ゼロトラストとは何か
トピック: Series: Understanding Zero Trust
2022年6月21日、Christine Barry
注:これはゼロトラストの源流と原則を紹介する5回シリーズの第1回です。
ITセキュリティの専門家の多くは、ゼロトラストの概念に精通していますが、その概念を意思決定者やステークホルダーにうまく伝えられずにいます。ゼロトラストの基本は、その名のとおり「何も信用(トラスト)しない」ことです。すべてのユーザーとデバイス、その他のリソースを認証し、承認し、継続的に検証するのです。
これは、あらゆる規模の企業で熱狂的に受け入れられる素晴らしいアイデアのように聞こえます。しかし残念ながら、多くのITチームにとってはここからが問題なのです。IT部門以外の社員は、すでにセキュリティは確保されているのだから、これ以上ログインやセキュリティ対策に煩わされたくないと考えるからです。意思決定者は、この導入にどれだけの費用がかかるのか、導入によりどの程度ビジネスの混乱するのか、投資対効果はどうなのかといったことを考えます。単にゼロトラストを信用しない人もいます。
ゼロトラストの源流
世界中のITリーダーたちは、2004年に正式に非境界化(deperimeterization)の検討を開始しました。ジェリコ・フォーラム(Jericho Forum)と呼ばれるグループが設立され、暗号化や高度な認証方法などのツールを導入することで組織内部と外部をへだてる境界への依存を安全に減らしていくことを目的としています。このアプローチによるビジネス上の利点は、コラボレーションの効率化、アジリティの向上、ビジネスコストの削減などです。
こうした取り組みの成果が今日のBYOD(Bring-your-Own Device)環境やSaaS(Software-as-a-Service)の採用、IoT(モノのインターネット)の展開などで見られます。安全なデジタルトランスフォーメーションは、境界ベースのアプローチでは実現できないのです。
だからといって、ファイアウォールなど従来の境界防御が完全に不要になったわけではありません。どこの企業でも、オンプレミスやマルチクラウドのデプロイメントを保護・管理するためにファイアウォールを使用しています。SD-WANやCloudGen WANなどの広域ネットワークも、ファイアウォールがなければ成り立ちません。運用技術(OT)や産業用制御システムも、それらを保護し、制御デバイスに接続するための専用ファイアウォールがなければ安全とは言えません。ゼロトラストの実装は、ファイアウォールの仕事の内容を変えるかもしれませんが、ファイアーウォールを完全に置き換えるものではありません。
ゼロトラストとは何か
完璧なゼロトラスト環境を構築できる単一の製品は存在しない、そう認識することが重要です。ゼロトラストは哲学であり、従来の境界ベースのセキュリティから、トラストベースのモデルへのパラダイムシフトです。つまりITチームは、脆弱性と脅威が信頼関係から生まれると考えるべきなのです。会社のリソースにアクセスしようとするすべての試みは潜在的な脅威であり、複数のセキュリティ層によって排除されなければなりません。これらのセキュリティ層には、最小特権の原則を適用します。許可されたユーザーは、必要なものだけにアクセスすることができます。そうすることで、ユーザーのアカウント認証情報による特権の悪用の可能性を減らすことができます。
残念ながら現実には、ゼロトラストの取り組みに抵抗するステークホルダーが必ずいるでしょう。「信頼」の意味を誤解しているからです。誰でも、雇用主や同僚から信頼されることを望んでいます。企業であれば、顧客やビジネスパートナーから信頼されたいと思っています。時には視点を変えてもらう必要があるかもしれません。錠前には開けるたびに鍵が必要で、デバイスには毎回パスワードが必要なのは、アクセスが許可される前に信頼が確立されなければならないからです。トラストベースのネットワークへのパラダイムシフトは、皆の仕事を大変にするためではなく、より簡単にするためなのです。
米国国立標準技術研究所(NIST)が発行したレポート「NIST Special Publication 800-207」は、ゼロトラストを以下のように正式に定義しています。
ゼロトラスト(ZT)とは、進化するサイバーセキュリティのパラダイムを表す用語で、防御を静的なネットワークベースの境界から、ユーザーおよび資産、リソースに集中させるものである。…ゼロトラストは、暗黙の信頼がないことを前提としています。すなわち、物理的な場所やネットワーク上の場所、あるいは資産の所有権だけに基づいて資産やユーザーアカウントに付与されるような、暗黙の信頼はないものとするのです。…ゼロトラストは、ネットワークセグメントではなく、リソースの保護に重点を置いています。ネットワーク上のロケーションはもはや、リソースのセキュリティの主要な構成要素とはみなされないためです。
このレポートは、ゼロトラスト環境を構築したいと考える人の必読書とすべきでしょう。米国家安全保障局が発行したゼロトラスト・ガイダンスも同様です。どちらも、ゼロトラストの価値を説明し、伝えるうえで役立つでしょう。
次回は、ゼロトラストの原則が、世界中の企業や従業員にどのような利便性をもたらしたかを見ていきます。本シリーズの全記事はこちらからご覧いただけます。
原文はこちら
What is Zero Trust?
June 21, 2022 Christine Barry
https://blog.barracuda.com/2022/06/21/what-is-zero-trust/