“信頼しない”ことが守りの基本に。ゼロトラストで進化するITSM
従来の企業ネットワークでは、「社内は安全・社外は危険」という前提のもと、社内と社外の間に“境界”を設けてセキュリティを確保する「境界型セキュリティ」が一般的でした。しかし、クラウドの活用やリモートワークの定着によって、社内外の境界が曖昧になる今、この境界型セキュリティだけでは十分な安全性を保つことが困難になっています。
そこで注目されているのが、「ゼロトラスト(Zero Trust)」という考え方です。すべてのアクセスを信頼せず、常に本人確認やアクセス制御を行うことで、ITサービスの運用そのものをより堅牢にします。ServiceDesk Plusでは、このゼロトラストの原則をITサービス管理(ITSM)に統合し、セキュリティと業務効率の両立を支援します。
ITSMに求められる、次の防御力
ITSM(ITサービス管理)とは、組織が提供するITサービス全体を、標準化されたプロセスに基づいて体系的に管理・改善するためのフレームワークです。単なる業務効率の向上にとどまらず、組織全体のサービス品質やユーザー満足度を高めるためのプロセスです。近年では、このようなサービスの提供・改善に加え、“セキュリティリスクへの対応”という視点でもITSMの進化が求められています。
背景には、以下のような変化があります。
- 脅威の高度化と多様化
外部からの不正アクセスだけでなく、内部不正やサプライチェーン攻撃、クラウドサービスを通じた侵入など、攻撃手法は日々進化しています。
- ネットワーク境界の消失
テレワークや拠点の分散、個人端末の業務利用(BYOD)などにより、「社内ネットワーク=安全」という前提が通用しなくなっています。
- 運用プロセスのサイロ化
ITSM、IT資産管理(ITAM)、情報セキュリティの各領域が独立して管理されていると、インシデント対応の遅れや、対応漏れが生じるリスクがあります。
ゼロトラスト × ITSM:運用プロセス全体に「検証と最小権限」を組み込む
ゼロトラストの原則においては、「誰が」「どの資産に」「どのタイミングで」アクセスするかを常に検証し、必要最小限の権限しか与えないことが重要です。こうしたゼロトラストの考え方を、ITサービス運用に確実に組み込むための仕組みが、ServiceDesk Plusには標準で備わっています。
たとえば、以下のような機能が、ゼロトラストの実現を支援します。
- ロールベースアクセス制御(RBAC)と認可ポリシーの設定
ユーザーの役割や部署に応じて、アクセス可能な情報や操作範囲を柔軟に制限。過剰な権限付与を防ぎ、「最小権限の原則」を徹底できます。
- 監査ログ・操作履歴の管理と、アセットアクセス制御
チケットの処理履歴や設定変更などの操作を詳細に記録。特定のIT資産に対するアクセス制御との連携により、不正や誤操作の早期発見と内部統制の強化を図ります。
- ID連携機能(SSO、LDAP、SAML)
外部の認証基盤と連携することで、ユーザーごとの認証強化と一元管理を実現。アクセス時の検証プロセスを自動化しつつ、セキュリティの一貫性を保ちます。
- 構成管理データベース(CMDB)との統合
利用中のIT資産と、それに依存するサービスの関係を可視化。どの資産が業務にどのような影響を及ぼすかを把握できるため、インシデント発生時の影響範囲分析や、変更時のリスク評価に活用できます。
- 多段階の承認付き変更管理ワークフロー
システム構成や設定に関わる変更は、定義されたプロセスに従って段階的に承認される仕組み。事前のリスク検証と関係者によるチェックを通じて、安全性の高い変更管理が可能になります。
ゼロトラストの基本構成:ID・デバイス・サービスの一貫管理をITSMに統合
「誰が」「何を使い」「どのように操作するか」を多層的に管理することが、ゼロトラストを前提としたITSMには不可欠ですが、そのためには、ID(ユーザー)、デバイス(端末・資産)、サービス(業務プロセス)のそれぞれに対して、継続的な検証と統制の仕組みが必要です。ServiceDesk Plusは、このゼロトラストの3本柱をITSMの機能と連携させ、運用プロセス全体に組み込むことで、セキュリティと効率を両立させたIT運用を可能にします。
① ID・認証管理(Who)
- シングルサインオン(SSO)や多要素認証(MFA)によって、なりすましや不正ログインを防止。
- ロールベースアクセス制御(RBAC)により、ユーザーの職務に応じた最小限のアクセス権限を割り当て。
② デバイス・資産管理(What)
- IT資産管理機能と構成管理データベース(CMDB)を活用し、利用中の端末やソフトウェアを常時可視化。
- 端末ごとのアクセス制御・使用履歴の記録により、不審な動作や資産の無断利用を検出・制限。
③ サービス・業務プロセスの保護(How)
- ナレッジベースと自動化されたワークフローによる標準化された運用プロセスを徹底。
- 変更管理・承認フロー・操作ログによって、重要なシステム操作も事前の検証と後追いの監査が可能に。
ゼロトラストの3つの柱を、業務プロセス全体に組み込み、統一的に管理できる点がServiceDesk Plusの特長です。これにより、業務の安全性とスピードを両立させたセキュアな運用体制が実現します。
ServiceDesk Plusで実現する、ゼロトラスト前提のITSM
ServiceDesk Plusでは、「すべてを常に検証する」ゼロトラストの原則を、ITSMの機能に反映させています。以下のような仕組みにより、日々のITサービス運用においても「信頼しないことを前提に設計されたセキュリティ対応」を実現します。
- ロールベースアクセス制御(RBAC)
ユーザーの役職や所属チームに応じて、アクセス可能なデータや操作範囲を細かく制限。最小限の権限しか与えないゼロトラストの基本原則を実践します。
- 多要素認証(MFA)対応
管理者アカウントなどの高リスク操作時には、パスワードに加えて二要素認証を要求することで、不正アクセスを防止。
- セッション監査と操作履歴の記録
すべてのユーザー操作は自動でログとして記録され、改ざんや不正を防止。トレーサビリティ(証跡の追跡性)の確保にも貢献します。
- IT資産アクセスログとの連携
誰が、いつ、どのIT資産にアクセスしたのかを正確に把握。万が一の際にも、原因の特定や影響範囲の確認が迅速に行えます。
- ナレッジベース × 自動化ワークフロー
ナレッジ管理機能と、ドラッグ&ドロップで設計できる自動化ワークフロー機能を備えています。これにより、例外のない標準化された運用が実現し、属人性の排除や再現性の確保に貢献します。
ゼロトラストを前提としたITSMで得られる3つのメリット
ゼロトラストの原則を取り入れたITSMによって、ServiceDesk Plusは単なるITSMツールから、「セキュリティ対応の中核基盤」へと進化します。導入後に期待できる、主な3つの効果は以下の通りです。
1. 不正アクセス・誤操作の抑制
ユーザーごとに最小権限でのアクセスを徹底し、操作範囲を厳格に制限。これにより、内部不正や誤操作による重大障害や情報漏洩のリスクが大幅に低減されます。
2. セキュリティ対応の迅速化
ServiceDesk Plusは"インシデントの検知→自動起票→トリアージ"までを自動化し、CSIRT運用の迅速な立ち上げと対応体制の強化に貢献しています。SIEMやUTMなどのアラートを自動でチケットに変換し、トリアージから対応までをシームレスに繋ぐことで、対応開始までの初動が格段に速くなります。これによりインシデントの影響範囲を最小限にとどめることが可能です。
3. ガバナンス(統制)の強化
すべての操作・変更がログとして記録され、いつ誰が何を行ったのかを履歴として確認できるため、改ざん検知や監査対応もスムーズに行えます。
NISTの定義に基づくゼロトラストを、ServiceDesk PlusでITSMに落とし込む
従来の「信頼を前提としたネットワークモデル」では、もはや十分な安全性を確保することはできません。米国NIST(米国国立標準技術研究所)のゼロトラストガイドライン「SP800-207」でも、継続的なユーザー認証、最小権限アクセス、リアルタイムのリスク評価などが中核要素として定義されています。ゼロトラストの中核要素を、日常のITサービス運用に落とし込むための具体的な仕組みとして、ServiceDesk Plusは機能します。
たとえば、セキュリティ製品からのアラートを自動でチケット化し、優先度や対応部門をルールやAIによって割り当てるトリアージ機能を備えることで、インシデント発生時の初動を迅速化。さらに、根本原因分析(RCA)や再発防止策のナレッジ化、変更管理ワークフローとの連携により、対応と改善の両面でセキュアな運用を支援します。
ゼロトラスト時代にふさわしいIT運用の仕組みを、ServiceDesk Plusで構築してみませんか?