近年、ゼロトラストの実現に向けたアプローチが積極的に進められているが、今多くの企業が実現しようとしているゼロトラストは、果たして正しいゼロトラストといえるのだろうか。NTTコミュニケーションズと、ゼットスケーラー両社のエバンジェリストに話を伺ったところ、“正しい”ゼロトラストへの理解および現実的な製品導入へのアプローチを促された。
-
NTTコミュニケーションズ本社の大手町プレイスウエストタワーにて対談後に撮影
(右)NTTコミュニケーションズ ビジネスソリューション本部 ソリューションサービス部 デジタルソリューション部門第四グループ 担当部長 セキュリティエバンジェリスト 城征司氏
(左)ゼットスケーラー エバンジェリスト&アーキテクト 高岡隆佳氏
※ドコモビジネス…NTTドコモ、NTTコミュニケーションズ、NTTコムウェアがドコモグループとして3社統一で展開する法人向けの事業ブランド
リモートから脆弱性を突く攻撃が増加、問われているのは「組織力」
──近年のセキュリティ脅威についてどのように感じていますか。
NTTコミュニケーションズ 城征司氏(以下、城氏): 2024年はサイバー攻撃の被害に遭ったお客さまからの相談が増えました。その中でも、VPN機器の脆弱性を突く攻撃が増えています。VPNはリモートアクセスに必要な機器ですが、認証の仕組みや設定不備、脆弱性などがあれば格好の攻撃対象になります。本来内部に入れない人が内部に入って、重要なサーバーなどに展開し、被害を拡大する。こうした攻撃は以前からありましたが、2024年は特に目立った印象を受けました。警察庁のレポート(※1)でも、ランサムウェア攻撃の感染経路の80%以上がVPNやRDPといったリモートアクセスの仕組みの設定不備や脆弱性でした。
ゼットスケーラー 高岡隆佳氏(以下、高岡氏): 脆弱性や設定不備をつく攻撃によって被害を受けるケースは攻撃側の効率化もあり、増加傾向にあります。もちろん企業側の人材不足やリスク認識の欠如も要因の一つです。脆弱性対応のスピード、対応スコープの決定など、企業側が攻撃側のそれに追いついていません。結局のところ、セキュリティの穴をとりあえず埋めようというパッチワーク的な対応に終始してしまい、全体を見て根本的なセキュリティ対策をできている企業は少ないと感じます。2:8の法則と言うわけではありませんが、全体最適を考えてセキュリティ対策を推進している企業は2割ほどしかなく、ほとんどのお客さまは、穴を埋める個別の対策で手いっぱいになっています。
城氏: 実際、見つかった穴に対してモグラ叩きのような対策を続けてしまうケースは多いです。その結果、セキュリティ対応している最中に被害を受けてしまうという事例もあります。一気に全体最適なセキュリティ環境を作ることはできませんから、予算や時間を見て段階的に対策を進めることになります。しかし、攻撃者はその対策が終わるのをのんびりと待ってくれるわけではありません。現場の方にとっても、責任範囲が限られているので、やれるところをとにかくやるという対応にならざるをえない。経営の関与がないとどうしようもないというのが現場の本音でしょう。
-
城 征司 氏
高岡氏: 仰る通りです。結局、セキュリティ対策で問われているのは組織力なんです。
IoTデバイスが爆発的に増加し、人手でのセキュリティ対策は限界に
──組織力を高めるためにはなにが必要なのでしょうか。
高岡氏: 経営層のビジョンに沿ってインフラの整備やセキュリティ強化のレベル感を議論していくことが求められます。例えばインフラについては、VPNの脆弱性を塞ぐだけではなく、業務要件(アプリケーションの集約、デジタル化など)に応じて、閉域網の見直しやネットワークの見直しを議論することが重要です。インフラの見直しを進めないまま、オンプレとクラウドが別々に存在する非効率なハイブリッド環境が継続し、維持コストだけが増えているケースは少なくない。また、セキュリティ対策にフォーカスしすぎて、ネットワーク部門との連携をとらず、パッチワーク的に新しいセキュリティソリューションだけを導入しているケースも見られます。セキュリティ対策のための具体的な手段があっても、組織としてあるべき姿を議論し、正しいアプローチを採用できない限り、同じような機能に重複して投資するようないびつなセキュリティ投資を続けることになりかねません。
城氏: 問題は、企業が直面する環境が2025年以降ますます厳しくなるということです。例えば、ネットワークについてはIoTに代表されるデバイスの増加があります。情報通信白書によれば、世界のIoTデバイスは2024年で400億台、2026年には500億台(※2)を突破すると予想され、世界人口の80億人を超えています。自動車などの製造業はもちろん、小売、物流、保険などさまざまな分野でIoTデバイスの活用は広がっていきます。増え続けるIoTデバイスに穴があったとき、そこを人手で塞いでいくという対策は現実的ではありません。現場任せのパッチワークではなく、一元的にガバナンスを効かせる、人手ではなく自動化で対処する、といった考え方を経営層がトップダウンで進めていかないと、新しい時代についていけなくなります。新しいセキュリティのアプローチが必要なのです。
高岡氏: そうしたなかで登場したのがゼロトラストアーキテクチャです。ゼロトラストは従来型の境界防御型セキュリティとは異なるアプローチで、ネットワークに依存せずユーザーのアプリケーションアクセスを統合的に管理できるようにします。IoTデバイスのように脆弱性対応が難しいデバイスであっても、ゼロトラストアーキテクチャを適用することで攻撃表面を削減し、安全にインターネットに接続できるわけです。ゼロトラストは一種のバズワードとして、企業の経営層にも広く知られるようになりました。しかし、問題は、ゼロトラストについて恐ろしいほど誤解が蔓延していることです。ゼロトラストについて正しいアーキテクチャとメリットを理解しないと、期待している効果は出ないでしょう。
-
高岡 隆佳 氏
誤解が蔓延している「ゼロトラストセキュリティ」
──ゼロトラストに対する誤解とはどのようなものでしょうか。
城氏: 非常に多いのは、ZTNA(Zero Trust Network Access)を従来型のVPNと同じ単なるリモートアクセス機能とみなしてしまうといった誤解です。結果、VPNのケーパビリティを基準にした機能面とコスト面の比較をしてしまい、ZNTAがコスト高になると誤解してゼロトラストへの移行を見送るお客さまがおられます。また、行政機関や業界ごとに発出されているセキュリティガイドラインへの対応も課題になります。これらのガイドラインは企業規模を始めさまざまな点で状況が異なる利用者を想定しているため、方向性こそ示してはいますが、どこまでやればいいかの対応の深さは明示していないことがあります。もし手段と目的を履き違えてしまうとガイドラインに準拠することが最優先になり、チェックリストを作れば何となく○はつけることができてしまいがちです。ガイドラインで方向を確認するだけでなく、どの程度成熟したレベルで対応するか、ベクトルとして把握することが求められています。このように多くの誤解があるなかで正しい理解を促すためには、われわれを含む提供側の説明力も問われます。
高岡氏: ゼロトラスト以前の問題ですが、自社がどうデジタルを活用して、どう業務を変革していくのか、しっかりとビジョンを描くことも重要です。デジタル変革の大題目はお客さまごとに異なります。それぞれが企業の事情にあわせて、セキュリティやインフラのあり方を変えていく。その際には、投資効果を定量的に見た上で予算の付け方を変えていくようなアプローチも必要になります。そうした取り組みを進めなければ、サイバー攻撃のスピードや市場の変化に追従できないまま、いつまでも後手にまわる投資に終始してしまうでしょう。
城氏: そうですね。とはいえ、企業のセキュリティ意識はこの数年で確実に向上しています。多くの経営者がセキュリティをコストではなく、投資だと考えるようになっていることはポジティブな要素といえるでしょう。また、大企業だけではなく、中堅中小企業のお客さまも新しいセキュリティソリューションに目を向け、導入を進めています。例えば、EDR(Endpoint Detection and Response)やSASE(Secure Access Service Edge)などが挙げられます。これらについては、当初はコストが普及の障壁になるのではないかと心配な面もありましたが、今では中小企業向けのラインナップも揃ってきているのと同時に、多くのユーザー企業が必要な投資だと当たり前に考えるようになっています。
「何をゼロトラストに移行し何を残すか」顧客ごとに考えることが重要
──では、企業はどのようにゼロトラストに取り組めばよいでしょうか。
高岡氏: まずはゼロトラストの正しい理解が必要です。ゼロトラストアーキテクチャ(ZTA)の概念を定義したNISTのSP800-207では、実装についてCSAのSDP仕様(v.1.0)を参照しています。またGartnerもZTNAとしてCSA SDPを類似するアーキテクチャとして引用している。SDPはアプリケーションをネットワークから隔離し、攻撃表面を削減することのできるアーキテクチャ。ゼロデイや脆弱性が突かれる余地がない。つまりSDPはゼロトラストを実現する具体的な仕様であるということです。ただ、さまざまなベンダーよってさまざまなゼロトラストソリューションが登場し、混乱も起きています。そこでNISTは状況を整理するために、SP1800-35というZTAの実装についてのドラフトを出しました。SP1800-35では、ゼロトラストは、拡張IDガバナンス(Enhanced Identity Governance)によるゼロトラスト初期実装や、先程のSDP、マイクロセグメンテーション、SASEによるゼロトラスト参考アーキテクチャについて言及しています。つまり、本来のゼロトラストの価値を提供するためには、SDPが必須であり、その実装方法も明確になっているということです。既存の境界線セキュリティで守れないクリティカルな業務がある、もしくはネットワークが足枷となっている部分があるのであれば、それは明確にゼロトラスト化のスコープとなります。
城氏: そうした取り組みを自社だけで行うことは簡単ではありません。アーキテクチャの理解も一筋縄ではいきませんし、どの方向にどこまで進むかの判断にも苦労します。そのためCISAではゼロトラスト成熟度モデル(ZTMM)もあわせて提示しています。ゼロトラスト成熟度モデルにセキュリティソリューションをマッピングしながら、現在の自社はどの段階にいるのかや、今後はどのような優先順位で取り組んでいけば良いのかを、ロードマップを作ることで取り組みやすくします。われわれも、セキュリティのコンサルティングサービスを提供しながら、お客さまごとに必要な戦略や対策を立案するお手伝いをしています。
高岡氏: その際に注意したいのは「100%ゼロトラストになることはありえない」という理解です。従来のセキュリティで構わない部分は従来の方法で守る。何をどうゼロトラストに移行し、何を残すか、残す場合にはどういうセキュリティ教育を施すのかなどをお客さまごとに判断していきます。例えば、製造業におけるIoTの取り組みでは、工場などの閉鎖ネットワーク環境におけるゼロトラストが重要視されるようになっています。また、取引先や顧客向けに公開しているアプリにおけるゼロトラストや、APIでつながる複数のパブリッククラウド環境のゼロトラストもサーバーを非公開にすることで攻撃表面を削減、APIセキュリティのケアも不要になるため、運用負荷軽減に貢献が期待できます。
「ゼロトラストの東西南北」で全体像を把握しやすくする
──ゼロトラストはクラウドというイメージがありましたが、実際は、IoTデバイスへの対策や、既存のオンプレミス環境、マルチクラウドなど、さまざまな領域での取り組みが必要になるのですね。
高岡氏: その通りです。われわれは、全体像を把握しやすくするために「ゼロトラストの東西南北」と呼んでいます。オンプレからクラウドまでを南北、エッジからデータセンターまでを東西にわけ、それぞれの領域で必要になる取り組みに優先度をつけることを提案しています。例えば、LANのなかでのセグメンテーションを実施するケースや、マルチクラウド間で起こる攻撃の横展開を防ぐケース、取引先向けアプリケーションでのサプライチェーン攻撃を防ぐケースなどがあります。全体のリスクを認識したうえで、プライオリティを決め、まずは、ユーザーとアプリケーションの間のネットワークからゼロトラストに移行するといったように取り組みを進めていきます。
城氏: このような全体を俯瞰した取り組みが求められるなかで、現在は、担当チーム、担当者ごとに所掌範囲が限定されていることが多いです。まさにパッチワークの状態で、その結果、As-Isが分からなくなり、To-Beも描けなくなっています。また、IT領域は原則として全体を情報システム部門が所掌していますが、OT領域は管理外というケースがあります。例えばあるお客さまにおいて、セキュリティ対策は工場単位で判断・実施となるため、ある工場にセキュリティ対策を提案し成功事例ができても、別拠点の工場に対して一から提案を始めなければいけない、というケースもありました。経営層が関与しながら、全体のロードマップを描き、長期的な戦略のもとで取り組んでいくことが重要です。
──戦略やロードマップを描いたら、具体的に何をどう取り組んでいけばよいでしょうか。
高岡氏: ゼロトラストは一筋縄ではいきませんし、組織体制やマインドセットにも依存します。では何からどう取り組めばよいか。そのためには2つの選択肢があります。1つは、アーキテクチャの違いとそれがもたらす価値を正しく理解した上で優先度をつけることです。ゼロトラは大きく変えてこそ投資効果が高まります。NISTやCSAのアーキテクチャや実装を参考に、ゼロトラストの東西南北について、優先順位をつけて取り組んでいきます。ただ、このアプローチは投資も期間も必要ですから、予算の確保が難しい企業にとって、大きく変えることが現実的ではない場合も多いです。そこで、もう1つの選択肢となるのが、自社環境の攻撃表面の把握です。自社「内外」にどんな脆弱性があり、何が脅威になっているか、すべてのリソースについて、CVE(共通脆弱性識別子)で把握できるようにします。ゼットスケーラーではデータファブリックを提供し、企業の投資してきた端末・ネットワーク・セキュリティ機器、クラウドといったコンテキストを元に、自社環境にCVEを照らし合わせた上で正しい優先度を把握できるソリューションを用意しています。これはリアルタイム人間ドックのようなもので、すべての環境を把握し、リスクを洗い出すことで、少ない人材で効率的にゼロトラストのスコープを決定し対策を講じることができるようになります。
NTTコミュニケーションズとゼットスケーラーとの連携で叶うセキュリティ対策のこれから
──具体的なソリューションやアプローチを教えていただけますか。
高岡氏: ゼットスケーラーでは、広範な領域をカバーするソリューションを提供しています。多くの企業に採用いただいている、Zscaler Internet Access(ZIA)やZscaler Private Access(ZPA)をはじめ、CASB(Cloud Access Security Broker)、DLP(Data Loss Prevention)、生成AI向けセキュリティなどでさまざまなニーズに応えます。さきほどの環境を把握する人間ドックのようなソリューションとして提供するのがZscaler UVM(Unified Vulnerability Management)です。UVMは、IoTデバイスやセキュリティ装置、クラウド上のシステムなどからさまざまなログを収集して、脆弱性情報を整理し、対応の緊急度を明らかにします。既存環境を変えることなく、自社がゼロトラスト化すべきスコープの決定や自社にとって緊急度の高い脆弱性の掌握が可能なため、ゼロトラスト移行が難しいと感じている組織にとって受け入れやすいソリューションです。
城氏: 私はセキュリティの「シフトレフト」と「シフトライト」というキーワードをよく使っています。元々はソフトウェア開発プロセスで使われている言葉なのですが、シフトレフトとは、NISTのサイバーセキュリティフレームワークで提唱している、「統治」「特定」「防御」「検知」「対応」「復旧」における、防御より前の段階で実施する「特定」フェーズを重視するものです。攻撃表面が増え続けるなかで、自社の環境をきちんと可視化し、どこが弱いかを見つけるという取り組みです。反対にシフトライトは、すり抜けてきた攻撃への対応や復旧を重視するもの。すみやかに検知して対応することを自動化していく取り組みです。この両方に取り組むことができるソリューションとして「Cyber Resilience Transformation(CRX)」を提供しています。ゼロトラストと運用DXを通じて、お客さまの事業継続性(サイバーレジリエンス)を強化していきます。その要となるのがゼットスケーラーのSASEやUVMです。また、自動化のためのデジタルワークフロー構築やセキュリティコンサルティングサービスも提供しています。エージェント導入によるセキュリティ対策を施しにくいIoTデバイスを安全に活用するために、弊社が提供するSIMからゼットスケーラーに接続することでゼロトラスト環境を実現する、両社の強みを生かしたご提案も開始します。
──ゼットスケーラーとNTTコミュニケーションズの協業体制について教えてください。
城氏: 6年以上の協業実績があり、さまざまなお客さまにサービスを提供してきました。例えば、某証券会社に共同でサービスを提供した際には、その当時の情報システム部長様 より「当時、ITリーダーとして、NTTコミュニケーションズ様を通じてゼットスケーラーの採用を決定いたしました。NTTコミュニケーションズ様を選定した理由は、長年にわたり包括的なサポートをいただいていること、ゼットスケーラーを含むSOCサービスを提供していること、そしてゼットスケーラー導入の豊富な実績に大変魅力を感じたため」というコメントをいただいています。
高岡氏: 私たちも、導入やSOCサービスの面などでNTTコミュニケーションズさんを頼りにさせていただいております。パートナーになっていただいて依頼、毎年着実に導入実績およびエンジニアの方の資格取得などを増やしていただいています。
──最後にメッセージをいただけますか。
城氏: 国内では、その圧倒的な実績と信頼から「SASEと言えばゼットスケーラー」という評価が定まっているかもしれません。しかし、現在のゼットスケーラーにおいては従来のSASEはケーパビリティの1つにすぎません。UVMやOT/IoT向けセキュリティなどゼットスケーラーのソリューションは日々進化しています。パートナーとしてゼットスケーラーのケーパビリティをお客さまに正しく伝えていきますし、ネットワークやモバイル、IoT、マネージドセキュリティなどを組み合わせることで、NTTコミュニケーションズとゼットスケーラーの組み合わせだからこそできる付加価値を提供します。
高岡氏: ゼットスケーラーの強みは、ゼロトラストを牽引する企業として、網羅的なソリューションおよび段階的な移行をサポートできる点です。これからも正しいゼロトラストを伝え、お客さまを支援していきます。
──ありがとうございました。
※1
[PR]提供:ゼットスケーラー
Windows 11を簡単に高速化する手法
