ゼロトラストをテーマにした本連載も今回が最終回です。最終回では、ゼロトラストモデルの導入について解説します。

  • なぜ、いまゼロトラストなのか 第5回

    セキュリティ製品の組み合わせは難しい

どこまで進めるか

さて、ここまででゼロトラストに関わるソリューションの一部を紹介してきたわけですが、じゃあ、これをどこまで進めるべきか考えてみます。言い換えれば、どこまで目指すべきなのか。ここで、第2回でも解説したNIST SP800-207を見てみましょう。

NIST SP800-207ではゼロトラストモデルの最終的な形として、2つ定義しています。まず、Pure Zero Trust Architectureです。その名前からわかるように、理想的なゼロトラストの姿を指します。ただ、こちらはかなり導入のハードルが高いニュアンスとなっています。

まっさらな状態(原文では、Green Fieldといった表現をしていますが)から作るならできるといった書き方をしています。

セキュリティに対して意識が高い組織であれば、それなりの投資をしているわけで、既存のアーキテクチャを丸ごと捨てるのは、なかなか難しいですよね。

そのため、2つ目に示されている、ハイブリッドなアーキテクチャ、つまりゼロトラスベースと境界型セキュリティベースのアーキテクチャが共存する環境が多くの企業において、ゴールとなります。

そのため、既存のセキュリティ対策を活かしつつ、不要な対策は捨て、ゼロトラストベースの技術を取り込んでいく、そういった折衷的なアーキテクチャが想定されます。

  • なぜ、いまゼロトラストなのか 第5回

    ゼロトラストアーキテクチャのゴール(NIST SP800-207より)

どこから進めるか

では、次にどこから着手していくのか。NIST SP800-207ではゼロトラストアーキテクチャを導入する前に、業務プロセスを明らかにするよう、調査の必要があると言っています。誰が、どのデバイスから、どこからアクセスするのか、という内容をマッピングするわけです。

業務プロセスが特定された後、どこから手を付けるか。ゼロトラストの主要な技術要素としては、以前にも記載したように、認証・認可になります。ID管理基盤がありません、というケースは、あまりないかとも思います。

そのため、既存の基盤で不足している点はないのかどうか、といった点を考えていくべきです。例えば、従業員のアクセス制御に関しては、既存の人事システムとの兼ね合いを検討する必要が出てきたりするかもしれません。特に、委託先会社のような、自社の社員ではない人のIDの取り扱いに関しては、注意が必要です。

また、認証・認可に先んじて、ネットワークや、エンドポイントに関するセキュリティ対策に関して進める、あるいは並行して進めるといったこともありえます。これは、組織の情報セキュリティ対策の状況にも依存しますが、優先順をつけつつ、段階的に進めていくことになると考えられます。

  • なぜ、いまゼロトラストなのか 第5回

    着手する順番(前後・並行しても良い)

どうやって進めるか

最後にどうやって進めるか。組織全体に関わる話ですから、関係者を巻き込んでいく必要があります。「EDRを導入すれば、これだけ便利に!」「いま、CASBが熱い!」といった技術方面でのアピールだけで、その必要性を説くのは、至難の業……というより、不可能に近いです。

そこで、第1回に紹介した「政府情報システムにおけるゼロトラスト適用に向けた考え方」(引用元:政府CIOポータル)の中にある、ゼロトラスト適用に関する「基本的な考え方」という文章を見てみましょう。

ゼロトラストの考え方を政府情報システムにおいて適用させるには、先ず、境界型セキュリティに強く依存する現状の理解と、予算的な制約から段階的に複数年かけた移行計画が必須という前提への理解が必要となります。

まず、現状を理解しながら段階的に進めていくことを前提に取り組むことが書かれていますね。これは、先程記載した内容のとおりです。

また、これまでの境界型セキュリティへの強い依存は、過度の多層防御によるネットワークセキュリティ対策の整合性の不備と高コスト化を招いているだけでなく、アプリケーションレベルでのセキュリティ対策の不十分さ、「外部と分離されていれば安心、分離されていなければ危険」といった感情面での強い依存も招いていることへも理解が必要です。

そして、実際には組織の中で「新しい対策を理解してもらう」ことが重要になります。ゼロトラストアーキテクチャの場合、新規の対策に置き換えることがありますので、既存の対策で不要なものは捨てることも必要になります。かといって「既存と新規のセキュリティ対策」という構図にしてしまうと、感情面での反発を招く可能性があることを、ここでは指摘しているわけです。

そのため、ゼロトラストは単なるセキュリティ対策だけではなく、組織としての「ありたい姿」を決め、「ありたい姿」に近づける、その手段として考える必要があります。

例えば、IT関連会社であれば、「ありたい姿」として、「自社に優秀なアプリケーション開発者(以下、開発者)が多い」といった状況が、例として考えられるでしょう。優秀な開発者がいることは、自社の競争力を高める大きな要素と考えられます。

優秀な開発者は新しい情報に敏感ですから、最新デバイスでクラウドサービスを利用したい、試したいと考えています。しかし、それらを自由に利用できる環境がない場合、開発者にとっては非常にフラストレーションが溜まることが考えられます。最悪、それを理由の1つに、別の場所を求めて、出ていくケースがあります。

以前、私が担当したお客様から「自宅や外出先で開発作業ができない」「開発するためのPCが選べない」などのセキュリティ対策に紐付いたルールを理由として優秀な開発者が辞めることがある、といった声を聞いたことがあります(それ以外の理由もあるかも知れませんが)。こうなると、組織を守るはずのセキュリティ対策が組織の競争力を失うことにも繋がりかねません。

そこで「優秀な人材を確保、および人材流出を防ぐため、クラウド活用や働き方の多様化に対応しながら、組織に求められるセキュリティ対策を確保するためには、ゼロトラストをベースにしたセキュリティ対策が必要」といったストーリーが浮かび上がってきます。

このように、組織としての「ありたい姿」から手段としての「ゼロトラストセキュリティをベースにした対策を導入するまで」のストーリーを構築し、周囲の理解を得た上で段階的に進めていくことが重要だと思われます。