかどうか、先ほど機器の持ち出しの例でも触れたように、アクセスしているユーザーが許可された人物かどうかを確認します。

さらに実行しようとしているアプリケーションやサービスが許可されているかどうかも、欠かせないチェックポイントです。

ちなみにゼロトラストでは、すべてのアクセスログを収集・分析することで異常なアクセスを検知したり、脅威を検知したときに自動的に対応したりします。

ゼロトラストのメリット・デメリット

JAPHICマーク取得企業におけるゼロトラスト導入のメリットには、時間や場所を問わずに業務が行えることや、セキュリティの設定がシンプルになることなどがあります。

ゼロトラストの個人情報保護体制であれば、社内・社外を問わず厳重な認証を行い、安全性を確認できます。
そのため、社内だけでなく社外からも安心して社内ネットワークにつなげることができ、業務の自由度がアップします。

またVPNやファイアウォールなどの導入や運用には、境界の部分に複雑な設定や情報セキュリティ設定が必須でした。
一方、ゼロトラストはすべてのアクセスに対し厳重な認証を行うため、より設定がシンプルになります。

しかし、環境構築と運用にコストや時間を要するのはデメリットだと言えます。
ゼロトラストの仕組みを構築するには、既存のシステムの見直しや新たなツールの導入が必要です。

さらにゼロトラストでは、すべてのアクセスに対して認証が必要になるため、ユーザーは頻繁にログイン認証を行うことが求められます。
こちらは業務の中断や効率の低下につながる可能性があります。

特に日常的に多くのアプリケーションやデータベースにログインする従業員は、煩わしさを感じるでしょう。

まとめ

テレワークやリモートワークを積極的に導入しているJAPHICマーク取得企業は、特にゼロトラストの仕組みづくりを行うべきだと言えます。
場合によっては、事業の幅をより広げられることにもつながります。
一方、ゼロトラストを導入する場合、ある程度はデバイスやネットワークの利便性を確保しなければいけません。
個人情報保護対策も重要ですが、滞りなく業務を進めることも同じくらい重要です。

JAPHICマークに興味を持って頂いたら

JAPHICマークをもっと知って頂くために、コンサルタントによるJAPHICマーク取得のための無料セミナーを月2回実施しています。
詳しい日程はこちらから

JAPHICマーク取得コンサルティング資料請求などはこちらから

未分類
タイトルとURLをコピーしました