検索
特集/連載

8割が導入済みでも「形だけ」―― ゼロトラスト移行の”理想と現実”「導入だけ」では攻撃者に勝てない

ゼロトラストの導入率は8割を超えるが、多くの企業がツール導入の段階とどまっているのが実態だ。攻撃者の「横移動」を許さない真の防衛には、AIエージェントやAPIまで網羅した戦略的な活用が必要となる。本記事では、情シスが陥りやすい「ツール偏重」のわなを指摘し、優先順位に基づいた現実的な移行ステップを詳説する。

Share
Tweet
LINE
Hatena

 ゼロトラストを採用する組織は増えているものの、多くはまだ導入の初期段階にある。しかし、攻撃の件数や速度、巧妙さが増す中、セキュリティチームはその取り組みを加速させるよう迫られている。

 「ゼロトラストの採用率は1、2年前よりも現在の方が確実に高まっている」と語るのは、セキュリティコンサルティング企業Kyndrylのプロフェッショナルサービス担当バイスプレジデント、ジミー・ニルソン氏だ。

 Zscalerの「ThreatLabz 2026 VPN Risk Report」によると、調査対象組織の84%がゼロトラストを導入済み、あるいは導入を計画している。これは前年の81%、前々年の78%から上昇している。

 しかし、これらの数字は一面にすぎない。研究者やセキュリティアドバイザーらは、企業が直面する多くの脅威に対抗する上でのゼロトラストの真価を、企業はようやく引き出し始めたばかりだと指摘する。

 ゼロトラストがどのような力を持ち、具体的にどのような場面で活用できるのかを詳しく見ていこう。

ゼロトラストの機能

 サイバーセキュリティの専門家は、ゼロトラストをアプローチ、フレームワーク、哲学、そしてセキュリティモデルとして捉えている。グローバルビジネスコンサルティング企業Protivitiのセキュリティおよびプライバシー担当マネージングディレクターのマイク・マンデー氏は、これを「エンジニアリング戦略」と呼んでいる。

 ゼロトラストは、ユーザー、デバイス、システム、ワークロード、ネットワークセグメントのいずれも、たとえ企業の内側にあったとしても「本質的に信頼すべきではない」という考えに基づいている。その代わりに、リソースにアクセスする前に認証と検証を行う必要がある。全てのアクセス要求は、ID、デバイスの状態、コンテキスト(背景情報)、リスク信号に基づいて認証・認可され、かつ継続的に検証されなければならない。

 「認証プロセス全体がエンドツーエンドで実行されなければならない」とマンデー氏は説明する。

 本質的な信頼を排除し、認証要件と継続的な検証を追加することで、ゼロトラストは、認可および認証されたエンティティのみが組織のIT環境やデータにアクセスできるようにする。また、万が一攻撃者が侵入した場合でも、環境内での自由な移動を防ぎ、被害を封じ込めるのに役立つ。

 ゼロトラストというモデルは、2010年に当時Forrester Researchのアナリストだったジョン・キンダーバグ氏によって提唱された。同氏を始めとする初期の推進者たちは、企業環境の内部にあるものは全てデフォルトで信頼する従来の「城郭型(境界型)」セキュリティに代わるものとして、ゼロトラストの必要性を説いた。強固な境界と脆弱(ぜいじゃく)な内部というモデルはファイアウォールに依存している。しかし、クラウドコンピューティングなどの普及で境界が消失しつつある現代で、この手法は十分な保護を提供できなくなっている。

 ゼロトラスト環境を実現するには、セキュリティ技術とITアーキテクチャのパターンや原則を組み合わせる必要がある。必要な技術としては、IAM(ID・アクセス管理)、MFA(多要素認証)、ZTNA(ゼロトラストネットワークアクセス)、EDR(エンドポイントでの検出と対応)ツールなどが挙げられる。また、ITアーキテクチャとしてはマイクロセグメンテーションとマイクロペリメーター(極小の境界)が重要な役割を果たす。

 「ゼロトラストは終わりなき旅だ。ネットワークとデータを保護するという特定の課題を解決するために、さまざまなテクノロジーを活用する手法なのだ」と、Info-Tech Research Groupのプリンシパルサイバーセキュリティアドバイザー、フリッツ・ジャン=ルイ氏は語っている。

ゼロトラストの主要なユースケース

 組織はゼロトラストの原則をさまざまな方法で適用できる。主なユースケースは以下の通りだ。

  • オフィス勤務の従業員

 ゼロトラストにより、社内で働く従業員が必要な時に、業務に必要なシステムとデータのみにアクセスできるよう制限する。これにより、内部不正によるリスクを抑制できる。

  • リモートワーカー

 ZTNAなどを用いたコンテキストベースのセキュリティにより、安全なデバイスとネットワークからのみアクセスを許可する。リモートワーカーは、認可された範囲内で、必要な時にのみリソースへアクセスできる。

  • サードパーティー

 外部の請負業者、パートナー、顧客などでも適用できる。アクセスを厳密に制御することで、意図しない情報漏えいや、外部組織を介したデータ侵害のリスクを低減する。

  • システム間またはマシン間のアクセス

 リクエストごとに継続的な認証を求める。ゼロトラストはマイクロセグメンテーションを通じて保護を強化する。これにより、一方のサービスやデバイスが侵害されても、攻撃者が他の領域へ自動的に侵入することを防げる。

  • エンドポイントとリモートデバイス

 運用技術(OT)やIoT機器を含むデバイスについても、ネットワークやデータへのアクセスを許可する前に認証と検証を必須とする。

  • APIへのアクセス

 全てのAPIリクエストに、発信元を問わず厳格かつ継続的な認証・認可を行う。これにより、正規のアクセスを許可しつつ、不正な横移動を防ぐ。結果として、万が一の侵入時にも被害範囲を最小限に抑えられる。

  • データ

 生成AIや大規模言語モデル(LLM)の時代で、AIのアイデンティティーと役割を認証・検証することでデータを保護する。Gartnerは、2028年までに50%の組織がデータガバナンスにゼロトラストを採用すると予測している。未検証のAI生成データが急増する中で、この重要性は高まっている。

  • AIエージェント

 AIエージェントでも「デフォルト拒否」を適用する。エージェントごとに個別のIDを割り当てて追跡可能にし、資格情報の共有を禁止する。継続的な認証とタスクベースの権限付与に加え、行動分析やセマンティック分析も行う。

導入戦略と課題

 ゼロトラストを導入、あるいは進化させるには、新しい考え方を醸成することが重要だ。しかし、ニルソン氏によれば、多くの組織がこの変革に苦労しているという。

 「多くの組織が成功しないのは、サイバーセキュリティ技術そのものに注目しすぎているからだ。結局、バラバラの技術が乱立することになり、これは20年前のセキュリティアプローチと何ら変わらない」とニルソン氏は指摘する。「ゼロトラストには新しい運用モデルが必要だ。セキュリティアーキテクチャへの取り組み方そのものを変えなければならない」(ニルソン氏)

 また、ニルソン氏らは、デジタル環境のあらゆる領域に一度にゼロトラストを導入することの危険性を警告している。

 ジャン=ルイ氏は「ゼロトラストはエコシステム全体を保護できるが、現実的に全ての要素を一度に保護するために必要なツールを導入するのは非常に困難だ」と話す。また、レガシーシステムへの適用や、ユーザー体験とセキュリティ要件の両立も課題となる。

 ジャン=ルイ氏は、組織が「守るべき領域」を特定することを推奨している。これは、膨大なアタックサーフェス(攻撃対象領域)の中でもとりわけ保護が必要な部分を指す。その上で、ID、デバイス、アプリケーション、データ、ネットワークの5つの領域で、可能な限り横断的に機能するツールを使用してゼロトラストを適用すべきだという。

 ニルソン氏も同様の戦略を推奨し、ユースケースをできるだけ具体的に定義するよう助言している。「まず特定のユースケースでゼロトラスト戦略を構築し、それを次の展開への青写真として活用するのが良い」。

 「何を保護しようとしているのかを常に考え、その資産がビジネスでどのように使われ、他のシステムとどう連携しているかを理解した上で、その周囲にセキュリティを構築すべきだ」とニルソン氏は締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る