ゼロトラストとは何か? 政府機関からのよくある質問に対するシンプルな回答

This post is also available in: English (英語)

バイデン大統領が「Executive Order on Improving the Nation’s Cybersecurity（国家のサイバーセキュリティ向上に関する大統領令）」に署名した5月以降、政府機関ではゼロトラストアーキテクチャの採用に向けた取り組みが強化されています。これらの機関やその他の公共部門の組織の多くは、セキュリティアプローチの再構築と改善を含むデジタルトランスフォーメーション（DX）ジャーニーの一環として、大統領令以前にすでにゼロトラストの基礎を築いていました。

ゼロトラストについてはまだまだたくさんの疑問があることは私たちも把握していますし、政府機関の皆さんのなかには、「パロアルトネットワークスのサポートを受けてゼロトラストのエンタープライズ的アプローチを展開するというのはいったいどういうことなのか」ということを疑問に思われている方もおられるかもしれません。そこで、政府機関がサイバーセキュリティジャーニーに出立するにあたり、ゼロトラストについて押さえておくべき基本事項を、本稿ではかいつまんでご紹介したいと思います。

「ゼロトラスト」とは

「ゼロトラスト」は、「暗黙の信頼を排除し、デジタルインタラクションのすべてのステップを継続的に検証することにより、組織のセキュリティを確保するサイバーセキュリティへの戦略的アプローチ」と定義されています。

ゼロトラストの基本的な考えかたは、「Never trust, always verify（決して信用するな、常に検証せよ）」です。自組織のセキュリティ境界の内側にある、というだけではもはや何も信頼はできません。セキュリティ境界が進化し、IT環境が高度に複雑になるにつれて、組織は「誰が/何が環境にアクセスできるのか」を継続的に認証・認可・検証し、「最小特権」のアクセスを与えなくてはいけません。この認可は、アクセス要求主体（誰が/何が）、要求のコンテキスト、リスクレベルに基づいて行われます。

適切に導入されたゼロトラストは、サイバーセキュリティに対する戦略的アプローチによりリスク管理をあるひとつのユースケースへと簡素化してくれます。そのユースケースとはすなわち「ユーザー、アプリケーション、インフラに対する暗黙の信頼をすべて取り除くこと」です。

ゼロトラスト戦略の採用価値はどこにあるか

ゼロトラストは、政府機関その他の組織が、ITネットワークや環境にレジリエンスを組み込む手段です。ゼロトラストをその機関のセキュリティアプローチを導くための戦略的フレームワークとして活用することで、たとえ環境が侵害を受けてもミッション遂行の継続が可能になります。

またゼロトラストは、企業の将来のセキュリティ投資の指針となる北極星のようなものです。その時々の脅威がどのようなものであっても、それらの脅威によってセキュリティ投資に関する意思決定を左右されることがなくなります。ゼロトラストに移行することで、企業はいくつかの方法でコストを削減できます。

• ユーザー、アプリケーション、インフラに対する暗黙の信頼を排除することでリスクを低減します。
• 最も厳格なセキュリティチェックを導入することでセキュリティによりよい成果を残します。
• 簡素化された一貫性のあるセキュリティ態勢を採用して管理コストを削減します。

ゼロトラストエンタープライズになる方法

ゼロトラストは、「すでに持っているもの」と「必要なもの」を見極めることからはじめ、緊急のリスクを軽減してレジリエンスを達成します。政府機関をはじめとする官民の組織は、ユーザー、アプリ、インフラと、アイデンティティ、デバイス/ワークロード、アクセス、トランザクションとの関わりに基づいてゼロトラストにアプローチする必要があります。

そのアプローチの例をこの図に示します。

ゼロトラストプロセス導入はどこから始めてもかまいません。たとえばゼロトラストネットワークアクセス、DevSecOps、マイクロセグメンテーション、サードパーティ管理などから始めることができます。

ゼロトラストエンタープライズアプローチの重要要素

パロアルトネットワークスは、高品質で統合化されたセキュリティ対策製品やサービスを幅広く展開しているという点で、ゼロトラストエンタープライズの実現において他社と異なるユニークな立ち位置にあります。弊社は、ユーザー・アプリケーション・インフラにまたがるすべての暗黙の信頼を排除することで、ゼロトラストの実現と確保をサポートします。これらの重要要素が、弊社アプローチの他社との差別化に一役買っています。

• 包括的である: ゼロトラストでは特定テクノロジにフォーカスしてはいけません。ネットワーク、エンドポイント、クラウド、アプリケーション、IoT（モノのインターネット）、アイデンティティなど、組織が保護のために依存しているコントロールのエコシステム全体を一体として考慮しなければなりません。
• アクションに落とし込める: 包括的ゼロトラストは簡単ではありませんが着手が難しくてはいけません。
• わかりやすい: ゼロトラストアプローチは、技術者ではないエグゼクティブが理解できるように、簡潔でわかりやすいものでなければなりません。
• エコシステムとの親和性が高い: 市場で最も包括的なポートフォリオを持ちつつも、ゼロトラストエンタープライズのあらゆる側面の実現に向け、幅広いパートナー企業のエコシステムに高い親和性を持っています。

以下の図は、ゼロトラストエンタープライズのフレームワークがどのようなものか、そしてそれを支えるさまざまなテクノロジ製品がどのようなものかを説明しています。

ゼロトラストをクラウドにも

これまでの説明が、ゼロトラストについての根本的な疑問を解決し、パロアルトネットワークスがどのようにお客様のゼロトラストジャーニーをサポートできるかについての答えになっていれば幸いです。最後に取り上げるのは政府機関の皆さんからよくいただくご質問で、「ゼロトラストポリシーをクラウドに拡張するのはどのぐらいむずかしいのか」というものです。

この難しさとは、今日ではアプリの多くがパブリッククラウドかプライベートクラウドから直接配信されるようになっており、アプリへ直接アクセスできてしまうことやその迅速な開発モデルが、ユーザーへのアプリ配信/消費モデルを根本から変えてしまったことにあります。こうした変化は、従来のデータセンターにおける「城と堀」型のレガシーアプローチとの間に亀裂を生じさせ、IaaS、PaaS、アプリ配信プラットフォームに暗黙の信頼を与えた結果としての新たなリスクをもたらしています。こうしたエコシステムにおける暗黙の信頼の発見と排除には、新しい視点と創造的破壊というアプローチが必要です。

最近、パロアルトネットワークスの連邦政府チームは、ある連邦機関と協力して、重要データのセグメンテーションプログラムをオンプレミス環境からクラウド環境へと拡張しました。この連邦機関は統合ポリシー管理プラットフォームPanoramaのシングルポリシーエンジンを活用し、新たな設計を行うことなく、オンプレミスとクラウドの両方の環境に同一のゼロトラストポリシーを適用しています。

ゼロトラストアーキテクチャでデジタルトランスフォーメーションを促進する方法について詳しくは、こちらのWebサイトをご覧ください。弊社プロフェッショナルサービスチームは、個々の企業様のニーズに応じたゼロトラストアーキテクチャの設計、導入またはその両方で各企業様のゼロトラストエンタープライズジャーニーをサポートいたします。