ゼロトラストは何故わかりにくいのか？

「ゼロトラスト」というキーワードを聞くことが多くなりました。ネットワークセキュリティにおける新しいパラダイムです。しかし、言葉は知っていても、それが具体的にどのようなソリューションとして企業システムに適用できるのか、イメージできる人は少ないかも知れません。それは、「ゼロトラスト」という言葉が具体的な技術や製品を指しているわけではないためでしょう。ベンダーによって「ゼロトラスト」へのアプローチが異なり、さまざまな製品やソリューションが「ゼロトラスト」として提供されている結果、ユーザーにとってはわかりにくい状況に陥ってしまっているのです。

コンピュータシステムが企業内のマシンルームに設置されていた頃は、そのシステムへのアクセス経路を制限し、見張ることでセキュリティが担保されると考えられていました。「内部」を守るために、「外部」との間に「防壁」を築くという考え方であり、これが「境界型セキュリティ」です。境界型セキュリティを代表する技術がファイアウォールやアンチウイルスということになります。

しかしネットワークが発達し、クラウドの利用が一般化し、モバイルデバイスが普及する中、守るべきデバイスが「社内」にあるという前提は崩れてしまいました。境界型では守り切れなくなったネットワークやデバイスをどのように守れば良いのか、という議論の中で生まれたのが「ゼロトラスト」という考え方なのです。

「ゼロトラスト」という言葉自体は、2010年に米調査会社のフォレスターによって提唱されたものというのが一般的な説ですが、これは上記のような文脈の中で生まれた言葉であり、特定の技術や製品を指すものでは無いのです。

NIST SP800-207 「Zero Trust Architecture」

そのような中、昨年末にNIST（National Institute of Standard and Technology：米国標準技術研究所）がゼロトラストについての定義を公開しました。NISTは過去にも、定義が曖昧なままに普及が進んでいた「クラウドコンピューティング」という言葉に定義を与えてユーザーの混乱を抑え、結果として市場の発展に寄与しました。ゼロトラストについても、今後はNISTの定義が広く受け入れられていく可能性は高いといえるでしょう。膨大な文書ですが、日本語のサマリも公開されていますので、是非目を通してみて下さい。

その中でNISTは、「ゼロトラストとは、リソースの保護にフォーカスしたサイバーセキュリティのパラダイムであり、信頼は決して暗黙的に与えられるものではなく、継続的に評価されなければならないという前提に立っている。」と書いています。そして、データやサービスを始めとする企業リソースへのアクセスは、それを必要としている人に限定し、業務の遂行に必要な最低限の権限（読み取り、書き込み、削除など）のみを付与すべきであるとした上で、リソースへのアクセスは「セッション単位で」、「ユーザー名、アプリ、アクセスするリソースの状態、行動属性や環境属性を含めた動的ポリシー」によって付与するとしています。どういうことでしょうか？

境界型セキュリティの問題点として、「一度境界内に入ってしまえば、その後は行動の制限が緩くなる」ということが挙げられています。なりすましなどでファイアウォールを掻い潜って内部に侵入してしまえば、その後は行動を監視されたり制限されたりすることが無く（少なく）なり、システム間を横移動（ラテラル・ムーブメント）して重要な情報を収めたサーバーを探し出し、情報を流出させることができてしまうのです。標的型攻撃でマルウェアを侵入させ、長期間潜伏した後に行動を開始するAPT（高度で持続的な脅威）なども同じ問題点を狙った攻撃です。これらの脅威による影響を最小限に抑えるためには、ログイン時のアクセス権を最小限に制限し、ログイン後も常に行動を監視して、新たな行動にはきめ細かくアクセスの可否を判断するというのがゼロトラストの考え方です。

たとえば、通常のユーザーIDとパスワードでログインしたユーザーには業務上必要となる最低限の情報にしかアクセスさせず、別の（機密性の高い）ドキュメントにアクセスする必要が生じた場合に、その時点でさらに厳格な認証（2要素など）を行う、または上司の許可を求める、といった対応をポリシーとして設定しておき、すべてのユーザー、すべてのアクセスについて厳格に適用していくのです。

ネットワークセキュリティ派とエンドポイント派　～同じ目的地を目指す二つの流派

ゼロトラストの定義は以上のようなものですが、それを実現するためのアプローチはさまざまであり、そのための技術や製品も多岐にわたります。これが、ゼロトラストがわかりにくい理由になってしまっています。ここでは、問題を理解しやすくするために、現在のゼロトラストへのアプローチを二つの流派に分類してみましょう。

一つめのアプローチは、ネットワークセキュリティを強化することでゼロトラストセキュリティを実現しようとするもので、SIEM（Security Information and Event Management）やCASB（Cloud Access Security Broker）、SASE（Security Access Service Edge）などはこれに含まれます。これらはセキュリティ対策を多階層化することでキルチェーンの各段階で脅威を検知し、対応しようとするものです。境界型セキュリティの延長線上にあるため、多くの企業にとって受け入れやすいアプローチかも知れません。

これに対し、エンドポイントセキュリティを充実させて行くというアプローチがあり、EDR（Endpoint Detection and Response）などがこれに含まれます。ファイアウォールやポリシー制御などの機能をエンドポイントに集約し、ネットワークでの多階層保護からそちらに移行していこうとするものです。これを推し進める事で、ファイアウォールやVPNが不要になる、と主張しているベンダーもあります。

もちろん、これら以外にも多くのソリューションがあり、すっきりと二つに分けられるものではありません。また、現状ではこれらのどちらが優れているという問題でもありません。導入企業のネットワーク環境やガバナンス体制、リスク許容度、ICT部門のリソース/予算、全社的なセキュリティ戦略などによって、導入すべきソリューションは変わってきます。

そして気をつけておかなければならないのは、どちらのアプローチを採るにしても、現在の境界型セキュリティをいきなり廃止できるわけではないことです。NISTの定義にも「ピュアなゼロトラスト環境を実現するためには数々のハードルがあり、多くの企業はすぐには（あるいは半永久的に）対応できないだろう。」と書かれています。少なくとも当面は、従来型のセキュリティと共存して行かざるを得ないのです。

今回は、一般にわかりにくいとされるゼロトラストの概念を、二つの流派という観点から整理してみました。次回は、ゼロトラスト適用の実際について見て参りましょう。

第2回「ゼロトラスト」　～境界型とは違うゼロトラストのアプローチ～の記事はこちら

ICTのセキュリティのことならミツイワにお任せください。 ミツイワでは、ネットワークセキュリティからエンドポイントセキュリティまで、お客様のニーズとICTインフラに合わせて幅広いセキュリティ製品／ソリューションの中から最適なものをご提案させていただいております。お勧めの主なセキュリティソリューションはこちら（https://www.mitsuiwa.co.jp/solution_category/security/）