ゼロトラストの課題はなぜ生じる?

This post is also available in: English (英語)

「信頼」はこれまで、リモートワーク普及の妨げとなっていました。要するに、従業員がオフィス外でもやるべき事をやり、気の散る自宅環境で同じレベルのパフォーマンスと生産性を発揮できるかどうかを会社側は疑問視していたわけです。つい先日まで、誘惑の多い自宅からリモートで働くことは、まず許可されないか、特別な権限が必要な働き方だと考えられていました。ところがこの1年半、困難と戦うなかで、私たちはこれまでとまったく違う生きかた、学びかた、働きかたを受け入れるようになりました。従業員に対するこれまでの疑念が突如として晴れたように見えますし、実際そうなっています。ですが、「リモートワーカーを信頼すること」と、「リモートワーカーが使用するテクノロジを暗黙の内に信頼すること」は、まったくべつの問題です。

「信頼」と「暗黙の信頼」

「ヒトが期待通りに行動することに確信を持てる場合に生じる感情にまつわる脳の状態」の意味以外での「信頼」とは何を意味するのでしょうか。企業は従業員を「信頼」できますし、また信頼すべきではありますが、「信頼」にはこの意味とはべつの、リモートワークに関連する意味づけが存在します。

たとえばサイバーセキュリティ分野では、ヒトとヒトの「信頼」になぞらえて、ネットワークやチャネル、インターフェイス、デバイス、証明書、資格情報などITインフラストラクチャのさまざまなモノについても「信頼済みである」として話を簡単にしていることがめずらしくありません。この「信頼済み」という認識は、「制約を受けずに例示したモノを使用する権限が何らかの形で取得されている」という「暗黙の判断」をベースにしており、その根拠にあるのは、たとえばそのモノが存在している場所や、すくなくとも1回は身元が確認されたことがある、という事実だったりします。

これがいわゆる「暗黙の信頼」と呼ばれるもので、私たちはテクノロジを使って「従業員の所在地」と「従業員によるアクセスが必要な情報の保管場所」とをつなぎ、従業員のデバイスからデータ、アプリケーション、ITシステムへのアクセスが大雑把に暗黙の許可を与えています。ところが、この「暗黙の信頼」が問題となる場合があります。

暗黙の信頼と攻撃者

ではITシステム侵害をもくろむ攻撃者なら誰もが検討する初歩的確認事項は以下のようなものでしょう。

  • 信頼済みネットワークの終端はどこか
  • その信頼済みデバイスからアクセス可能なシステムがどれだけあるか
  • 信頼済みのユーザー名とパスワードのペアを使用して、どこにアクセスできるか

これらの問いに共通する要素は、このどれもが「暗黙の信頼をもつコンポーネントを使えば攻撃上明らかに優位に立てる」という想定をもとにしている点です。

確かに、暗黙に信頼されたマシンのコントロールを奪えば、それ以上のセキュリティチェックを受けずに他のシステムへアクセスでき、攻撃者は優位に立てます。

裏を返すと、ゼロトラストを正しく導入すれば情報へのアクセスやデジタル資産の取り扱いに関する意思決定から信頼の概念を排除してこの優位性を奪うことができます。

ゼロトラストは「ツール」ではなく「戦略」

ゼロトラストの登場から10年近くたっていますが、その意味や適切な実装方法の理解はまだ完全とはいえません。何が原因でしょうか。

これは主に、自社ソリューションを魅力的で競争力のある製品に見せたいベンダがゼロトラストという言葉を誤用・誤解している現状と関係しています。こうしたベンダは、ゼロトラストネットワークアクセス(ZTNA)やソフトウェア定義境界(SDP)、ID定義境界(IdP)といった機能を持つ自社製品も、ゼロトラストアーキテクチャを実現する特効薬と主張しようとしています。しかし、全社的なゼロトラストを達成するには、ITシステムから暗黙の信頼を戦略的に取り除き、プロセス上のデジタルなやり取りを絶えず検証する必要があることは、まじめに検討されていません。

要するに、戦略的なゼロトラスト導入の成功には特定の機能が必要となりますが、そうした機能を導入する際には、暗黙の信頼に関する個々の問題を解決できると主張する個別の製品やベンダが無数に存在する中で、製品やベンダとどう関わるかを慎重に検討しなければなりません。

ネットワークとIPアドレスから暗黙の信頼を取り除くツールと言えば、まさしくファイアウォールのことです。ですが、ファイアウォールが許可したトラフィックであれば、トラフィックを送受信するユーザーやデバイスの身元を信頼してよいのでしょうか? 暗黙の信頼に関するこのような課題を解決するにはIDソリューションが必要ですが、今度はユーザーが接続に使うデバイスの問題が浮上します。そのデバイスは侵害されていないものとして信頼できるのでしょうか? 従来この領域ではエンドポイントソリューションを導入して、2つ目の暗黙の信頼を取り除いていました。

ところが、このアプローチには終わりが無いという問題があり、暗黙の信頼に関する課題が発生するたびに、その課題を緩和しようとして製品やソリューションを追加する必要が生じてしまいます。

たとえば、認証済みユーザーからの実トラフィックを信用できるかという課題には、IDS/IPSが必要です。また、デバイス間で送受信されるファイルの課題には、ネットワークアンチウィルスとサンドボックスが必要となるなど、キリがないのです。

こうした点を念頭に置くと、サイバーセキュリティソリューションを導入する企業がまとまりに欠けるアプローチの採用を強いられ、ちぐはぐで場当たり的な形で取り組みを進めているのも不思議ではありません。

市場に存在するソリューションがいずれも信頼に関する大きな問題の一部しか解決しないとしたら、一体どれだけのソリューションを導入する必要があるのでしょう。ソリューションの連携に必要な労力も計り知れません。

ゼロトラストで問題を解決

この問題は逆の視点から検討する必要があります。サイバーセキュリティ分野に過去10年で普及したゼロトラストを用いて問題を解決するには、テクノロジはひとまず脇に置いて、戦略に注力しなければなりません。ゼロトラストを達成するにはID、デバイス健全性、アクセス制御、絶え間ない検査が常に必要だと理解することは、サイバーセキュリティの個々の問題だけを解決する製品を、戦略的なアプローチの大局的な視点と方向性を一致させることなく導入・展開することではありません。サイバーセキュリティ自体をビジネスの成果と常に連携させるべきです。また、セキュリティ担当者は、自身の目標がサイバー犯罪者を捕まえることや次のゼロデイ攻撃を防ぐことではなく、毎日無数のサイバー攻撃が押し寄せる中でも常に事業を継続させることであると認識すべきです。

そしてこれこそが、パロアルトネットワークスがゼロトラストに関する独自の設計サービスを開発した理由です。このサービスはビジネスの優先事項と重要な資産の把握を支援することで、ゼロトラストの達成に求められる適切なアーキテクチャと機能について検討する以前から、会話の内容を「ゼロトラストを実現するにはどの製品を購入すべきか」から「当社のゼロトラストの成熟度はどの程度で、どこにゼロトラストを適用するか」といった内容に進歩させます。

まとめると、テクノロジの導入ではなく戦略的な思考でゼロトラストにアプローチすることで、ゼロトラストの性質に関する問題と誤解が確実に解消されます。そして、サイバーセキュリティの最終目標である、サイバー攻撃をものともしない事業継続性の実現が、現実的で達成可能な成果に変わるのです。