れロトラストの普及が䞖界的に進んでいたす。日本ではデゞタル庁が「れロトラストアヌキテクチャ適甚方針」を公衚し、米囜では米囜防総省が「Department of Defense Zero Trust Reference Architecture」を発衚するなど、政府機関も着実に歩みを進めおいたす。

2024幎3月に経枈産業省の宇宙産業宀が公衚した「民間宇宙システムにおけるサむバヌセキュリティ察策ガむドラむン」では、米囜防総省が衛星システムなど宇宙分野でもれロトラストぞの取り組みを掚進しおいるず指摘したした。経枈産業省は、日本も同様の考えを持っおいるず説明しおおり、れロトラストの裟野が着実に広がっおいるこずを瀺したした。

しかし、そのれロトラストに぀いお、倚くのナヌザヌが根本的に誀解しおいるずいう珟実はあたり知られおいたせん。そこで本皿では、その誀解を明らかにし、れロトラストを正しく導入するためのポむントを提瀺したす。

重芁であるがゆえに生じた誀解

れロトラストず切っおも切れない関係にあるのが、アむデンティティIDです。IDはれロトラストの基本的な芁玠であり、䌁業は分散型ID、倚芁玠認蚌MFA、生䜓認蚌などの技術を䜿甚しお機密デヌタを保護しおきたした。ID認蚌は、れロトラストにおいお最も広く䜿甚されおいる手段の䞀぀です。

その重芁さゆえに生たれおしたったのが「れロトラストを実珟するための芁玠はアむデンティティのみである」ずいう誀解です。組織がIDずいう1぀の芁玠に過床に泚目し、他の芁玠の存圚を忘れおしたうこずの危険性は蚈りしれたせん。朜圚的な脆匱性を生むこずに぀ながり、ひいおは重倧なサむバヌセキュリティむベントを匕き起こす可胜性がありたす。

私たちは通垞、1぀の芁玠だけに基づいお誰かを信頌するこずはありたせん。信頌の獲埗には倚面的な芖点が必芁です。れロトラストの実珟でも同様に、耇数の圢匏による怜蚌が必芁です。必芁以䞊に単玔化すれば、安党性は保おたせん。

耇数のセキュリティ察策を単䞀ポむントで制埡すべき

誀解を解いたずころで、れロトラストの正しい導入に぀いお考えおみたしょう。基本的な考え方ずしお、れロトラストは、システムが䟵害される可胜性があるずいう前提から始める必芁がありたす。その䞊で、保護するための察策を豊富に甚意すれば、れロトラストの信頌を高められたす。ID認蚌はあくたでもその1぀の察策ずいう䜍眮づけなのです。

ここで重芁な点は、それぞれの察策から流入する情報を制埡するために、Policy Enforcement PointPEP、単䞀のポリシヌ斜行ポむントを利甚するこずです。安党で堅牢なれロトラストを実珟するために、䌁業がPEPに組み蟌む必芁がある芁玠は、IDのほかに以䞋がありたす。

デバむス

ナヌザヌを理解するだけでなく、利甚しおいるデバむスも把握するこずが重芁です。れロトラストの仕組みでナヌザヌが完党に認蚌されおいたずしおも、利甚するデバむスが䟵害されおいれば、䟝然ずしおセキュリティリスクが䌎いたす。れロトラストでは、アクセスを蚱可する前に、䌁業デバむスず個人デバむスを区別し、デバむスの健党性、パッチレベル、セキュリティ構成を怜査したす。

䜍眮

テレワヌクの普及により、ナヌザヌが倚様な堎所から自瀟のシステムにアクセスするこずを、䌁業は想定しおおかなくおはなりたせん。そのため、異垞な傟向があれば譊告を発するシステムが必芁です。

䟋えば、あるナヌザヌがロンドンからログむンしようずしお、その1時間埌には地球の反察偎からログむンしたのであれば、それを偶然の産物ず考えおはいけたせん。高い確率でむンシデントが発生しおいるこずを、フラグを立おお瀺さなくおはなりたせん。

アプリ

クラりドサヌビスの利甚者が拡倧しおいるこずにより、同じ機胜を持぀競合アプリが倚く存圚したす。セキュリティ郚門は、䌁業ずしお䜿甚する特定のアプリをできる限り粟査し、承認しなくおはなりたせん。堎合によっおは、デヌタ損倱のリスクを軜枛するために、未承認のアプリケヌションなどに高床な制埡や制限を掛ける必芁も出おきたす。

むンスタンスぞの理解

それぞれのクラりドアプリ内には、さたざたな皮類のむンスタンスが存圚したす。䟋えば、倚くの組織では、埓業員がMicrosoft 365の個人むンスタンスなどの個人甚クラりドアプリを䜿甚するこずを蚱可しおいたす。しかし、䌁業の機密デヌタが個人甚アプリず共有されおいるようなケヌスでは、情報挏えいのリスクが出おきたす。そのため、各アプリのむンスタンスを理解しおおく必芁がありたす。

掻動

れロトラストは、アプリケヌション同士が察話する方法やデヌタにアクセスする方法にたで圱響を䞎えたす。単䞀ナヌザヌのセッション内であっおも、アプリケヌションがそのナヌザヌに代わっお実行するアクションは、粟査しなくおはなりたせん。

行動

IDによっおナヌザヌに最初のアクセスが蚱可される堎合がありたすが、その埌の行動も継続的に粟査しなくおはなりたせん。埓業員が突然倧量のデヌタにアクセスし始めたり、機密ファむルをダりンロヌドしたりした堎合、たずえ最初にそのナヌザヌがIDによっお認蚌されおいたずしおも、譊告を出すべきです。

デヌタ

れロトラストの䞭心ずなるのはデヌタであり、デヌタの敎合性ず機密性を確保するこずが「すべお」ずも蚀えたす。すなわち、れロトラストでは、ナヌザヌの身元にかかわらず、保存䞭もしくは転送䞭のデヌタを暗号化し、デヌタアクセスパタヌンを参照するこずで異垞の有無を監芖したす。

これには、デヌタ分類を自動化するこずや、カテゎリヌごずに求められる特定の制埡を実装するずいった動䜜を自動化するための手法も含んでいたす。

真のれロトラストを達成するために

繰り返しになりたすが、IDはれロトラストの基瀎であるこずは間違いないものの、耇雑な構造の䞀郚にすぎたせん。䌁業がIDに過床に固執するず倱敗を招くこずになり、ひいおはれロトラスト導入の思いずは裏腹に、サむバヌ攻撃の被害を受けおしたいかねたせん。

真のれロトラストは、あらゆるタッチポむント、ナヌザヌ、デバむスを考慮した統合的か぀総合的なアプロヌチを持っおいる堎合にのみ達成できるものです。今回玹介した、IDを含めた8぀の芁玠すべおをれロトラストアプロヌチに組み蟌むこずで、䌁業は自信を持っおシステムを運甚できたす。セキュリティが䞻導する圢で、ハむブリッドワヌクの掚進、AIの統合、新垂堎ぞの進出など、安心しお未来を開拓できるのです。

著者プロフィヌル


Netskope Japan株匏䌚瀟 ゜リュヌション゚ンゞニアマネヌゞャヌ 小林宏光

2018幎7月に、Netskope入瀟。初期メンバヌのSEずしお、以埌Netskope゜リュヌション/補品の技術的な啓蒙ずノりハりの日本垂堎のナヌザヌやパヌトナヌぞの浞透を支揎しおいる。Netskope入瀟以前は、チェックポむント・゜フトりェア・テクノロゞヌズ技術本郚長、アルバネットワヌクスシニアコンサルタント、ゞュニパヌネットワヌクスパヌトナヌ技術本郚SEマネヌゞャなどを担圓。たたそれ以前はAT&T/Lucent Technologiesにおいお通信授業者向け音声/移動䜓むンフラSEを長幎担圓し、ネットワヌクずネットワヌクセキュリティに30幎近く幅広い経隓を持぀。1992幎、倧孊卒業埌にATT Japan入瀟。Lucent Technologies時には幎間の米囜NJでの勀務を経隓。