セキュリティ

ゼロトラストを正しく理解--専門家が説明する定義、メリット、よくある誤解

ゼロトラストモデルの注目度が高まっている。セキュリティの専門家が、ゼロトラストの定義、良い面や悪い面などについて説明した。

 パンデミックが原因で、ゼロトラストというサイバーセキュリティモデルの真価が認められるようになった。だが、サイバーセキュリティに関する多くのことと同様に、ゼロトラストにも良い面と悪い面、醜い面がある。それについて説明する前に、ゼロトラストが意味するものをはっきりさせておく必要がある。サイバースペースでは多種多様な定義が紹介されているからだ。

 Help Net SecurityのマネージングエディターのZeljka Zorz氏は、多くの人にとって、ゼロトラスト関連の情報の確かな情報源になっている。Zorz氏は自身の記事「Preventing insider threats, data loss and damage through zero trust」の中で、Ivantiの公共部門担当バイスプレジデントであるBill Harrod氏の以下の言葉を引用した。「要するにゼロトラストモデルとは、適切な人やリソースだけが、適切な状況下で、適切なデバイスから、適切なデータとサービスに適切にアクセスするように強制するものだ」

 Lance Whitney氏は米TechRepublicに寄稿した記事「ゼロトラストモデル導入の5つのヒント--進化するサイバー攻撃への備え」で、ゼロトラストの確立と実施の方法を紹介した。

編集部おすすめの関連記事

 Zorz氏は、Help Net Securityに先ごろ掲載された記事「Zero Trust creator talks about implementation, misconceptions, strategy」において、ON2ITのサイバーセキュリティ戦略担当シニアバイスプレジデントであるJohn Kindervag氏とゼロトラストについて議論し、私たちがやっていることの具体的に何が正しくて、何が間違っているのかを尋ねた。ぜひ知っておいてほしいことだが、Kindervag氏はゼロトラストの生みの親だ。

ゼロトラストの良い面

 Kindervag氏はZorz氏に対して、ゼロトラストの有用性の裏付けとなるものを見つけたければ、米国家安全保障局(NSA)の職員に目を向けるだけでいいと述べた。NSAは世界有数の安全な環境を有しているとされている。同機関はゼロトラストが進むべき道であると確信しており、論文「Embracing a Zero Trust Security Model」にそう記している。

 「ゼロトラストでは、保護される対象が重視されるため、きめ細かな『キプリングメソッド』ポリシーステートメントに当てはまらないトラフィックはブロックされる」。Kindervag氏はこのように説明した。「したがって、ランサムウェアとデータ抜き取り(実際の侵害)の両方に利用される(コマンド&コントロール)ノードへのアウトバウンドトラフィックは、自動的にブロックされる」

 Kindervag氏はゼロトラストの実施が成功する理由として、キプリングメソッドを支持している。同氏はPalo Alto Networksのブログ記事「All Layers Are Not Created Equal」に次のように書いている。「私は長年にわたりキプリングメソッドを活用して、企業によるポリシーの定義とゼロトラストネットワークの構築を支援してきた。キプリングメソッドにより、セキュリティチームは定義を徹底することができ、アプローチがシンプルであるため、技術に詳しくない経営幹部を含めた誰もが、サイバーセキュリティポリシーを理解できるようになる」

ゼロトラストの悪い面

 ゼロトラストの悪い面は、現在広まっている誤解に関係している。「Kindervag氏が懸命に払拭しようとしている誤解には、ゼロトラストによってシステムが『信頼できる』ものになるという考えや、ゼロトラストはIDと多要素認証(MFA)だけに関係するものという解釈がある」とZorz氏。「ゼロトラストはデジタルシステムから信頼を排除する。信頼は悪用されるおそれのある脆弱性だからだ」

 「ゼロトラストがMFAと同じものであるなら(多くのベンダーがそう主張している)、Snowden氏やManning氏による情報漏えいは起こり得なかった」とKindervag氏は説明する。「MFAとIDの非常に強力なソリューションがあったが、誰も認証後に彼らのパケットを確認しなかった」

 その他にKindervag氏が懸念しているのは、ベンダーがゼロトラストの意味を再定義して、自社製品が持つ能力と一致させようとしていることだ。Kindervag氏によれば、「ゼロトラスト製品」は存在しないという。同氏はZorz氏に次のように語った。「ゼロトラスト環境で効果的に機能する製品はあるが、ベンダーが『ゼロトラスト』製品の売り込みに来たとしたら、そのベンダーはゼロトラストの概念を理解していないと考えていいだろう」

 Kindervag氏はさらにこう語った。「導入を支援するマネージドサービスプロバイダーとの契約を検討しているなら、その企業がゼロトラストをどう定義しているか聞いてみよう。『それは製品なのか、それとも戦略なのか』と。次に、プロバイダーからの最初の質問が、『何を保護しようとしているのか』であることを必ず確認してほしい」

ゼロトラストの醜い面

 そもそも、ゼロトラストという名称には好ましくない含意がある。表面的には、経営陣が従業員を信頼していないという印象や、ネットワーク上でのあらゆる行動が無害と証明されるまで疑わしいという印象を受ける。「こうした考え方は、デバイスやその他のデジタル機器のセキュリティアーキテクチャーについて議論するときには生産的かもしれないが、企業の最も貴重な資産である従業員に関するポリシーにこの考え方が反映されないよう、セキュリティチームは注意する必要がある」。こう語るのは、Kolideの創設者で最高経営責任者(CEO)を務めるJason Meller氏だ。

 「プライバシーが脅かされていると感じるユーザーや、リソースへのアクセスが必要な理由を繰り返し弁明する気力がないユーザーは、やがて個人用のデバイスやサービスを使用するようになり、さらに危険な新しい問題、すなわちシャドーITを生み出してしまうだろう」とMeller氏は続ける。「いら立たしいことに、ユーザーを信頼しないことの悪影響として、ユーザーは多くの場合、信頼できない存在にならざるを得ない。その結果、ITとセキュリティの担当者は、より強権的なゼロトラストベースのポリシーを提唱するようになる」

 Meller氏はインタビューで、ゼロトラストの導入を検討している組織が最初にすべきことは、人事部門、プライバシーの専門家、エンドユーザー自身の代表者で構成されるワーキンググループの結成だと指摘した。同氏はさらに次のように述べている。「このグループは、個人データを含む可能性のあるデバイスを扱うITチームとセキュリティチームの関与規則を検討するとともに、それらの規則をセキュリティチームと従業員の両方に十分に伝達する必要がある」

結論

 Kindervag氏は最後に、ゼロトラストは巨大企業だけのものではないのか、という懸念に対処した。「世界最大の組織と世界最小の組織の両方が実践できるものだ」と同氏は説明する。「また、現在の最も恐ろしいサイバー脅威であるランサムウェア攻撃とデータ侵害を防ぐうえで有効だ」

提供:iStockphoto/milo827
提供:iStockphoto/milo827

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. チャンスの年?経営・財務から見る2021年を考察する-MITテクノロジーレビュー・インサイト日本語版
  2. ゼロトラストとはなにか?本当に理解すべきはゼロトラストではなく先にある目的
  3. 成功事例5社に見る、飲食・小売り、美容業界の店舗経営の課題を解決する「デジタル化」の道のり
  4. 「伝説のひとり情シス」の視点とは?刺激の少ないテレワークでは自分で変化を起こす必要がある!
  5. 破壊的なサイバー攻撃から身を守る「ビジネスレジリエンス」の重要性とその構築手法

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]