決して信頼せず、常に検証：ゼロトラストのセキュリティモデル

近年、組織の間で「ゼロトラスト」モデルの採用が広がりつつあります。2019年のデータによると、情報セキュリティチームの78%が、このモデルを導入済み、または移行の計画を進めています（英語）。今回は、ゼロトラストの概念を説き明かし、企業にとって魅力的である理由を明らかにします。

境界がなくなる

「境界セキュリティ」は企業インフラの保護で使われる一般的な用語で、インフラ外から企業のリソースに接続しようとするありとあらゆる試みを徹底的にチェックして封じ込めることを指します。基本的な考え方は、企業ネットワークと外界との間に境界を設けることです。境界の内側、つまり企業ネットワークの内部は信頼ゾーンとなり、その中のユーザー、デバイス、アプリケーションにはある程度の自由が与えられます。

信頼ゾーンの範囲が、ローカルネットワークとそこに接続する固定デバイスに限られていたころ、境界セキュリティは有効でした。ところが、モバイルデバイスの数が増え、社員によるクラウドサービスの利用が増えたことで、「境界」という概念が不明瞭になりました。最近では、企業リソースのうち少なくとも一部は社外に、場合によっては海外に置かれています。壁を高くして守るのは、まるで現実的ではありません。信頼ゾーンに侵入して自由に動き回ることは、格段に容易になっています。

2010年、Forrester Researchの主任アナリストであるジョン・キンダーバグ（John Kindervag）氏が、境界セキュリティに代わるものとして提唱したのが、ゼロトラストの概念です。境界の外部と内部という区別をやめてリソースに集中しようという提案でした。ゼロトラストとは要するに、信頼ゾーンというものを一切なくすことです。ゼロトラストモデルでは、ユーザー、デバイス、アプリケーションが、企業リソースへのアクセスをリクエストするたびにチェックを受けます。

ゼロトラストの実際

ゼロトラストに基づくセキュリティシステムの導入に、1つに決まったアプローチがあるわけではありません。とはいっても、そうしたシステムの構築に役立つ中核的な原則はいくつか挙げることができます。

アタックサーフェスではなく保護サーフェス

ゼロトラストの概念で一般的に語られるのは「保護サーフェス」です。保護サーフェスには、機密データ、インフラのコンポーネントなど、組織が不正アクセスから保護すべきものがすべて含まれます。保護サーフェスはアタックサーフェスよりかなり小さいのですが、これは、アタックサーフェスには脆弱性が潜在するインフラ資産、プロセス、関係者がすべて含まれるためです。したがって、保護サーフェスの安全を確保するほうが、アタックサーフェスをゼロにするより容易です。

マイクロセグメント化

境界外部での防御に備える従来のアプローチとは異なり、ゼロトラストモデルは、企業のインフラやその他リソースを小さいノードに分解します。ノードの構成要素は、1台のデバイスや1つのアプリケーションといった小さな単位になることもあります。結果として極小な境界がいくつも生まれ、そのそれぞれにセキュリティポリシーとアクセス権限が割り当てられます。そのため、アクセスの管理を柔軟に行えるようになり、企業ネットワーク内で脅威が無制限に拡散するのを阻止することができます。

最小権限の原則

各ユーザーには、それぞれの業務の遂行に必要な権限しか付与されません。したがって、個々のユーザーアカウントがハッキングされても、侵害されるのはインフラの一部だけで済みます。

認証

ゼロトラストの原則では、企業情報にアクセスしようとする試みはすべて、安全が確認されるまで潜在的脅威として扱う必要があります。そのため、セッションごとに、各ユーザー、各デバイス、各アプリケーションは認証手順を通過し、該当するデータへのアクセス権があることを証明しなければなりません。

総合的な管理

ゼロトラストを効果的に導入するために、ITチームは業務用のあらゆるデバイスとアプリケーションを管理できる必要があります。エンドポイントやインフラの他のコンポーネントで何かが起きるたびに、その情報を記録し分析することも必須です。

ゼロトラストの利点

業務のモバイル化が進むにつれて境界は不明瞭になる一方ですが、ゼロトラストはそんな境界の保護を不要にするだけでなく、別の問題も解決します。特に、プロセスを実行するものを何度でもチェックすることから、たとえば、社員の退職や職責変更といった場合にアクセス権の停止や調整で対応するなど、変化に適応しやすくなります。

ゼロトラストを導入する際の課題

ゼロトラストに移行しようとしても、組織によっては時間がかかり、困難が伴う可能性があります。社員が会社の備品と個人のデバイスをどちらも業務に使用している場合、すべての備品をリストアップする必要があります。その上で、業務に必要なデバイスに関する企業ポリシーを設定し、リストにないデバイスからの企業リソースへのアクセスはブロックしなければなりません。複数の都市や国に拠点がある大規模企業になると、そのプロセスには時間がかかります。

ゼロトラストへの移行に順調に適応できるシステムばかりではありません。たとえば複雑なインフラが社内にある場合、現在のセキュリティ標準に対応できない古いデバイスやソフトウェアが残っている可能性があります。そうしたシステムの入れ替えにも、時間と費用がかかります。

フレームワークの変化に対する備えが、社員の側にできていない場合もあります。インフラのアクセス制御や管理を担うことになるIT部門や情報セキュリティ部門のメンバーも、同様に備えができていない可能性があります。

以上の点を踏まえると、多くの場合、段階的なゼロトラスト移行計画が必要になると言えそうです。たとえばGoogleも、ゼロトラストに基づいたBeyondCorpフレームワークの構築に7年を要しました（リンク先は英語）。拠点が少ない法人組織であれば、導入期間が大幅に短くなるかもしれませんが、それでも数週間や数か月にまで短縮できるとは期待しない方がよいでしょう。

これからのセキュリティ、ゼロトラスト

このように、従来の境界セキュリティから移行して、ゼロトラストのフレームワークで保護サーフェスを確立するのは、利用可能なテクノロジーを駆使すると想定してもなお困難なプロジェクトです。エンジニアリングの点からも、社員の意識を変えるという点からも、容易にはいかず、時間もかかるでしょう。しかし、情報セキュリティ関連の支出が削減され、インシデントの発生数とそれに伴うダメージが抑えられるため、企業にとって利点があることは間違いありません。