I don't want you to misunderstand Zero Trust - the correct definition as taught by its proponents.
- 「ゼロトラスト」はJohn Kindervag氏が2010年に提唱したセキュリティの考え方で、「守るべき資産を脅威から守るための戦略」である。
- ゼロトラストの本質は「常に監視、検証、確認する」ことで、アクセスする人やデバイスを一旦は信用せず、資産へのアクセスを適切に制御する。
- 現在はゼロトラストが世界中で重要視されているが、単なる製品ではなく戦略であることが誤解されがちである。
- Kindervag氏は現在Illumioでゼロトラストの実現に取り組んでおり、日本市場にも注力している。
- ゼロトラストへの移行は容易ではないが、従来の境界防御では対応が難しい標的型攻撃への対策として重要視されている。
Table of contents
ゼロトラストの基本的な考え方
組織内外を問わず、すべての者・デバイスを一旦は「信用しない」ことから出発します。従来の境界防御では、組織の内部は安全と見なされがちでしたが、標的型攻撃などで内部に侵入された場合に対処が難しい点が問題視されました。
そこでゼロトラストでは、守るべき重要な資産(データ、システムなど)を特定し、その資産へのアクセスを最小限に抑えます。そしてアクセスする者の正当性を常に検証し、異常を監視して制御することで、侵害を防ぎます。一度アクセスを許可しても、その状態は維持されず、常に検証し続ける必要があります。
このようにゼロトラストは、従来の「内部は安全」という考え方を払拭し、常に警戒を怠らず検証し続けることで、サイバー攻撃への対策を徹底する戦略です。しかし、これを実現するには組織の根本的な変革が求められ、製品の導入だけでは不十分です。
よくある誤解
- ゼロトラストは製品である: 実際には、ゼロトラストはセキュリティ対策の「戦略」であり、製品はその実現手段の一つに過ぎません。
- IDセキュリティ=ゼロトラスト: ID管理は重要ですが、ゼロトラストはアイデンティティだけでなく、アクセス状況や行動の監視・検証など、包括的なアプローチを必要とします。
- ゼロトラストは複雑である: 確かに導入には組織の変革が必要ですが、サイバー攻撃の高度化に対抗するためには不可欠な戦略です。
ゼロトラストの核心
- 守るべき資産を明確にする: データ、システムなど、組織にとって重要な資産を特定します。
- 最小権限の原則: 資産へのアクセスは必要最小限に制限し、常に監視・検証・制御を行います。
- 常に検証: 一度アクセスを許可しても、その状態は維持されず、継続的に正当性を確認します。
ゼロトラストの必要性
従来の境界防御では、組織の内部は安全と見なされがちでしたが、標的型攻撃などにより内部に侵入されるリスクが高まっています。ゼロトラストは、内部・外部を問わず全てのアクセスを疑うことで、このような脅威に対抗することを目指しています。
ゼロトラストの広がり
Kindervag氏が提唱してから10年以上が経過し、ゼロトラストの重要性は世界中で認識されるようになりました。現在では政府レベルでもサイバーセキュリティ戦略として採用されつつあります。
まとめ
ゼロトラストの具体的な実践方法
ゼロトラストの概念は理解できたとしても、実際にどのように組織に適用すれば良いのか悩む方も多いでしょう。そこで、具体的な実践方法をいくつかご紹介します。
1. 資産の特定と分類
まずは、組織にとって重要な資産 (データ、システム、アプリケーションなど) を洗い出し、その重要度に応じて分類します。これにより、どの資産に重点的に保護対策を講じるべきか明確になります。
2. マイクロセグメンテーション
ネットワークを小さなセグメントに分割し、資産へのアクセス経路を制限します。これにより、万が一マルウェア感染や不正アクセスが発生した場合でも、被害の範囲を最小限に抑えることができます。
3. 多要素認証 (MFA) の導入
パスワードだけでなく、生体認証やワンタイムパスワードなど、複数の要素を組み合わせた認証方式を採用することで、なりすましや不正アクセスのリスクを低減します。
4. 継続的な監視と分析
ネットワークやシステムのアクセスログを監視し、異常な挙動を検知したら迅速に対応します。AIや機械学習を活用したセキュリティ分析ツールも有効です。
5. ゼロトラスト対応製品の活用
ゼロトラストを実現するための製品は数多く存在します。ファイアウォール、ID管理システム、エンドポイントセキュリティなど、自組織のニーズに合った製品を選びましょう。
6. 組織文化の変革
ゼロトラストは単なる技術的な対策ではなく、組織全体の意識改革が必要です。セキュリティに対する意識を高め、継続的な教育やトレーニングを実施することが重要です。
導入のステップ
ゼロトラストへの移行は、一朝一夕にできるものではありません。段階的に進めていくことが大切です。
現状分析:
- 現在のセキュリティ対策の課題やリスクを洗い出します。
計画策定:
- ゼロトラストの導入目標やロードマップを策定します。
パイロット導入:
- 一部の部門やシステムで試験的に導入し、効果を検証します。
段階的展開:
- パイロット導入の結果を踏まえ、徐々に適用範囲を拡大します。
継続的改善:
- 常にセキュリティ状況を監視し、改善を続けていきます。