サーバ・クラウド・エンドポイント間の通信を制御するマイクロセグメンテーションソリューションを提供するIllumioは4月23日、ゼロトラストの最新動向に関する説明会を開催した。

セキュリティ侵害増加に伴い認知度が高まるゼロトラスト

米Illumio 共同創業者兼CEO アンドリュー・ルービン氏は、「数カ月前にも来日したが、その時よりもゼロトラストの認知度が高まっている」と語った。顧客やパートナーとミーティングを重ねる中で、ゼロトラストに対する注目の高さを体感したという。

  • 米Illumio 共同創業者兼CEO アンドリュー・ルービン氏

ルービン氏は、ゼロトラストが注目されている背景として、世界中の企業がランサムウェアをはじめとしてさまざまなセキュリティ侵害に遭っていることを挙げた。

さらに、ルービン氏は、2つの理由から世界中でサイバーセキュリティが重要視されていると指摘した。

1つ目の理由は、現在、経済が不確かであることから、ランサムウェアが急成長していることだ。もう1つの理由は、地政学的な不安定さから、サイバーセキュリティが戦争の武器として用いられるようになっていることだ。

こうしたことから、同社は「顧客がサイバーインシデントの被害に遭わないようにすること」「日本でビジネスを構築すること」にコミットしていると、ルービン氏は述べた。

乱立するゼロトラストの定義、提唱者が正す

続いて、米Illumio チーフエバンジェリスト ジョン・キンダーヴォーグ氏がゼロトラストについて説明した。同氏は、以前、米国の調査会社であるForrester Researchのアナリストとして、「ゼロトラスト」という概念を生み出し、提唱者としてその普及に努めていたが、昨年、Illumioに入社した。

  • 米Illumio チーフエバンジェリスト ジョン・キンダーヴォーグ氏。「ゼロトラスト」の提唱者

キンダーヴォーグ氏は冒頭、「米国でゼロトラストを導入することを促す大統領令が出たことで、世界中でゼロトラストの重要性が認識されることになった。しかし、ゼロトラストの定義が乱立している。だから、私が改めて定義する」と語った。

そして、キンダーヴォーグ氏はゼロトラストの定義について、次のように語った。

「ゼロトラストは製品ではなく戦略で、データの侵害を止めることがコンセプト。規制当局はデータ侵害について、『機密性の高いデータが漏れて攻撃者の手に渡ってしまうこと』と定義している。ゼロトラストを導入することで、サイバー攻撃が成立しなくなる」

キンダーヴォーグ氏は、特に反論したいゼロトラストの「誤解」については、「まず、戦略であり製品ではないことを強調したい。適切なゼロトラストの環境を構築するために必要な製品はある。多くの企業において、ゼロトラストを再定義する動きがある」と説明した。

  • 「ゼロトラスト」に関する誤解

大統領もデータも同じ手法で守れる

キンダーヴォーグ氏は、大統領を保護するシークレットサービスになぞらえて、ゼロトラストについて説明した。

大統領が乗っているクルマを守る際、以下の写真のようなフォーメーションをとるという。クルマが保護面に相当し、4人のシークレットサービスの要員がつく。道路脇にもシークレットサービスの要員がずらりと並んでいる。

  • 大統領を守るシークレットサービスをゼロトラストになぞらえたイメージ

キンダーヴォーグ氏は、クルマを守る要員が4人しかいない理由について、「大統領の保護策は保護面で講じられる。保護策の基本は攻撃面を最小限にすること。だから、シークレットサービスの要員も4人しかいない」と述べた。

クルマから離れたところにいる人は監視を行っており、怪しい人がいたら制御面に通知する。いわば、スレッドインテリジェンスに近い役割を果たすという。「この手法なら、大統領もデータもすべてを守ることができる」(キンダーヴォーグ氏)

また、キンダーヴォーグ氏は、ゼロトラストはいかなる規模の企業で導入可能だと述べた。ゼロトラストを導入するに際して、まずは、守るべきものを特定すべきだという。「保護領域を特定することから始まる。守る場所とは、データセンタ、エンドポイント、クラウドであり、ゼロトラストは保護領域で実行される。Illumioはこれら3つの保護を実現するテクノロジーを持っている」(同氏)

セグメンテーションはゼロトラストの土台

Illumioはセグメンテーションのソリューションを提供しているが、ルービン氏は、「適切なセグメンテーションはゼロトラストにとって重要なピースとなる。攻撃が環境に入り込んだ時、セグメンテーションがあれば守ることができるという考えがある」と説明した。

キンダーヴォーグ氏も「2010年に発表したゼロトラストの2本目のレポートで、セグメンテーションと一元管理の重要性を強調した。セグメンテーションはゼロトラストの土台を提供できる。Illumioがゼロトラストの土台を担っているから入社した」と語った。

ルービン氏は、Illumioのセグメンテーションの特徴として、トラフィックを見ているのではなく、すべてのトラフィックがポリシーに従わなければならない点を挙げた。

例えば、ポリシーの一つに、開発環境と商用環境の間の通信を遮断することがあるという。ただし、「このポリシーが導入されている銀行はないだろう」とルービン氏は話した。

このポリシーを適用しなかったことが、世間で起きているセキュリティ侵害につながっているという。

また、セグメンテーションのレベルは「守るものの価値が高ければ高いほど小さくし、密に管理する必要がある。必須のモノだけ通信するという環境を構築する」と、ルービン氏は説明した。

さらに、ルービン氏はサイバーセキュリティにおける課題として、攻撃者の潜伏期間が長いことを挙げ、「オープンにする必要がないポートを閉じることで、攻撃者が隠れる場所を減らすことにつながる。ただし、これはあくまでもリスクを低減するにすぎない。よいプランの敵は完璧なプランを作ろうとすることという格言あるが、セキュリティ対策においてはよりよい成果をだすことに注力すべき」と、アドバイスしていた。