本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
サイバーセキュリティの世界は、例年バズワードのようになる話題のキーワードが生まれている。例えば、「CSIRT(Computer Security Incident Response Team)」「SOC(Security Operation Center)」「EDR(Endpoint Detection and Response)」などが近年の代表例である。もちろん全てが単なるバズワードではないが、特に米国で毎年春先に開催されるサイバーセキュリティ業界最大の展示会「RSA Conference」は、1年間のキーワードを占う場所としても知られている。そこで数多くのベンダーの出展ブースから聞かれ、話題になっているキーワードの1つが「ゼロトラスト」だ。
芸術などの世界の流派のごとく、昨今は実にさまざまなセキュリティベンダーがいろいろなゼロトラストを語っている。いずれもがゼロトラストの必要性を訴えている中で、それ自体を必ずしも否定するつもりはないが、中には自社の製品やサービスに“ゼロトラストソリューション”という冠をつけて積極的にコミュニケーション活動を行っているベンダーも存在する。
最近は、「ゼロトラストを導入せよ」という上層部からの突然の号令の下に、現場担当者がゼロトラストとは何かも分からずに、対応を求められているという話をよく耳にするようになった。今回は、この「ゼロトラスト」がなぜ話題になっているのか、セキュリティベンダーがマーケティング目的で使っている単なるうたい文句やバズワードなのか、本当に企業のセキュリティに求められるアプローチなのかを議論してみたい。
ゼロトラストは「戦略」
ゼロトラストとは、元々Forrester Researchでサイバーセキュリティに関するアナリストをしていたJohn Kindervag(現パロアルトネットワークス 最高技術責任者)が考案したものとして有名だ。2008年から数多くの講演でゼロトラストを紹介し、2010年には2年間に及ぶ検証の末にホワイトペーパーを公開している。約10年という長い年月を経て今に至っているコンセプトであり、このようなパターンのサイバーセキュリティのキーワードは極めて珍しいと言える。
ゼロトラストに関して、最近になって数多くの情報発信が行われていることから、セキュリティ対策の手法やアーキテクチャーの話なのか、技術やソリューションカテゴリーの名前なのかと、ユーザーの間では混乱が起きていると耳にしている。ゼロトラストとは、「全ての場所の全てのユーザー、デバイス、アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで、侵害を防ぐためにデザインされたセキュリティ戦略」である。その戦略のもとに、全ての通信を検査しログを取る――というアプローチをとるというものだ。
「ゼロトラストアーキテクチャー(ZTA)」や「ゼロトラストネットワークアクセス(ZTNA)」といった言葉があることもユーザーの誤解の要因になっているようだが、前者はゼロトラストを実現するためのセキュリティの構築方法であり、後者はあくまでゼロトラストを実現するためのセキュリティ機能の1つである。従ってZTNAは、次世代ファイアウォールやEDR、サンドボックスなどと同様に、あくまでセキュリティ対策のツールや機能の1つである。
