ゼロトラストに向けて世界が動き始めている。ゼロトラスト導入の課題は何か。MicrosoftとGoogleの取り組みを交えて紹介する。
セキュリティコンサルタント2|SEC ConsultingのCEOティム・ホルムズ氏によると、ゼロトラストには、ITのセキュリティ対策においてやるべきこと、やってはならないことが集約されている。「十分過ぎる予算とリソース、それに現状を見極められる常識を持ちながら、全ユーザーと私物端末およびシステムが自分たちをハッキングすることはないと唱える企業がいまだにある」と同氏は言う。
ホルムズ氏はITセキュリティのプロフェッショナルに対し、完全無欠のセキュリティを達成する手段としてゼロトラストの検討を促している。同氏によると、侵入テストの目的はシステムに対する不正アクセスを明確化することにあり、通常はシステムを欺いたり、他人に成り済ましたりすることもテストの一環となる。このテストで、不正アクセスされた場合に何が露呈されるかを試す。「もし私がそのシステムやその人物に成り済ますことができれば私は信用され、そのシステムや人物にできることなら何でもできる」とホルムズ氏。
ゼロトラストには、そのエコシステムに関わる全システムと人に対する厳格な認証が求められる。このアプローチの柱の一つは「最低の権限」のコンセプトだ。サイバーセキュリティ業界のベテラン、イーオン・ケリー氏によると、これは必要なシステムにしかアクセスを許さないITセキュリティシステムを意味する。
「このアプローチの結果が境界内のネットワークとシステムのセグメント化(マイクロセグメンテーションとも呼ばれる)だ。ここではネットワークが区画に分割され、それぞれがアクセスと利用に対して認証を要求する。これは基本的に、セキュリティに対する『信じよ、だが検証せよ』のアプローチになる」(ケリー氏)
ITバイヤーがゼロトラストの検討を始めるに当たって出会う可能性が大きい技術の一つに特権アクセス管理(PAM:Privileged Access Management)がある。
ケリー氏によると、これは重要資産に対するセキュリティ対策、コントロール、管理および特権アクセスの監視を支援する一連の製品群のことで、特権アクセス監視はゼロトラストモデルの中核を成す。だがケリー氏は、「最低限の権限はゼロトラストの出発点にすぎない。多くのシステムやアーキテクチャは最小特権やPAMを念頭に置いておらず、そうしたモデルの改造は大掛かりなプロジェクトになる」と警告する。
それが足かせとなって、既存のITインフラにゼロトラストを組み込もうとする企業による採用は遅れている。ケリー氏によると、最も成功しやすいのは組織が何もない所で白紙からスタートする場合だという。Avanadeの英国・アイルランド担当セキュリティプラクティス責任者ジェイソン・レビル氏は、「私の英国の顧客でゼロトラストを優先課題に掲げているところは一つもない」と話す。同氏の経験上、多くの組織はネットワークが平たんで、セグメント化が難しい。
ITインフラはかつて、P2Pと分散されたシステムを配備して構築されていた。そうしたインフラは基本的に、ゼロトラストが求めるマイクロセグメント化のニーズを満たす構造を持たない。P2Pモデルには、Windowsやワイヤレスメッシュネットワークが含まれる。「P2Pではシステム同士がデータを中心として通信するのでゼロトラストモデルが破られ、マイクロセグメント化のモデルも破られる」とケリー氏は解説する。P2Pシステムはまた、データをほとんど、あるいは一切検証することなく共有する。つまり最小権限モデルも破られる。「共有アクセスアカウントに対応しているアーキテクチャやプロセスの場合、ゼロトラストの導入は難しいだろう」とケリー氏は言う。
そうしたレガシーインフラは技術的負債に結び付く。レビル氏が指摘する通り、「ゼロトラストのモデルに変更するビジネスケースは非常に高くつく」。同氏はIT意思決定者に対し、レガシーインフラを設計し直してゼロトラストを実現するよりも、アプリケーションをクラウドに導入してセキュリティを強化することを検討するよう促している。「クラウドに置くことで、ネットワークはセグメント化される」
その上で「Azure Active Directory」を使ってシングルサインオンを利用すれば、クラウドアプリケーションへのアクセスをコントロールできる。ゼロトラストに対する顧客の需要はそれほど大きくないものの、「シングルサインオンのためにAzure Active Directoryに移行する顧客はゼロトラストを達成する。そうした顧客は信頼できる管理された端末でリソースへのアクセスをコントロールできる」とレビル氏は話す。
Azure Active Directoryとの親和性が高いMicrosoftのSaaSを使っている企業であれば、これは簡単にできる。Avanadeの従業員が使う「Power BI」やOffice 365のようなクラウドアプリケーションは、Azure Active Directoryを介して連携させている。一方で、LDAP(Lightweight Directory Access Protocol)を使ったアプリケーションの設計を変更することははるかに難しい。
Microsoftのゼロトラストへの行程について記した同社サイトの記事によると、Microsoftは会社のネットワークに社外からアクセスする全ユーザーに、スマートカードを介した二要素認証(2FA)を導入してもらうことから着手した。これが携帯電話ベースの2FAへと進化し、後に「Microsoft Authenticator」になった。Microsoftはユーザー認証のために生体認証を導入する野心について次のように記している。「われわれが前進する中で、現在進行中の最大かつ最も戦略的な取り組みは、パスワードを排除してWindows Hello for Businessのようなサービスを通じた生体認証に切り替えることだ」
Microsoftによる導入の次の段階には端末登録が含まれていた。「われわれは端末の管理(クラウド管理または従来型のオンプレミス管理を通じた端末管理登録)を必須とすることから着手した」と同社は説明する。「次に『Exchange』や『SharePoint』『Teams』といった主な業務用アプリケーションにアクセスする端末が健全な状態であることを条件とした」
多くの組織がそうであるように、Microsoftのゼロトラストへの移行はかなり段階を踏んだ行程をたどっている。同社はユーザーが必要とする主要サービスやアプリケーションをインターネットからアクセスできるようにしているという。これは、レガシーな社内ネットワークアクセスから、必要に応じてVPNが使われるインターネットファーストのアクセスへと切り替える必要があることを意味する。同社はVPNへの依存度を下げたい意向で、それによって会社のネットワークにアクセスするユーザーはほとんどの場面で減少する。
契約業者やサプライヤー、ゲストユーザーなどが管理対象外の端末からアクセスしなければならない場合もあることを認識して、Microsoftはアプリケーションや完全なWindowsデスクトップ環境を利用できる管理型仮想サービスの確立を計画している。
Googleは2019年、同社のゼロトラストセキュリティモデル「BeyondCorp」の5年間の進捗(しんちょく)状況をブログで報告した。Googleプログラムマネジャーのリオール・ティシビ、プロダクトマネジャーのプニート・ゲール、エンジニアリングマネジャーのジャスティン・マクウィリアムズの3氏は次のように記している。「われわれの使命はGoogleの従業員全員に、信頼されていないネットワークからさまざまな端末で、クライアントサイドVPNを使わずにうまく仕事をしてもらうことだった」
3氏はBeyondCorpを構成する基本原則を打ち出した。
5年たった今、経営陣の後押しがゼロトラストの実装に不可欠であると同ブログで説いている。さらにティシビ、ゲール、マクウィリアムズの3氏は正確なデータの大切さも強調した。「アクセスの決定は、自分が入力するデータの質に左右される。もっと具体的に言うと、信用分析に左右される。これは従業員情報と端末情報の組み合わせを必要とする。このデータが信用できなければ、不正確なアクセス判断、最適とは言えないユーザーエクスペリエンスにつながり、最悪の場合はシステムの脆弱(ぜいじゃく)性が増える」
英Computer Weeklyが取材した専門家によると、ゼロトラストを成功させるには、ユーザーの働き方にシームレスに統合することが不可欠だ。ゼロトラストのユーザーエクスペリエンスを向上させる一つのアプローチが条件付きアクセスであり、Avanadeのレビル氏によると、これによって必要なときにだけセキュリティを可視化する手段を提供できる。
だがケリー氏によると、中央で管理するゼロトラストフレームワークは、企業がデジタルトランスフォーメーションを通じて達成しようとしている柔軟性やアジャイル性に反する場面もある。「DevOps環境にゼロトラストを実装するには、そうした環境が非常に動的であることを前提として、このパラダイムをセグメント化して強制する追加的な技術とインパクトプロセスを必要とする」と同氏は言う。「何らかの形の自動化なしにDevOps環境にゼロトラストを適用して手作業の局面を排除すれば、単純に拡張性を失い、パイプラインスループットを劇的に低下させる」
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
アプリケーションセキュリティやクラウドセキュリティなどの各チームが分断している企業は少なくない。このような“部門間の壁”を狙うサイバー攻撃が増加している中、組織全体でリスクを低減するためにはどうすればよいのか。
昨今、クラウドテクノロジーを導入してさまざまな成果を挙げる企業が増えている。業務の安全性を確保するためには、ITアーキテクチャ全体を保護することが必要だ。適切なセキュリティとコンプライアンス対応は、どう実践すればよいのか。
アタックサーフェスを狙ったサイバー攻撃の増加を受け、ビジネスに甚大な被害が発生するリスクが深刻化している。このような状況においては、内部と外部の両面からアタックサーフェスを可視化する必要がある。
サイバー攻撃に対する日常的な予防策として、PCセキュリティの点検は欠かせない。だが、PC点検は時間も手間もかかり、適切にソフトのバージョンアップができていない現場も目立つのが現状だ。PC点検から対応までを自動化できないものか。
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Design Cells
