ニュース：アメリカ求人情報とアメリカ就職・転職サポート QUICK USA

「何も信じない、すべてを疑う」がセキュリティの新スタンダード？～ゼロトラストのあれこれ～

人事労務関連
Dec 12, 2022

【アメリカの人事部】「何も信じない、すべてを疑う」がセキュリティの新スタンダード？～ゼロトラストのあれこれ～

「努々うたがうことなかれ」三国志やキリスト教の聖書にも登場する、古くから伝わる言葉ですが、いまのセキュリティの考え方にこれはまったく当てはまりません。むしろ「何も信じず、すべてを疑ってかかる」そんな考え方が今回取り上げるテーマである、“ゼロトラスト”です。今話題のゼロトラストという考え方、必要な理由、さらにその導入方法について解説します。

Ⅰ．ゼロトラストの考え方

働き方改革、また世界的な感染症拡大に伴うリモートワーク導入の増加でスマートフォンやノートPCを社外での仕事に利用することを許可・奨励するなど、近年リモートワーク比率が急増、デジタル活用の進化が顕著です。働く現場でのデジタル活用の進化によって、社員の利便性や業務効率が向上する一方、経営の視点ではこれまで優先度の低かったセキュリティ対策が急がれる状況になっています。

ゼロトラストネットワークは、その言葉のとおり「信頼（Trust）を何に対しても与えない（Zero）」という前提に立ったセキュリティ対策の考え方です。機器の持ち出しが「特殊ケース」として扱われていた従来のセキュリティ対策では、社外から社内、あるいは社内から社外といった「情報の境界線」を越える場合のリスク対策をすることが基本でしたが、前述のとおり、昨今は会社の中と外という境界線の引き方自体が機能しなくなりつつあります。また、社内であっても、不正な情報漏えいのリスクが存在します。

こうしたことを踏まえ、ゼロトラストでは次のような観点で安全性の確認を行います。

・許可されたユーザーからのアクセスであるか

・通常と異なるロケーションからアクセスがないか

・そのほか不審な振る舞いが発生していないか

・利用しているクラウドサービスにリスクがない

Ⅱ．いまゼロトラストが必要な理由

ゼロトラストという考え方が生まれた理由は何でしょうか。すなわち、従来の境界型防御の次なるセキュリティモデルが必要になったのはなぜでしょうか。大きく以下の３つの要因があります。

①クラウドサービスの利用増

現在では、クラウドを導入する企業も増え、基幹システムやファイルサーバーをはじめ、それらの周辺システムやアプリケーションもクラウド化するケースが増えています。こうしたクラウドサービスを利用する場合、そもそもシステムやアプリケーションが社内ネットワークの外にあるため、「社内ネットワークでしか利用できないようにする」「社外からVPNを使って社内にアクセスする」という安全性の担保が成立しなくなってしまいます。

②社外アクセスの増加、デバイス多様化

リモートワークでクラウド上のデータベースにアクセスすることは、社内ネットワークすら利用しない状況です。また、シャドーIT（リモートワーク期間に情報システム部門の許可なく利用したアプリケーションの増加）によって、機密情報の漏洩が発生したり、デバイスや社内のネットワークがサイバー攻撃の被害に遭う恐れもあります。

③内部不正による情報漏洩の増加

内部からの情報漏えいは以前から発生し得るものでしたが、上記①、②で挙げたようなネットワーク環境の変化によって、更にそのリスクが増しています。これまではデスクトップが一定の割合を占めていた社員用PCも、ノートPCやスマートデバイスに置き換わることで紛失・盗難はもちろん、社員が悪意のある目的で持ち出すことも容易になったという見方もあります。

Ⅲ．ゼロトラスト導入の進め方

ここまでで、ゼロトラストの考え方についてある程度ご理解いただけたかと思いますが、実際の導入は大変なのではないか、と言った声が聞こえてきそうです。ここでは、ゼロトラスト導入を大きく３つのステップに分けて説明していきます。

①クラウドサービスのセキュリティリスク対応

本人しか所持していない情報（モバイルデバイス、生体認証等）で確認し、なりすましによるアクセスをチェックします。他にもアクセスできる場所やPCを限定したアクセス制御や役割ごとに権限を付与して閲覧・変更等の操作を制限します。（ユーザー認証・認可）

本人確認やアクセス制御などのユーザー認証・認可は、IDaaS^※１で実現できます。これを導入することにより、従来の社内システム以上にクラウドサービスへのアクセスの安全性が確保され、パスワード認証しかしていないクラウドサービスも多要素認証やアクセス制御ができるようになります。

（多要素認証は、クラウドサービスへアクセスする際、パスワード以外に本人しか所持していない情報（モバイルデバイス、生体認証等）を確認することで、従来の社内システム以上にセキュリティを担保することが可能。また、PCやIPアドレスなどでアクセス制御することにより、境界型セキュリティと同等以上のアクセス制御が可能となる）

②テレワークにより攻撃を受けやすくなっている端末の保護

社内PCと同様にテレワークで利用するPCにも、アンチウィルスソフトやセキュリティパッチの適用や適用状況の可視化、PCの設定や外部デバイスの利用、ソフトウェアの導入などを制限することが必要です。また、未知のマルウェアに感染しても検知、防御できる製品を導入する必要があります。マルウェア等の感染、侵入後の検知、防御などのエンドポイントセキュリティはEDR^※２製品で実現できます。EDR製品を導入することにより、社内外の端末が保護され、マルウェア等の不審な挙動を検知するため、従来の侵入検知や外部データ送信抑止などと同様の効果が期待できます。

③通信や接続先の安全性の確保

クラウドサービスやネットワークのアクセスログ等を監視・制限する製品を導入することが必要です。常にネットワークの接続可否の判断がされ、信頼されない端末からの接続を防げるほか、クラウドサービス利用状況の可視化が可能となり、内部不正や外部からの悪意ある攻撃にも対応することが可能です。

ネットワーク／クラウドセキュリティを導入することで、境界内外問わずネットワーク接続を安全に行えるようになります。また、クラウドサービスの利用を可視化・制限することにより、情報漏洩のリスクを軽減できます。

Ⅳ．自社のセキュリティ状況を知り、適切なゼロトラスト導入を

クラウドサービスの普及によって、社外でもPCやスマートフォン等を使用してデータにアクセスすることは当たり前となりました。そのため、企業システムの内部と外部を隔てる「境界」そのものが曖昧になり、従来の境界内のネットワークを守るだけのセキュリティ対策では通用しなくなっています。その結果、自社のネットワークの外にも存在する情報資産を守るための対策として、ゼロトラストが注目されるようになったというのはすでに前述し、ご理解いただけたかと思います。

しかし、ゼロトラストな状態をいざ構築しようとしても、どこから、どのように着手してよいのかわからない企業は多いのではないでしょうか。そこで、独立行政法人情報処理推進機構（IPA）が公開している「ゼロトラストのすゝめ」を参考にしてみてはいかがでしょうか。どうすればゼロトラストが導入できるのかと悩む企業に向けられたコンテンツになっており、非常に参考になると思います。

独立行政法人情報処理推進機構（IPA）「ゼロトラストのすゝめ」

また、自社の現在のセキュリティレベルをチェックすることも、セキュリティを強化するためには非常に重要です。外部機関を利用し、客観的にレベル診断をしてもらうことも選択肢にはあると思いますが、専門家による外部監査には費用がかかること、また業務に大きな影響を及ぼすため、それに合わせた内部の対応が求められます。そこでまずは、情報処理推進機構（IPA）の「情報セキュリティ自社診断」で社内のセキュリティレベルを測定することをおすすめします。簡単な設問に答えるだけで、簡易的な診断が可能です。無料かつ簡単に結果を出すことができるので、自社セキュリティの現状把握のファーストステップとして利用してみてはいかがでしょうか。

独立行政法人情報処理推進機構（IPA）「情報セキュリティ自社診断」

この記事に関するご質問等はmarketing@kddia.comまでお問い合わせください。

※１：IDaas（Identity as a Service)とは、サードパーティプロバイダーによって構築・運用されるクラウドベースの認証サービスです。 IDaaSを利用することで、社内システムはもちろんのこと、さまざまなクラウドサービスに対してもクラウドベースの認証やアイデンティティ管理を行うことができます。

※２：EDR (Endpoint Detection and Response) とは、ユーザーが利用するPCやサーバー (エンドポイント) における不審な挙動を検知し、迅速な対応を支援するソリューションです。

・KDDIアメリカセキュリティソリューション

・KDDIアメリカゼロトラストソリューション

※この記事に関してのご質問は、KDDI America までお気軽にお問合せください。

【執筆】

KDDI America, Inc.

Digital Marketing Manager

中田晃史（Akifumi Nakata）

【プロフィール】

２０１７年KDDI株式会社に新卒で入社。初期配属の総務部にて、「つなぐのは思い、つなぐのは笑顔」の言葉を強く意識し、通信キャリアとして、単に電話をつなげるだけではなく、人の「思い」や「笑顔」をつなげていきたいと、約４年間、KDDIにおける事業継続計画（BCP）の策定に従事。各省庁、関係機関との連携体制の構築や、災害時の通信早期復旧および事業継続に係る取決めを経験。

２０２１年よりKDDIアメリカに出向。マーケティング部門にて、その計画の策定、ウェブページ作成等、マーケティングに係る業務を広く担当。

趣味はサッカーや旅行。大好きな英・アーセナルFCの試合を欠かさずに観るのが日課で、アーセナルの勝利が次週の活力になっている。

法政大学卒

独・フンボルト大学（ベルリン大学）卒。

専門は統計学、経済学

【会社情報】

社名： KDDIアメリカ (英文名称: KDDI America, Inc.)

本社所在地：7 Teleport Dr, Staten Island, NY 10311

代表取締役社長：延原　正敏

事業内容：

北米内の8拠点をベースにブラジルやメキシコなど中南米もカバー。企業ICTサービスの提供にとどまらず、クラウド導入支援、メッセージ配信プラットフォーム、業務効率化アプリケーション、 RPA、工場IoT、といったさまざまなサービスを用意し、お客さまの挑戦を全力でサポートいたします。

E-mail：marketing@kddia.com

URL：https://us.kddi.com/ja/

●「アメリカの人事部」ニューレターのお申込み

クイックUSAは「アメリカの人事部」を発足し、在米日系企業様向けにニュースレターを配信させていただいております。アメリカでビジネスを遂行していくために、必ず知っておかなければならない法律、人事・労務、ビザなどの最新ニュースを定期的にお届けしております。「アメリカの人事部」のニュースレターの受信をご希望の企業様は、下記までお気軽にお申し付けください。

「アメリカの人事部」のニュースレターお申込みご希望の方はお手数ですが、会社名、ご担当者様氏名、役職、電話番号、会社のご住所、E-mailアドレスを明記の上、下記E-mailアドレスまでご連絡くださいますようお願いいたします。

E-mail：info-usjinjibu@919usa.com

「アメリカの人事部ニュースレター」のバックナンバーをご希望の方は、 E-mail:info-usjinjibu@919usa.com　まで、ご希望のナンバーをお気軽にお知らせください。

【バックナンバー】

No.1　日本の人事について、トランプ政権発足以降のビザ取得の状況

No.2　人事が知っておくべき高額医療/消費者保護法(CCPA)施行/感染症対策

No.3　コロナウィルス拡大で米国CDCも推奨「在宅勤務」について/シックリーブ

No.4　在宅勤務特集/在宅勤務に関するQ&A

No.5　コロナウイルスに関するQ&A/WiFiの規定/より快適な在宅勤務のコツ

No.6　CDC雇用者向けページを確認しよう/After COVID-19の訴訟について

No.7　ポスト・コロナの職場環境/ビザ取得の状況/WEB面接のコツ

No.8　出社への不安という理由/職場再開における適正な準備と手順

No.9 Return to Workのポリシーを作ろう/オフォス再開に関する一問一答

No.10 コロナ禍で考える「評価制度の構築」/ Don’t be silent ～アメリカの人事は差別との闘いであるから

No.11 移民法、雇用調整助成金(ERC)最新情報

No.12　失業保険の不正受給が急増/評価制度Q&A

No.13　職場におけるコロナ関連訴訟/ オフィス対策/ 感染テスト

No.14 ジョブ型？メンバーシップ型？/自主隔離を終了させる新たなガイドライン

No.15 CA州無給休暇と収入保障/強い企業になる！ブラックスワン比較とは

No.16 ポストコロナの新入社員研修/最新移民法/リモート採用注意点/失業率の推移、学校再開Q&A

No.17 訴訟が多いワースト１０/コーチングの活用目的

No.18 緊急有給シックリーブ法の改定/リモートでのコミュニケーション

No.19 各州の雇用に必要な給与額/従業員が感染！会社としての対策とは

No.20 2021年は2.6%昇給すべきか？！/採用もマーケティングと同じ

No.21 バイデン新政権誕生で変わる今後の雇用情勢/H1b申請新基準

No.22 企業が提供する祝日と割合/オンラインホリディパーティゲーム9選

No.23 医療費は上がり続けるのか？

No.24 2021年の有給シックリーブ法/何はなくともブランディング

No.25 グラフで振り返る2020年/新世代のコミュニケーションCPaaSとは

No.26 ワクチン接種を強制しますか？/H-1Bビザ抽選プロセスの変更案について

No.27 大統領令と法律の違い/医療費控除を最大に/州政府の仕事を請け負うには

No.28　従業員ベネフィットのトレンド/COVID後のオフィスデザイントレンド

No.29 COVID-19救済法と人事関連情報/コミュニケーションは進化する/音声メディアを考えてみる

No.30 2021年ハンドブック更新の拠り所/まだ間に合う！節税のためのIRA/クラウドサービス利用の秘訣

No.31 大麻使用許可による職場規定とドラッグテストの影響/永遠に勝てる組織を作るには

No.32 あなたの給料はAIが決めてもよいか？/駐在員が絶対に知らないといけない個人税務知識

No.33 アメリカの失業保険制度と給付金/最近のアメリカ移民法事情/日本帰国のポイント

No.34 リモートワークでの雇用と離職について/短期の離職を抑えるためにできること/音声メディアを考えてみる Part:2

No.35 CA州はマスクを外せないのか？/ここだけは押さえておきたいIRS

No.36 新法HERO Act法とは？/「小さな物語」が組織を変える

No.37 学生スポーツのビジネス化/ リモート、ハイブリッドでの新人教育

No.38 なぜ過去の給与履歴を質問してはいけないのか？/ オンラインビジネスの主な形態

No.39 来るべき人材採用難と従業員の離職対策/ 新しい「働く」をデザイン-オフィス再開に向けて-/ 「日本型」ジョブ型雇用が抱える課題

No.40 出張の回復は2024年/ 予定納税ってなに？自分には関係ある？

No.41 日本にあってアメリカにないものは？/変化の時代ころ「パーパス」について語り合う

No.42 リモートワーク下での人事評価/ 駐在者へのトレーニング

No.43 2019年からの求人数・雇用数の推移/駐在員のジレンマ～相手の価値観と自分の価値観～/米国大使館のＥビザ申請の現状

No.44 2022年のＳalaryトレンド。インフレ＋人手不足で昇給率は更に上がるか？/コロナ後の新しい雇用のカタチ/アメリカ進出！BtoBマーケティングの基本となる8つのポイント

No.45 ワクチン接種を拒む従業員への対応/昇給・給与設定にありがちな問題！～問題を回避する秘訣とは?!～/クラウド時代のネットワークを実現するSecure Access Service Edge（サシー）

No.46　雇用者数の推移と、重要な数値/GILTI（米国外軽課税無形資産所得）とFDII（外国稼得無形資産所得）

No.47 2022年カリフォルニア州の人事関連新しい法律

No.48 コロナ禍によるパワーシフト | その会議に心理的安全性はありますか？

No.49 各州での最低賃金の上昇 | 日系企業の意識改革の試み

No.50 評価制度を止めた企業はどうなったか？ | H-1B、E、Lビザ配偶者の就労許可について

No.51 2022年は日系企業のDEI元年| 個人の確定申告で注意すべき４つのポイント

No.52 健康保険加入でCOVID-19の自宅検査キットが無料に | 人材難が続くアメリカのGreat Resignation～いま何が起こっているのか～

No.53 2022年アメリカの物価上昇と昇給への影響は？ | あなたは、どのように組織に「社会化」していますか？

No.54 複雑化し、高度化するアメリカHR | リモートワークと企業文化の維持～アポロ宇宙船基地のトイレ清掃員の目的意識と通ずるところ

No.55 COVID-19以降のキャリアとライフスタイル | アフターコロナ新たな課題～人材採用で一役買うかもしれない新たなサービス～

No.56 【報酬】募集広告にサラリーレンジの開示義務（アメリカ流ジョブ型雇用義務化の流れ） | 日米税務当局間の金融口座に関する情報交換

No.57 DEIのEを知る | 職場で気を付けたい年齢発言

No.58 幅広いメンタルヘルスのベネフィット | 1on1で対話をすると組織の何が変わるのか？～4ヶ月で起こせる変化～ | カナダ、メキシコ国籍保有者がアメリカ就労を可能にする専門職ビザ　”TNビザ”とは

No.59 リモートワークは是が非か？ | アメリカの安全な都市。テキサス州のフリスコ市とマッキーニ市が1位2位！

No.60 Exempt 従業員は時間管理が出来るのか？ | 「急がば回れ」が機能するとき

No.61 7月1日からStandard Mileage Rateが変更 | サイバーセキュリティリスクへの法的対応～事前準備の重要性～

No.62 ジョニー・デップとアンバー・ハードの裁判からHRは何を学ぶか？ | 大量退職時代を乗り越えるために知っておくべき総報酬(Total Reward)の基本

No.63 COVID-19 に感染した従業員に対するアップデート | 人事訴訟と米国の差別解消への動き

No.64 夢遊病とAmericans with Disability Act（ADA: 障がいを持つアメリカ人法）| 「リタイヤ前にやるべきだった・・・」後悔トップ10＜日米比較＞

No.65 カリフォルニア州 Paid Family Leave利用した従業員一人につき最大$2,000の給付金 | E-1 VISAの申請方法の説明

No.66 セクハラ防止トレーニングは継続しなければならない | なぜ、あなたは部下の話が聞けないのか？

No.67 NFLチームでのハラスメントとハラスメント防止規定 | 大量退職時代に従業員を惹きつける４０１(k)プラン

No.68 HRを仕事にしたら給与はいくらか？ | リモートワークの見直しを契機に！ADA上の「配慮」と米国労務管理の「基本書類」| 教育水準も高いテキサス州！全米ベスト学校区１００に５学校区がランクイン！

No.69　州をまたいで働く完全リモート従業員への対応 | 会社内のパワーシフト：リスク管理として今からやっておかなければならないこと

No.70　NBAチームでの差別・ハラスメントに対して、1,000万ドルの罰金は正当か | 日本の居住者認定―米国永住権者

No.71　2023年の昇給率はいくらにすべきか？ | 「生きて」いる人と出会うには

No.72　給与開示透明性（Pay Transparency）はなぜ法令化されたのか？ | FMLA（育児介護休業法）休暇取得の際、メッセージアプリは有効な連絡手段か？

【アメリカでのご採用をご検討中の企業様へ】

★採用でお困りなことはありませんか？

クイックUSAでは、アメリカでのご採用のお手伝いをしています。フルタイム、パートタイム、派遣等、御社のご採用のお手伝いをさせていただきます。お気軽に下記までご連絡ください。

●人事・労務関連のご相談にも応じております。

クイックUSAではハンドブックの作成・見直し、ジョブディスクリプションの作成、セクハラ防止セミナーの開催など、人事労務関連のご相談も承っております。内容、お見積りなど何でもお気軽に下記までご相談ください。

QUICK USA, Inc.

[New York Office ]（Headquarters)

8 West 38th Street, Suite 802, New York, NY 10018

Email:quick@919usa.com

Phone: 212-692-0850

[Los Angeles Office ]

1995 W.190th Street, Suite 200 Torrance, CA 90504

Email:quickla@919usa.com

Phone: 310-323-9190

[Dallas Office ]　

5851 Legacy Circle, Suite 600, Plano, TX 75024

Email:quicktx@919usa.com

Phone: 469-626-5265

[Chicago Office ]　

1600 Golf Road, Suite 1200, Rolling Meadows, IL 60008

Email:quickil@919usa.com

Phone: 646-796-6393

【アメリカでのご転職・就職をお考えの方へ】

★アメリカでのお仕事探し、就職・転職はクイックＵＳＡにお任せください。弊社のサービスにご登録がお済みでない方は、まずは英文履歴書のご登録をお願いいたします。 www.919usa.comより、オンライン登録をしていただくか、 quick@919usa.comまでE-mailにて英文履歴書を添付ファイルにてお送りください。折り返しご連絡させていただきます。

※クイックＵＳＡではニューヨークとロサンゼルスを拠点に全米で、留学生や社会人の求職者に対してアメリカでの就職・転職のお手伝いをしています。ご紹介しているお仕事は、金融、会計、ＩＴ、輸出入、人事、営業など多岐に渡ります。

雇用形態はお仕事をお探しの方のライフスタイルに合わせて、フルタイムのお仕事とテンポラリーのポジションをご紹介。クイックＵＳＡでは経験豊富なリクルーターが、求職者の皆様一人ひとりのご希望などを伺いアメリカでのキャリアプランを一緒に考えさせていただいています。アメリカでお仕事をお探しであれば、アメリカ求人多数のクイックＵＳＡに是非ご登録ください！（無料）