「ゼロトラスト」は、今や日本のセキュリティ業界でもバスワードです。しかし、ゼロトラストセキュリティ実現のために、何をどこから始めれば良いか悩む組織も多いと思います。 本コラムから、アプローチへのヒントが見つかるはずです。
原題:Yubico Q&A with John Kindervag, creator of Zero Trust and Senior Vice President at ON2IT
原作者:Ronnie Manning
この1年でゼロトラストの概念は広く一般化しましたが、ゼロトラストとは何か、どこから始めればいいか、どのようにゼロトラストを実現できるのか、といった点については誤解があるようです。
このテーマをさらに掘り下げるため、先日、ゼロトラストの生みの親であり、現在ON2IT 社のサイバーセキュリティ戦略を担当するシニアバイスプレジデント兼、ON2ITグループフェローのJohn Kindervag氏とQ&Aを行い、ゼロトラストの起源、業界としての現在の状況、将来の展望を話し合いました。
(Q)2021年は一気に大規模なデータ流出が発生した年になりました。セキュリティ業界ではゼロトラストの呼びかけが増えていますが、企業内ではこれが何を意味しているのかに関して、まだ混乱があるのではないでしょうか?
(A)何がゼロトラストでないかを明確にするのはとても簡単です。ゼロトラストは製品ではありません。むしろ、企業の購買担当者が混乱しているのは、ベンダーが自社の製品をゼロトラストへの回答としていることに起因していると言えるでしょう。
私は、ほとんどのCISOがゼロトラストを「理解している」と信じています。私は過去10年間、セキュリティリーダーと話をし、ゼロトラストの概念を生み出す手助けをしてもらいました。ゼロトラストは、ネットワークの内外を問わず、ネットワークのユーザー、パケット、インタフェース、デバイスは一切信用してはならないという原則のもとに確立されました。その結果、CISO は、「攻撃対象領域」よりも桁違いに小さい「保護対象領域」にサイバーセキュリティ戦略の焦点を当てるようになりました。これは、ゼロトラストの基本的な問いに答えるものです。「何を守ればいいのか?私は、ゼロトラストの戦略コンセプトが、私が最初に作った時から変わっていないことを誇りに思っていますし、実際初期のセキュリティチームの多くは、その後セキュリティのありかたを変革しています。
ご質問への回答としては、こうなります。ゼロトラストの定義は、規制対象データや機密データが悪意ある行為者の手に渡るデータ侵害を阻止するために考案された、戦略的なイニシアチブです。データ漏洩が起きればCISOや、場合によってはCEOが解雇されるでしょうし、そこは疑問の余地がないと思います。
(Q)パブリッククラウドへの移行は、ゼロトラストを導入するサイバーセキュリティチームにとって問題を複雑にしたでしょうか?
(A)COVIDは、クラウドへの移行を加速させました。しかし組織は移行の速度を意識するあまり、間違いなく以前より危険な状態にあるといえます。
あまりにも多くの組織が、内部ネットワーク向けに設計され(そして機能しなかった)たセキュリティモデルをクラウドに適用しているのです。 そもそもクラウドは、他のIT環境よりも本質的に安全ではないのです。クラウドは、クラウドプロバイダーによってパッチ適用などが自動的に行われるため、多少は安全性が高まるかもしれません。また、クラウドのワークロードは拡張性が高く、パブリッククラウド環境では新しいシステムの立ち上げと運用がはるかに速くなるでしょう。
しかし、クラウド環境に置くすべてのデータのセキュリティにおける責任はあなたの組織にあることを忘れないでください。“shared responsibility model”(責任共有モデル)という神話がありますが、それは誤りです。Forrester Researchでは、これを “Uneven Handshake”(不均等な握手)と呼んでいます。セキュリティはあなたの責任です。もしあなたのデータが流出した場合、クラウドプロバイダーは、そのデータを保護するのはあなたの責任であり、彼らの責任ではないことをはっきりと世界に公表するでしょう。クラウド環境に組み込まれた既存のセキュリティは、とても軽微なものです。そのため、安全なクラウド環境を構築するには、他のサードパーティーの技術が必要になります。例えば、ID管理、次世代ファイアウォール、クラウド監視などがそれにあたります。クラウドをサードパーティが所有するハイパーバイザーに過ぎないと考えれば、クラウドインスタンスを適切に保護する方法について、ある程度の理解が得られるのではないでしょうか。
(Q)ゼロトラストの概念を組織内に適用しようとするセキュリティチームは、何から手をつければよいでしょうか。
(A)ゼロトラストは、一歩ずつ進むのがベストです。アイデンティティ概念もゼロトラスト・ポリシーの中で考えられる1つの要素ですが、ゼロトラストと同等のものではありません。アイデンティティ概念はゼロトラストを理解する上で重要かつ基本的なものですが、その要素を展開しただけでは、ゼロトラストの戦略的目標を達成したことにはなりません。
アイデンティティ概念は、強力なクラウドセキュリティの基盤に対する最初の防衛線であると言っても過言ではありません。多要素認証、ユーザー認証の保護、デバイスの保護はすべて、ゼロトラスト・アーキテクチャに不可欠な要素です。
また、アイデンティティ概念は、セキュリティチームにとって、正しく機能させるのが最も難しいものの1つであることは間違いありません。ID管理の背後にある概念は、サイバーセキュリティの観点から見ると、ほとんどの組織が実際に実行できるものよりもはるかに高度なものです。実際、ほとんどのサイバーセキュリティチームは、今はシングルサインオンとフェデレーションしか求めていません。これは出発点としては妥当ですが、ゼロトラスト固有のアイデンティティ概念となると、まだまだ先の話です。
(Q)ゼロトラスト固有のアイデンティティ概念に関しては、まだ長い道のりがあると述べている理由と、その進歩のために企業が行うべきことについて、さらに詳しく説明してください。
(A)認証されたユーザーを強力なフィッシング耐性のある認証ツールと紐づけることで、ユーザーのアイデンティティを強力に検証する必要があります(データ漏洩リスクはいまや常に高い状態です)。アイデンティティのアクセス管理をするポリシーシステムは、セキュリティチームがより簡単かつ徹底的に「表面保護」を管理できるように、ゼロトラスト・ポリシーとの整合性を高める必要があります。 検証済み/認証済みの強力な証明に基づくアイデンティティの継続的な検証を行う必要があります。ユーザーの行動を分析する新しい方法を見つけ、証明が弱い場合は、ステップアップした強力な認証を実行する必要があります。そして、アイデンティティ・サンドボックスの中で、すべてのシステムが互いにうまく機能するようにしなければなりません。そして最後に、悪意のある行為者がどのようにアイデンティティを破壊しようとしているのかについて考えなければなりません。これらはすべて、私たちの業界が正面から取り組まなければならない困難な問題ですが、私たちはこの問題に本腰を入れて対処してきませんでした。
実際、セキュアなID管理の問題は、私たちのサプライチェーンのセキュリティに大きな影響を及ぼします。その点で、バイデン大統領は最近、重要かつ不可欠な商品について、より安全なサプライチェーンを構築するための大統領令に署名しています。
(Q)YubicoとYubiKeysは、企業のゼロトラスト戦略イニシアチブにどのように貢献できるとお考えですか?
(A)強固な認証は、ゼロトラスト・アーキテクチャの基礎となるセキュリティ要素です。YubicoとYubiKeyは、例えば、弱いパスワードが使用されている場合、有効でフィッシングに強いセキュリティキーを提供することによって、その課題を解決することができます。 ユーザー認証情報をサービスに紐づけることによって、セキュリティ態勢が大幅に強化されます。
ゼロトラストへの道のりの中で、どのように現状を把握するか、また、なぜ強力な認証がゼロトラストの重要な一部であるかの詳細については、SCSKまでお問い合わせください。
多要素認証セキュリティキー「YubiKey」について興味がある方は以下のページをご覧ください。
https://securitykey.scsk.jp/yubico/
また、ご質問等ございましたら、以下よりお問い合わせください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
