かつて組織におけるセキュリティ対策と言えば、境界型防御が一般的だった。だが、働き方の多様化やサイバー攻撃の複雑化が進んだことから、現在では「ゼロトラスト」と呼ばれる考え方が主流になっている。
ゼロトラストとはどのような考え方で、どのように始めれば良いのだろうか。
9月12日から15日に開催された「TECH+ EXPO for セキュリティ 2023」に東洋大学 情報連携学学術実業連携機構 特任研究員の横澤祐貴氏が登壇。ゼロトラスト・アーキテクチャを検討するためのヒントになる考え方について語った。
「TECH+ EXPO for セキュリティ 2023」その他の講演レポートはこちら
決して信頼せず、必ず確認せよ
「ゼロトラスト」とは企業などのサイバーセキュリティに関する基本的な考え方だ。
組織の内外を隔てる境界の概念を廃したセキュリティ思想であり、「verify and never trust.(決して信頼せず、必ず確認せよ)」という言葉で表される。すなわち、どんな機器やソフトウエア、人であっても無条件に信頼せず、潜在的な脅威が潜んでいる可能性を常に考えて対策を立てておくのがゼロトラストなのだ。
近年になってその名称を耳にすることが増えてきたゼロトラストだが、実際には15年以上前から存在する考え方だと横澤氏は述べる。
2007年には個々のトランザクションに焦点を当てたセキュリティモデルが提唱されており、2010年には早くも「ゼロトラスト」という言葉が専門家のレポート内で登場している。
そんなゼロトラストが大きな盛り上がりを見せたのは2017年のことだ。4つのカテゴリから構成されるフレームワークが提案され、ユースケースも登場し始めた。
-
ゼロトラストの歴史
なぜゼロトラストが必要なのか。その理由は働き方の多様化とサイバー攻撃の複雑化にある。例えば、従来のような境界型防御では、会社の内外を隔てて攻撃を防ぐという考え方だった。しかし、リモートワークではそもそも端末が社外にあるため、境界型防御が難しい。また、入り口だけは防御できても、サプライチェーンの脆弱性が狙われると防ぎ切れないこともある。そもそもサイバー攻撃自体が多様化しており、いくら境界を守っていても対処しきれないケースも多い。特に、内部の人間による意図的な情報漏えいなどを防ぎ切ることは難しいだろう。
それならば、攻撃を受けることは前提とした上で「いかに被害を最小限に食い止めるか」を考えるべきというのがゼロトラストなのである。
もっとも、「ゼロトラストで成果をあげるのは簡単ではない」と横澤氏は指摘する。
例えば、英国の国家サイバーセキュリティーセンター(NCSC)は難しい要因として、まずゼロトラストがアーキテクチャを設計するためのアプローチであり、標準でもなければ、ベンダーが製品やサービスを設計するための仕様でもないことを挙げている※1。つまり、“正しいこと”をしているかどうかを知るのが難しいのだ。
