失敗しない「ゼロトラスト」導入法：実は困難なゼロトラスト

今、セキュリティかいわいでは「ゼロトラスト」がもてはやされている。だが導入・実践は困難でコストもかかる。ゼロトラストの効果を早期に得ることができる導入方法を紹介する。

[Simon Persin，Computer Weekly]

　デジタルトランスフォーメーションは、ネットワークの境界に制限されることなく業務の運用を可能にする。このパラダイムシフトには、クラウドホスト型のシステムやサービスを導入することや、業務プロセスを専門テクノロジーパートナーに外部委託することも含まれる。だが、これによって社外へと広がるネットワーク上の機器、システム、アプリケーションの制御や責任の境界が曖昧になる。その結果、セキュリティの課題が飛躍的に増加する。

関連記事

• Intel SGXをコアとしたコンフィデンシャルコンピューティングの実現
• クラウド時代の認証方式SDP（Software Defined Perimeter）導入事例
• ブロックチェーンはセキュリティの「魔法のつえ」ではない
• 従来型ネットワークセキュリティからの解放
• 複雑化するデータリスクに対応する統合リスク管理のアプローチ

　この状況をさらに悪化させるのがシャドーITだ。個人や部門が各自の職務のためとはいえ、IT部門の管理が及ばない製品やサービスを購入すると、それらはセキュリティ標準プロセスの管轄外になる。

　このような変化によって、これまで境界を利用してきたネットワークセキュリティ戦略の有用性が失われる。そこで重視されるようになってきたのがゼロトラストによってセキュリティを確保するアプローチだ。ゼロトラストでは、認証済みのユーザーでも悪意を持った操作を行う恐れがあると想定してアクセス許可を設定する。

　ゼロトラストの考え方は単純だが、何も信頼しないことが前提となるため導入と管理が複雑になり、リソースを大量に消費する恐れがある。業務で実際に必要なレベルを超えるセキュリティが設けられる可能性もある。それによってセキュリティが厳格かつ過度になり、業務効率が損なわれるかもしれない。そこで、ゼロトラストが本当に必要なのかそれとも願望にすぎないのかをまず考える必要がある。

　重要なのは、着信トラフィックと発信トラフィックを両方制御できるかどうかだ。例えば、オンラインショッピングサイトで顧客が在庫を確認できるようにするという戦略を決めたとする。その場合、在庫情報を公開する必要がある。そうなると、信頼していない人々もその情報を見られるようになる。同様に、政府が企業データへのアクセスを合法的に要求できる国もあれば、技術的な暗号化レベルが不適切な場合もある。ゼロトラストポリシーを追求するかどうかの決定は、企業のリスク許容度と技術力次第だ。

リスクベースのアプローチ

　それでもゼロトラストが確かな目標であり続けるならば、1回限りの改革として導入するのは非現実的で不可能になる恐れが高いことを理解しなければならない。ゼロトラストによって生じる例外の量や業務に起きる混乱、そして言うまでもなく導入にかかる実際の直接的コストを考えれば、とても実行可能とは言い難い。

　そこで重要になるのが、リスクベースのアプローチで保護すべきアプリケーション、サーバ、機器、ユーザー、データを特定することだ。制御の点から優先順位を付け、防御を強化してゼロトラストを導入することが特に重要だ。その後運用プロセスを開始しながら重要な資産のみに例外を設ける。

　同時に、こうした優先順位付けはネットワークの残り部分のプロトタイプとなり、機器構築の「中核」となる。最もリスクが高く複雑な脅威を伴う重要なアプリケーションを最初に強化することで、最高の投資価値が実現する。重要なのは、成すべきことと、それをどの程度積極的に行う必要があるかを理解することだ。

　優先順位付けは展開のアプローチも決める。重要な領域のセキュリティ業務と監視を徐々に強化し、ビジネスクリティカルなアプリケーションの重要度に基づいて付加的なセキュリティ（アクセス主導のマルウェアスキャンなど）を施す。

技術仕様

　導入するのは、既知のものから未知のものまで全て監視して不審物を検出できる能力を持つシステムだ。ワンストップソリューションが魅力的に思えるが、長期的に見ればコストが高く、導入と運用が難しくなる恐れが高い。

　アプリケーションと端末にゼロトラスト機能が組み込まれていれば手間は減るが、レガシーシステムも考慮に入れなければならない。レガシーシステムがモデルに準拠するには追加のコンポーネントが必要になる。ソリューションは、脅威の状況と同じ（早い）ペースで進化できるよう、業務の成長に合わせて拡張可能かつ時代遅れにならないようにする必要がある。

　一切を信頼しないことで、定義済みの目標に対して非常に多くの例外が生まれる。このためリソースの監視には、業務の混乱や信頼目標の急速な侵食を回避するために発生する全てのインシデントに対応できるだけの人材と処理能力が必要になる。

ゼロトラストの実践

　強力なID管理と端末管理は不可欠だ。認識しないユーザーと端末に対しては、全てのアクセス権を拒否しなければならない。

　データフローのマッピングでは、アクセスや更新の方法の他、データの送信元と送信先を示す。オンラインにする必要がないアプリケーションやファイルサーバにアクセスする不要なアプリケーションはブロックする。

　業務処理アクティビティーを余すことなく含めようとしても、見逃すことも起こり得る。この時点で、必要な機能を含むアプリケーションが突如無効になって混乱が起きることで、それまで知られていなかった「重要な」業務プロセスが特定されることが多い。

　シャドーITはこの可能性を増幅する。というのも、ITセキュリティチームは、自身があずかり知らない業務ソリューションを警告なしに一方的にブロックする可能性が高いためだ。サービスを元に戻すには、IT部門が即座に対応して、ゼロトラストが特定した誤検出を修正しなければならない。同時に経営幹部は、安全な方法で技術を使用する方法、そして長期的にはITセキュリティチームや運用チームと早くから効率的に連携する必要性について直ちに学ばなければならない。

　ネットワーク、アプリケーション、インターネットのさまざまな部分の間を流れるデータフローは、データ統合ツールによって1カ所で管理することが可能だ。業務の正当性、合意済みの契約条項などの技術以外の情報も事実上技術チャネルを流れることを考えておけば、さらに適切な保護プロトコルの導入が可能になる。

　定期的に端末検出チェックを行うことで、不正端末が接続しないようにはできる。だが、予期しない端末が現れた場合に対処する計画を立て、このチェック体制を強化しなければならない。ID管理と端末管理を適切に設定すれば、未承認の通信を全て防ぐことが可能になる。だが、不正端末が別の制御を迂回（うかい）する恐れもある。また、ITセキュリティチームへの事前の知らせなく業務上の変更が行われたことが示される場合もある。

　ネットワークは、企業の進化に従って変化する必要がある。ゼロトラストモデルは、新しいアプリケーションや新しいアクセス方法の登場に適応しながら、残りのIT資産のゼロトラスト状態が損なわれないようにしなければならない。

　業務効率を高めようとすると、侵入を許しやすいネットワーク境界の必要性が増す。ゼロトラストは最新のソリューションを提供するが、万能薬ではない。他のあらゆるIT投資と同様に厳しい評価を実施して、企業にも、現在直面するセキュリティ問題にも、確実に「適したもの」にしなければならない。