信頼に甘えず挑戦を続ける：経営者が押さえておくべきゼロトラストの概念とは

従来の企業のセキュリティモデルは、信頼（トラスト）の上に成り立っていました。信頼できるユーザとみなされれば、企業ネットワークとその先のすべての資産にアクセスできました。この「城を堀で囲む」種類のセキュリティモデルはハードウェア中心の考え方です、自社内で完結している企業ネットワークを全体的に保護することに重きを置き、ネットワークへのアクセスはハードウェアゲートウェイで管理されます。 

半世紀も前のモデルとなる「城を堀で囲む」種類のセキュリティは、安全なオフィスビル内のオンサイトの職場環境を守ることを目的としていました。しかし今は、従業員は企業の城壁を超えて外に出て、インターネットやクラウドを用いるようになっています。さらには、テレワークという形態をとることさえあります。加えて、セキュリティ問題がこれまで以上に発生するようになり、ユーザの近い拠点にハードウェアスタックを設ける形で対応することで、コストが増加する事態に陥っています。 

食肉加工会社のJBSの例などで見る近年のサイバー攻撃は、「城を堀で囲む」種類のセキュリティモデルの欠点を浮き彫りにしています。セキュリティは、最も脆弱な箇所（例えば、フィッシングメールに対する従業員の脆弱性）と同程度の効力しか持たず、ひとたびネットワークセキュリティが破られると、ネットワークに接続されたすべてのシステムが危険にさらされます。このモデルの最大の弱点は、セキュリティに対する意識の低さです。従来のセキュリティモデルに甘んじているITリーダーの場合、自社環境の「安全性」を測定する方法を持たないことが多々あります。事実、ほとんどの企業は、攻撃を受けた後に証拠（身代金要求のデータなど）を突き付けられるまで、自社のハッキングに気づいていません。 

ゼロトラストは、企業のサイバーセキュリティを維持できる効果的なソリューションです。ゼロトラストは、企業データを保護し、最小限のアクセス権限を適用することで企業ネットワークからセキュリティを効果的に切り離す、フレームワークを指す概念です。 

理論上のゼロトラスト 

2010年、Forresterのセキュリティアナリストがサイバーセキュリティの新しいアプローチを提唱しました。それは、管理対象をネットワーク境界から、動的なデータへと移すものでした。「ゼロトラスト」とは、「誰から、どこへ、どのような経路で送られてくるかわからないすべてのデータトラフィックは、潜在的に信頼できないものとみなし、移動のあらゆる段階でデータの正当性を疑うべきである」という考え方です。 

ゼロトラストには、次の4つの基本理念があります。 

1. あらゆるレベルの認証は、すべての人、すべてのもの、すべての場所で最小限のアクセス権限のみを付与し、ユーザ、デバイス、ワークロードを暗黙に信頼することはない。 
2. ユーザとアプリケーション、アプリケーション間、ワークロード間の接続は直接かつ一時的なものであり、ネットワークを分割することなく、アプリケーション単位のマイクロセグメンテーションを基本とする。 
3. アプリケーション、ユーザ、企業のシステムはオープンインターネットにさらされない。 
4. ゼロトラストは、インターネットが新たな企業ネットワークに置き換わる中、 

セキュリティ面を考慮した、極めて効果的な提案であると言えます。攻撃者が信頼を悪用するのに対し、セキュリティリーダーは信頼を最小限に抑えることでサイバー攻撃のリスクを軽減できるからです。ゼロトラストのコンセプトが初めて取り上げられたのは2010年ですが、当時は時代を先取りしすぎていたため実用化は遅れることになります。従来のセキュリティアーキテクチャでは、データに追随する動的なセキュリティモデルをカバーできる拡張性をもたないため、再構築が困難だったのです。 

実用面におけるゼロトラスト 

登場から10年を経て、デバイスに依存せずリモートアクセスを前提としたクラウドファーストの現代において、ゼロトラストは新しい働き方を実現する手段として急速に普及しています。企業環境にゼロトラストを採用するために、リーダーはネットワーク接続の在り方を再考する必要性に迫られています。 

ゼロトラストでは、各接続は分離され一時的かつ直接的なものとなり、従来の「常時オン、常時オープン」な企業ネットワークの概念を置き換えることになります。セキュリティはプロキシによって適用され、各接続インスタンスに合わせてカスタマイズされます。プロキシはクラウド上のシステムとして、ユーザの各拠点の近くに複製されることが理想的とされ、ユーザデータの各パケットの送受信を検査、評価、保護することで、エンドユーザを攻撃から効果的に保護し、脅威の攻撃者の視界を遮断します。 

2020年8月、米国国立標準技術研究所（NIST）は、サイバーセキュリティ業界の専門家からなるコンソーシアムとの長期にわたる協議を経て、 ゼロトラストアーキテクチャ（ZTA）のガイドラインを公開しました。NISTの規格では、現代のZTAの要件として、「セキュリティがポリシーに基づくこと」「セキュリティがプロキシ経由で提供されること」の2点を求めています。 

具体的に説明しましょう。リモートでログインしたユーザは、近くにあるクラウドベースのプロキシに直接アクセスします。そして、企業の管理者が定義したビジネスポリシーに基づいて、ユーザ認証が実行されます。そこからユーザは、許可されたリソースに直接接続し、許可されたリソースのみを使用します。 

NISTが定義するZTAモデルでは、ネットワークに関して信頼を置いていません。ネットワークアクセスを技術的に認めておらず、ユーザはウェブサイトや企業アプリケーションなど特定の宛先リソースにのみ接続します。各ユーザが入手するデータも、プロキシベースのクラウドサービスのエッジで提供されるスケーラブルなセキュリティによって制限されています。これらによってサイバー犯罪者の侵入や逃亡が阻止されます。 

公開範囲を減らして攻撃領域を限定し、包括的に観測する 

ZTA環境では、インターネットがネットワークバックボーンと同等の役割を果たします。プロキシによってセキュリティポリシーが適用されたデータは、インターネット経由で企業のデータセンタやプライベートクラウドのリソースといった宛先に直接届くため、企業では物理的なネットワークインフラを所有したり管理したりする負担が軽減されます。 

脅威の攻撃者は、目に見える対象を攻撃します。ZTAモデルでは、各デバイス、システム、ユーザ、アプリケーション、ワークロードなどは、スケーラブルなクラウドエッジにあるプロキシの背後に隠されて保護されます。これにより、ハッカーの攻撃を阻止できます。 

さらに、ネットワークを効率的に置き換えて潜在的な被害を最小化できます。攻撃者が何らかの方法でゼロトラストの防御を突破したとしても、その脅威の主体（または脅威の主体のマルウェア）は、組織内の他のシステムに水平移動することはできません。通常のランサムウェア攻撃では、境界を突破したサイバー犯罪者が企業ネットワーク内のシステムからシステムへと移動し、堂々とデータを奪うことができることとは対照的です。 

ゼロトラストによるセキュリティ上の最大の利点は、セキュリティのコントロールであり、特に監視を管理できる点です。ZTA環境では、リソースは外部からは見えませんが、データトラフィックは管理者が包括的に監視できます。これにより、ITリーダーは、クラウドやインターネットへのアクセスを監査し、サードパーティによる未承認の開発や、境界外での制御されていない作業といった従来から存在する不正な動作を管理することができるのです。 

役員が経営層に求めること 

サイバーリスクはビジネスリスクにつながります。そのため、サイバーセキュリティの管理は経営者にとって必須の課題です。取締役会メンバーは、企業の現在そして未来においてサイバーセキュリティを確固なものへと導く機会を握っています。そのためには、経営陣と共に以下の点を確認することから始めます。 

• サイバーセキュリティの観測、運用、計画を担当する部門と担当者は誰か 
• 組織のリスクエクスポージャは何か 
• 組織における脅威ポスチャの測定方法は？ 
• NIST準拠のZTAの導入プロセスにおいて、組織はどのレベルに到達しているのか 

グローバルなサイバー脅威の発生頻度、リスク、潜在的な問題を考え合わせれば、ゼロトラストの導入を躊躇している猶予はありません。 

Kavitha Mariappanは、クラウドベースのサイバーセキュリティ企業ゼットスケーラーのカスタマーエクスペリエンス＆トランスフォーメーション担当エグゼクティブバイスプレジデントです。 

NACDでは、先を見通せない時代の指針となるツールやリソースを提供しています。