お問い合わせ

ますます拡大するサイバーセキュリティ上の脅威を考えるうえで、不可欠なキーワードとなるのが「ゼロトラスト」。「トラストがゼロとはどういうことなのか」「それは製品やソリューションの話なのか」といった声もたびたび聞かれ、その内実の理解は進んでいないようだ。そこで、ゼロトラストを理解するための5つのポイントをNECの釜山公徳が語った。

ゼロトラストを理解するために釜山が挙げた1つめのポイントは、ゼロトラスト自体「リソースにフォーカスしたサイバーセキュリティのパラダイム(考え方)」だということだ。要するに、ゼロトラストが従来の境界型セキュリティのようにネットワークをベースとせず、IDやデバイス、あるいはデータといったリソースを単位としてセキュリティのあり方を捉えるものという点である。

ポイントの2つめは「継続的評価」。これは文字通り、通信やアクセスを常に評価していくということである。「昨日安全と評価された端末やIDが、今日は乗っ取られているという可能性もあるわけで、これに対しゼロトラストでは通信やアクセスをセッション単位で捉えて、継続的に評価する必要があるとしています」と釜山は説明する。

また3つめは、「攻撃の発生源は外側からだけでなく内側も含む」こと。内部不正が多発している現状などを考えても、攻撃はどこからでも行われるものと理解する必要がある。

さらに4つめのポイントとなるのが「性悪説」。釜山は「セキュリティに100%はなく、何かしら不正なものが混入したり、侵害される要素というものが含まれたりしていることを前提に評価を行う必要があります。これは2番の継続的評価のところにつながってくるポイントです」と言う。

そして最後、5つめとなるのが「アーキテクチャ思考」だ。ゼロトラストではリソース単位でセキュリティを評価するわけだが、そこでは各リソースを総体として捉え、何がどのようにして起こり、それにどう対処すべきかを全体的な視点で考える必要がある。

Azure上での実装にかかわる情報も数多く公開

以上のようなゼロトラストの考え方は、NIST(米国標準技術研究所)の公開する「SP800-207：Zero Trust Architecture(ZTA)」において明らかにされているが、マイクロソフトではAzure上でのゼロトラスト施策実践に向けた独自の指針を示している。それは「明示的に確認する」「最小特権アクセスを使用する」「侵害があるものと考える」というもので、どちらかというと現場視点でポイントを絞ったもの。

例えば、明示的に確認するという点では、単にID・パスワードだけではなく多要素認証(MFA)の採用や、ハイブリッドクラウド環境を含めたAzure Active Directory参加の有効化、モバイルデバイス管理のためのMicrosoft Intuneの利用などのアプローチを示している。また、3つめの侵害があるものと考えるについては、例えばセキュリティホールになり得るレガシー認証のブロックや、Azure条件付きアクセスとMicrosoft Cloud App Securityの統合などの手段も提示している。

さらにマイクロソフトでは「ゼロトラストジャーニー」という成熟度モデルも用意。「ゼロトラストの実装の進め方についてのガイダンスとなり得るもので、具体的には実装の成熟度を『Traditional』『Advanced』『Optimal』の3段階で定義。各段階で実装されているべき施策が示されています」と釜山は紹介する。

Traditionalが静的にさまざまなルールが実装されたフェーズであるのに対し、Advancedではユーザービヘイビアの監視・評価によるプロアクティブな脅威の特定と対処が可能となり、さらにOptimalでは、リアルタイムな分析や、マイクロクラウドプリミターやマイクロセグメンテーションなどが実装され、脅威検出やレスポンスの自動化が実現されているといった具合だ。

そのほか、ゼロトラストにかかわる取り組みを進めるにあたって、インフラ環境自体をどのように評価すべきかについての有用な参考情報として、Azure上でのシステム設計のベストプラクティス「Azure Well-Architected Framework」の活用も大いに推奨される。

最後に釜山は「セキュリティは投資であり、投機でもなければ、単なるコストでもありません。安全なビジネスの遂行において不可欠な価値を中長期的な視点に立って追求していく――。そうした認識に立って、セキュリティ施策の取り組みを積極的に進めていっていただければと思います」とあらためて強調した。

お問い合わせ