「うちは中小だから大丈夫」が会社を潰す。カネも人もいない企業のための“ゼロトラスト”生存戦略

【この記事はこんな方に向けて書いています】

「ゼロトラスト」という言葉は聞くが、難しくて自分たちには関係ないと思っている中小企業の経営者・IT担当者の方
セキュリティ対策の重要性は分かるが、何から手をつけていいか分からない方
今も社内のセキュリティをVPNとパスワードだけで守っている、と聞いてドキッとした方
サイバー攻撃で全てを失う前に、現実的で低コストな対策を知りたい全ての方

「ゼロトラスト」。最近よく耳にするこの言葉、なんだか難しそうで、大企業がやるような高尚なセキュリティ対策だと思っていませんか？「うちは中小企業だから、狙われるはずがない」「そんな高価なシステムを導入するカネも人もない」

…もし、あなたが本気でそう思っているなら、その考え方は、あまりにも危険すぎます。東京商工リサーチの調査によれば、サイバー攻撃が原因で倒産や休廃業に追い込まれる企業は年々増加しており、その多くが、あなたのようなセキュリティ意識の甘い中小企業です。

ハッカーから見れば、今の時代、防御の固い大企業より、あなたのような“無防備な会社”の方が、よっぽど美味しくて効率的なターゲットなんです。今日は、大企業向けの理想論ではない、カネも人もいない中小企業が、生き残るために今すぐ始めるべき「ゼロトラスト」の現実解を、厳しく、そして具体的に解説します。

そもそも「ゼロトラスト」とは？性悪説に基づいた“疑う”セキュリティ

従来のセキュリティ対策は、「城と堀」のモデルでした。会社のネットワークという「城」を、ファイアウォールという「堀」で守る。そして、一度「城の中」に入ってしまえば、そこにいる人間やPCは、基本的に全員「信用できる」ものとして扱われていました。

しかし、テレワークやクラウドサービスの利用が当たり前になった今、もはや「城の中（社内）」と「城の外（社外）」という境界線は、何の意味も持ちません。そこで生まれたのが「ゼロトラスト」、つまり「何も信用しない（Zero Trust）」という考え方です。

これは、性悪説に基づいた、非常に疑り深いセキュリティモデル。社内ネットワークにいようが、社長のPCだろうが、全ての通信やアクセスを、いったん「信用できないスパイかもしれない」と疑ってかかる。そして、その都度、「あなた、本当に本人？」「そのデータに触る権限、本当にあるの？」と、厳しく本人確認（認証）と権限確認（認可）を行う。

もう、社内だから安全、なんていう牧歌的な時代は終わったんです。全員、スパイだと思え。それが、ゼロトラストの基本的な考え方です。

大金を払うな。まず始めるべき“ゼロトラスト三種の神器”

「やっぱり、難しくて金がかかりそう…」そう思ったあなた、まだ諦めるのは早いです。ゼロトラストは、特定の高価な製品を指す言葉ではありません。まず、中小企業が揃えるべきは、比較的低コストで始められる、次の「三種の神器」です。

神器１：ID管理と多要素認証（MFA） 全ての基本であり、最も重要なのがコレです。未だにIDとパスワードだけで社内システムにログインさせているなら、それはもう犯罪的と言ってもいい。 Microsoft社の調査によれば、IDとパスワードに加えて、スマホのアプリなどで本人確認を行う「多要素認証（MFA）」を有効にするだけで、アカウント乗っ取り攻撃の99.9%以上を防ぐことができます。Microsoft 365やGoogle Workspaceを導入しているなら、追加費用ゼロで、今すぐ有効にできる機能です。まず、これを全社員に強制してください。

神器２：デバイスの管理（MDM/EMM） 誰が、どんなPCやスマホで、会社のデータにアクセスしているかを把握していますか？私物の、ウイルス対策もされていないようなPCから、野放図にアクセスさせていませんか？会社が許可し、セキュリティ状態を管理している端末からしか、重要な情報にアクセスさせない。この「デバイス管理」も、各種クラウドサービスに標準で備わっていたり、安価なMDMツールで実現できたりします。