1999年に出版された書籍だが、米国国防省向けに開発したセキュリティモデルだ。ここでいう“保護時間”は、日本企業が脅威にさらされた際に攻撃スピードを遅らせる必要がある。つまり「家に鍵をかける」ということ。もちろん完全に侵入を塞ぐことはできないものの、侵入速度を低下させることは可能だ。
2つめの“露出時間”は攻撃者の侵入検出と対応の時間を指す。たとえば運転中に無謀な運転をする自動車が現れたとしよう。そのドライバーを検知し、危険に対して対応する時間と述べると分かりやすいだろう。
日本企業が過去に実施したセキュリティ投資が無駄か否かは、費やした投資が保護時間と露出時間に合致するか確認しなければならない。あくまでもゼロトラストは1つの考え方であり、具体的な実行を指すものではない。
――これまでにセキュリティ投資を保護時間と露出時間に合致させるという考えだが、クラウドが普及したことでファイアウォールやIDS(不正侵入検知システム)、IPS(不正侵入防止システム)が不要になると考える日本企業もいるかもしれない。そうした意見にはどう提案するのか。
Micro Focus エンタープライズセキュリティオペレーション製品管理ディレクター Michael Mychalczuk氏
誤解があると思う。利用するパブリッククラウドのプロバイダーによって左右されるが、パブリッククラウドのファイアウォールは自分たちが提供するSaaSを保護するレイヤーだ。もし企業が採用するクラウドプロバイダーがフルサービスプロバイダーであれば、ファイアウォールなどを減らすことも可能だろう。
だが、パブリッククラウドを利用する日本のユーザー企業も自己責任は存在する。データセキュリティもそうだし、権限管理もそうだ。たとえば日本企業が欧州でビジネス展開し、EU(欧州連合)のGDPR(一般データ保護規則)に準拠する義務がある場合、欧州側はクラウドを日本企業が利用しているか否かにかかわらず、日本企業はデータコレクターとして認識される。つまりセキュリティの責任は日本企業が負うことになる。
また、Microsoft AzureもAmazon Web Servicesもベースインフラにセキュリティ対策を講じているが、上位レイヤーに関しては彼らが提供するマーケットプレイスを見ても分かるとおり、ファイアウォールが多数存在する。
つまり、セキュリティの担保はユーザー側にあるという意味だ。ハイブリッドクラウド市場におけるサービスを見回しても、そしてマーケットプレイスのファイアウォール、IDS/IPSが存在していることを踏まえると、パブリッククラウドだからといってファイアウォールを考える必要はないと捉えるのは誤解だろう。
日本企業が今後得られるメリットは、先行者から学べる点だ。特にパブリッククラウド利用に関してはユーザー企業とプロバイダー側の責任を明確に理解し、対応が可能だろう。
――これまでのセキュリティは内側から攻撃しないだろうという前提で考えており、ゼロトラストは内側でもIDやユーザーの行動や振る舞いを見てセキュリティ対策を講じよう、という理解で合っているか。
日本企業は外部からの侵入や侵害に一貫したセキュリティ対応を講じてきた。たとえば東京という街なら境界線に壁を作って守っている。つまり、セキュリティ侵害に対する防衛はファイアウォール、IDSを導入し、生じたギャップを埋めるためにテクノロジーを活用してきた。
