ざんねんなセキュリティ–流行のゼロトラストが「既に導入済」は本当か？

今回は「ざんねんなセキュリティ–流行のゼロトラストが「既に導入済」は本当か？」についてご紹介します。

関連ワード （セキュリティ、企業セキュリティの歩き方等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

　前回まで「機能しないIDS/IPS」「経営責任の丸投げを目的とした名ばかりCSIRT」と、本来の機能を発揮できないざんねんなセキュリティ製品の導入とセキュリティ経営ガイドラインに従ってCSIRTを組織化したものの、経営者の責任の丸投げ先になっている実情などについて述べた。

　どちらも本来の仕様や目的に沿って適切に運用されていれば、十分に有効なサイバー攻撃への対策だった。しかし、現実としてそうなっていない状況も見られることで「ざんねんな」事象となってしまった。今回は、これからざんねんな事象が起きかねないものとして、この数年でセキュリティ分野のトピックやバズワードとなった「ゼロトラストセキュリティ」に関して述べる。

　なお、くどいかもしれないが「ざんねん」というタイトルにしたのは、筆者が「ざんねんないきもの事典」（高橋書店刊）が大好きだからであり、心からのオマージュとして本稿を執筆している。

　ほんの数年前まで「ゼロトラストセキュリティ（モデル）」は、“まだ見ぬ理想郷“などと表現されることもあったように、その実装はまだ先のことだと思われていた。それから数年が経過した現在でも、その状況はほとんど変わっていないと筆者は認識している。

　ゼロトラストは、その概念や効果がそれなりに世間に認識されてきたものの、「境界防御」という従来のセキュリティ対策モデルとは、防御の考え方や仕組みが大きく異なる。そのため、ゼロトラストを本格的に導入したという例を国内で聞くことがほとんど無く、筆者が知っているのは、大手システムインテグレーターの自社導入などだ。しかも、その企業独自のゼロトラストの解釈が多く含まれるケースや、試行的な導入というものであり、本格普及はまだ先だと言える。

　現状のゼロトラストは、試行的な事例が複数出てきている。それでも、セキュリティ技術者が数多く在籍していない一般企業にとってその導入のハードルは高い。少なくとも2022年時点では、「次世代のセキュリティで主要な仕組みとなる可能性が高い」というレベルを大きく超えるものではないと筆者は考えている。