ゼロトラストを誤解してほしくない–提唱者が説く正しい定義

今回は「ゼロトラストを誤解してほしくない–提唱者が説く正しい定義」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　近年のサイバーセキュリティトレンドに「ゼロトラスト」がある。その提唱者で知られるJohn Kindervag氏は、「誤解されている」と警鐘を鳴らす。同氏がゼロトラスト本来の定義を説明した。

　ゼロトラストは、Kindervag氏が2010年に当時在籍したForrester Researchで提唱した。そのコンセプトは「信用せず常に検証する」というもので、同氏はゼロトラスト本来の定義を「守るべき資産（データや情報など）を脅威による侵害から守るための『戦略』である」と述べる。提唱から15年近くが経過し、「現在では米国大統領令で推進されるなど、各国の政府レベルでも重要な『戦略』として認知されるまでになった」とした。

　現在のサイバーセキュリティ市場には、ゼロトラストをうたうさまざまな製品やサービスが登場しており、「ゼロトラストセキュリティを講じれば安全になる」といったメッセージも少なくない。このほかにも、「IDセキュリティ＝ゼロトラスト」「ゼロトラストは複雑だ」といった意見も見られるという。

　Kinderverg氏は、「確かにゼロトラストの具体化に必要な製品はあるが、ゼロトラスト自体は製品ではなく戦略である。（セキュリティベンダーなどの）企業は、製品でゼロトラストをどのように実現するかを考えてしまっている」と明言する。上述のようなゼロトラストに関するものは、完全に誤りという訳ではないものの大なり小なり誤解を含んでしまっているようだ。

　同氏がゼロトラストを提唱するに至ったのは、「標的型サイバー攻撃」が新たな脅威として台頭し、伝統的な「境界防御」のセキュリティ対策の有効性が危惧され始めた背景がある。境界防御とは、インターネット空間など組織の外側にある環境と組織内部のIT環境の境界（ゲートウェイ）を基準としてファイアウォールなどの対策を講じ、組織の内部側は安全とする考え方になる。2010年頃は、サイバー攻撃技術の高度化で攻撃者が境界防御を突破して組織内部に侵入し、システムやデータなどを侵害するインシデントが増加した。

　このため同氏は、組織が守るべきシステムやデータといった資産を明確に定め、資産のある場所（データセンターやエンドポイント、クラウド）をできる限り最小にし、資産へのアクセスや利用を適切とする理由（ポリシーなど）を定め、それらに基づいて、資産へのアクセスを常に監視、検証、確認することを「ゼロトラスト」として戦略にまとめた。

　つまり「常に監視、検証、確認する」という点が「信用せず＝ゼロトラスト」という考え方であり、セキュリティの基準を保護対象資産にアクセスしようとする人やデバイスなどの「アイデンティティー」に置く。ただ、サイバー攻撃者や犯罪者が正規のユーザーやデバイスになりすます脅威もあり、ゼロトラストでは、アイデンティティーを含めて資産に対するアクセスなどを常に監視、検証、確認する必要がある。

　ポリシーに適合しない、あるいは適合しないと疑われる行動や兆候などに、常に脅威やリスクの可能性を持って監視を行い、必要に応じてそれらが本当に正規のものかを検証、確認する（制御）。そのためには、保護対象資産のある領域をできるだけ小さくして、効率的に、かつ適切に制御できるようにする必要がある。安全が認められれば、資産へのアクセスや利用などを「許可」するが、一度の許可を有効にし続けることはせず、常に脅威やリスクを想定して、常に監視、検証、確認、制御を行う。

　Kindervag氏は、「侵入と侵害を食い止める唯一のサイバーセキュリティ戦略がゼロトラストである」と示した。

　ゼロトラスト戦略は、同氏の提唱から10年ほどをかけて、ようやく世界中の組織に認識されるようになった。長い時間を要しているのは、組織が1990年代に流行したコンピューターウイルスやワームなどを契機として整備し続けてきた境界防御のセキュリティ対策を変えることが簡単ではないからになる。

　それでも同氏は、2013年に発生した小売大手Targetでのサイバー攻撃で空調システムが侵入経路になったこと、また、2015年に発覚した連邦政府人事管理局での大規模な個人情報の漏えいでは、攻撃者が長期にわたり侵害行為を繰り返していたことで、ゼロトラストの必要性が徐々に認知されたと述べる。

　上述のように、現在では世界各国の政府がサイバーセキュリティの方針でゼロトラストを重要な戦略として位置付けるようになった。「ゼロトラストは急速に広がっている。ゼロトラストは将来のセキュリティの指針にもなり、またはサイバー保険のような分野では、ゼロトラストによるセキュリティ対策を適切に講じていることが重要な要件となるだろう」（Kindervag氏）

　現在のKindervag氏は、マイクロセグメンテーションのセキュリティソリューションを手掛けるIllumioのチーフエバンジェリストとして活動している。同社への参画理由は、ゼロトラストにおける保護資産を最小限の領域において保護するという仕組みを具体的に提供しているからだそうだ。

　Kindervag氏とともに説明に立ったIllumio 共同創業者 CEO（最高経営責任者）のAndrew Rubin氏は、Kindervag氏を「10年かけて（参画してほしいと）口説いた」と明かす。

　Rubin氏は、マクニカとの協業発表で2023年12月に来日したが、「1年前まで日本市場で当社の存在感をほとんど示すことができていなかったが、（マクニカとの発表から数カ月で）現在は日本にも10人を超える人材が活躍し、パートナーシップが広がり、重要資産を守りたいという日本の組織に多く採用いただく状況になった」ともコメント。今回は、日本を含むアジア太平洋の主な国を訪問して回る機会とのことだが、「ほかの国での滞在は1日だが、日本では1週間滞在する。われわれがそれほどに日本へコミットしていることを知ってほしい」と強調した。