ビジネスがゼロトラストセキュリティに賭けるべき理由

この記事は Medium に掲載されたものです。

ZscalerのChris Wlochによるゼロとラストの定義をご紹介します。

「泥棒に侵入されたら、各部屋のドアに鍵をかけておかない限り、すべての部屋を隅々まで物色されてしまう。

だから、すべてのドアに鍵をかけ、入るためには指紋認証を求めるような体制にしておく。私が祖父母にゼロトラストのことを説明するときは、このように言います」

今は、「デジタル化の10年間」の2年目です。従来からある産業、機能、製品、サービスの多くが、企業のデジタル化の一環として、または昨年のコロナ危機による新しい業務上のニーズに迫られて、オンラインに移行しました。あらゆる業界 (政府、繊維、陶器製造、保険、金融、およびその他のすべての業種) のビジネスがデジタル化しています。こうした動きの中、経営幹部の頭に真っ先に浮かぶのは、セキュリティやプライバシーに関する問題です。

お客様 (そしてエンドユーザ) の高まる期待に応えようと、企業はデジタルエクスペリエンスを採用するために変化してきました。セキュリティとプライバシーも同様の進化を遂げていますが、この分野でゼロトラストセキュリティの理念やプラットフォーム、サービスが、ビジネスのサービス提供方法に影響を与えています。お客様のブランドや顧客体験を設計する方法、変化を推進するスピード、業務の遂行しやすさ、さらには評判までも変えることができます。

ドットコムブーム以降のネットワークやセキュリティのアーキテクチャは、安定性、強硬性、制御性を重視して設計されており、ビジネスの急速な進化をサポートするためのアジリティは求められていませんでした。性質的に、融通の利かない典型的な存在です。データ量が増加すると、帯域の増加が必要となります。トラフィックが急増していると、さらに装置を追加することになります。在宅ワークに軸足を移すと、さらに装置を追加することになります。(また、VPNの調達が滞っている可能性があるため、納入が遅れることになります。)　セキュリティアプライアンスを重複して使用している企業にとって、運用の正確性、パフォーマンスの最適化、ビジネスアジリティといった理想は夢のままです。

「パッチ適用の遅れ」で企業は不必要な攻撃リスクにさらされます

変えることは困難です。IT部門での「装置の抱え込み」はよくあることです。会社の廊下の突き当りにハードウェアが数多く集まっていると、手の届くところにインフラがあるような錯覚に陥り、コントロールしやすいと思い込みます。さらに、「知っているものを使う」というのもよくあることです。IT組織が既存のセキュリティ認証を持っていると、古いハードウェアベースの技術に意思決定が偏ってしまうのは当然のことです。

しかし、その複雑さが仇となるのです。例えば、セキュリティパッチ、新しい規制やコンプライアンスのワークフローなどの変更といったランニングチェンジを、幾層にも積み重なったハードウエアが足かせとなっている環境で実行するには、広範囲にわたる全体的な調整、つまり 手動による全般的な調整が必要になります。エラーが起こりやすく、最終的にはリスクにさらされる可能性が高くなります。
 

では、ゼロトラストとは何でしょう？

ゼロトラストアーキテクチャー (ZTA) は、従来のネットワークセキュリティモデルをクラウドをベースにして進化させたものです。先進的な企業は、ZTAを採用するためにITオペレーションをデジタル化しています。ZTAを採用した企業では、ユーザとインターネットの間 (Webプロキシ経由) 、またはユーザとアプリケーションの間で、クラウドのエッジから、インラインでセキュリティが即時に提供されます。データの移動も最小限に抑えているため、パフォーマンスを向上させます。ユーザとアプリ、アプリとアプリ、システムとシステムなど、どのような接続であっても、接続は直接的、一時的で、安全です。侵害できる境界がなく、システムがオープンインターネットから見えないため、攻撃可能領域が減少します。ただし、概念的な「堀」があるわけではなく、敵が (横方向の動きで) 略奪する「城」(または近隣の城) のようなものが露出しているわけでもありません。 
 

ゼロトラストが持つビジネス上の妥当性とは？

簡単に言えば「安全なアジリティ」です。ZTAは、セキュリティの焦点を、共通のビジネス目標へと移します。こうしてIT部門は、ZTAにより「『ノー』ばかり言う部門」から「『実行力を示す』部門」に生まれ変わります。

ゼロトラストアーキテクチャーを用いた企業の安全なデジタルトランスフォーメーションは、より優れたセキュリティ、より高いレジリエンス、より速いパフォーマンス、そして低コストを実現する、企業のIT組織にとって間違いのない選択です。

デジタル競争においては、スピードが重要であり、超高速で変革を推進することが求められます。これまでの環境では、従来のDMZファイアウォールインフラに変更を加えることは、トラフィックの少ない週末のみのスケジュールに限定された、面倒なプロセスでした。クラウドベースのZTAは動的で、稼働中に適応できるポリシーベースのセキュリティを備えています。進化を続けるデジタルチャレンジャーが1日に20回も変更を行うような環境で、月に1回しか変更できないというわけにはいきません。

効率、節約、時間が、ZTAの間接的な影響です

クラウドベースのZTAは、次世代のエンタープライズセキュリティを実現します。しかしその単純な事実以外にも、お客様の企業への具体的な影響も見逃せません。ZTAは、ビジネスソリューションでありながら、ビジネスの利益をもたらすものです。National Oilwell Varco社と「A社」の2つの例を比較してみましょう。

100台のノートパソコン。これは、National Oilwell Varco (NOV) のCIOである Alex PhilipsのITチームが毎月再イメージングを行う必要があった機器の数です。場合によっては、その修正が技術的な問題であることもあります。しかし、ほとんどの場合、機器はマルウェアに感染していました。ノートパソコンを一つひとつ本社に送り、ウイルス除去した後、完全に再構成しなければなりませんでした。さらに、100台というのは平均的な数字で、2013年から2016年にかけては、ウイルス除去が必要になった機器が200台に及ぶ月もありました。

ビジネスの観点から見ると、マルウェアがNOVに与えた影響は多大なものでした。再イメージングは当然ながら手作業で行われ、ノートパソコン1台1台に一定の配慮が必要でした。ダウンタイム、代替機の手配、機械の交換など、感染したノートパソコンをクリーンアップするプロセスのすべての段階で、NOVは、数値化できる影響を受けていました。正常に作動するノートパソコンをできるだけ早く従業員の手に戻すということのために、データが失われ、生産性が低下し、コストが発生し、労力が費やされてきたのです。Philips氏は、そのような事態のない世界を思い描いていました。そして、2016年8月以降、そうした事態はなくなりました。

A社では、自社のデータトラフィックを保護するために、従来のネットワークとセキュリティのインフラに依存しています。A社のITチームは、企業ネットワークの境界を保護するために、本社で従来型ハードウェアアプライアンスの設備を使用しています。その設備にあるそれぞれの単機能装置は、世界中の30の地域オフィスにも同様に配置されています。

A社の各DMZには、12種類の製品から成るハードウェア設備があり、それぞれのアプライアンスが個別のネットワークやセキュリティの目的を果たしています(機能/アプライアンスの例としては、ファイアウォール、URLフィルタリング、アンチウイルス、DLP、SSLインスペクション、ロードバランシング、DDoS保護、集中型VPN、サンドボックスなどがあります)。A社の30あるDMZには、ネットワークとセキュリティのハードウェアインフラを保守・運用するために、それぞれ2人の専任スタッフが必要です。各拠点にある個々のアプライアンスは、保守が必要で、セキュリティパッチも手動で (しかも瞬時に) 更新しなければなりません。このような機器を提供するためには、ベンダーや製品の評価、調達ワークフロー、部門横断的な管理サポート、そして大規模な事前計画が必要となります。

A社のCTOは、60人以上の従業員を管理し、ネットワークおよびセキュリティハードウェアアプライアンス360台の購入、保守、運用を監督しています。CTOの年間項目別予算は、数千万ドルに上ります。

A社のCTOの莫大な予算で賄えるものは何でしょうか。安全性の向上ではありません。安心感でもありません。CTOは、攻撃を仕掛けてくるハッカーに後れを取らないように、最新の脅威やハードウェアの欠陥への対応、つまり火消しをしているばかりで、まるでハムスターの回し車を無益に回しているようなものです。(これらのハッカーは資金が豊富で、時には国が支援しているものもあり、時間の経過とともに方法も洗練され、より破壊的な意図を持つようになっています)
 

「では…なぜネットワークセキュリティにこだわるのでしょうか？」

時代遅れのセキュリティモデルに固執する (あるいは、IT部門が固執することを黙認する) 企業のリーダーは、自らを大きな危険にさらし、生業や組織にもリスクを負わせることになります。このことで、組織のアジリティが損なわれ、不必要なオーバーヘッドが発生し、成長が妨げられ、運用管理が複雑になります。

また、旧式のハードウェアを維持することで、企業のIT組織はネットワークセキュリティ関連の業務に直面することとなり、CTOは増大する敵に対抗するためのNOC（ネットワーク管理センター）とインフラの運営に専念することになります。

安全ではない旧式のインフラを維持している企業のリーダーは、旧式のやり方を正当化できないならば、最新化する責任があります。企業は、何のためにネットワークセキュリティを利用するのでしょう？そのセキュリティは、企業データ、ユーザ、資産、リソースを、最新の敵対的な脅威を阻止するために年中無休で24時間体制で働く数千人のセキュリティ専門家を擁するクラウドエッジサービスプロバイダーよりも安全に保護できるのでしょうか？次のサプライチェーンの脅威を予測できるでしょうか？即座にパッチを適用できるのでしょうか？(それは本当に瞬時の適用でしょうか？)

表をご覧ください。2016年3月、ハッカーはゼロトラストアーキテクチャを採用しているZscalerのお客様を標的にしました。Zscaler Cloud Sandboxは脅威を分析し、わずか30秒で、そのお客様と、世界中に数百万人いるクラウドベースのZscaler Zero Trust Exchange上のユーザすべてのために、脅威をブロックしました。

ゼロトラストアーキテクチャ：ビジネス展開のための新しい (低額の) コスト

National Oilwell Varco（NOV）のCIOであるAlex Philips氏は、ゼロトラストアーキテクチャが実務にもたらす影響を実感しています。同氏は、2016年8月にゼロトラストモデルを採用するなど、NOVの安全なデジタルトランスフォーメーションを主導しました。エッジコンピューティングによるWebプロキシを使ったセキュリティに移行したことで、NOVは、DMZを完全に廃止しました。MPLS (Multi-Protocol Label Switching) ネットワークとハードウェアベースのセキュリティへの依存度を下げることで、NOVは「IT予算を数千万ドル削減」しました。NOVの従業員は、接続パフォーマンスの向上 (高速化)、セキュリティの向上 (SSL/TLSの完全インスペクション)、モバイルデバイスアクセスの向上 (昨年、会社がリモートワークに移行したときは特に重宝しました) を享受できるようになりました。Philips氏とNOVはゼロトラストアーキテクチャを採用したため、ITチームが再イメージングをするノートパソコンは月に1〜2台のみとなり、スタッフは戦略的でビジネスクリティカルな目標に集中できています。

この1年で明らかになったように、企業にとって転換能力は競争上の優位性のために不可欠です。すべての業界で、新しいプレーヤーはアジリティを利用して破壊を起こしています。ゼロトラストアーキテクチャはアジリティを実現します。そして、より優れたセキュリティと、より高いパフォーマンスを実現します。ステークホルダーは、ビジネスリーダーに対しさらに多くを要求しています。そのビジネスリーダーが、運用インフラやワークフロー、オペレーションをゼロから設計したら、今と同じ実績を上げられるでしょうか？そのリーダーたちが、ゼロトラストアーキテクチャを導入して、より優れたセキュリティ、より優れたアジリティ、大幅なコスト削減、大幅なリスク削減を実現 できるとしたら、導入を躊躇する理由はないのではないでしょうか。