本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
前回は、単なるバズワードではなく企業が採用すべきサイバーセキュリティ戦略である「ゼロトラスト」について解説した。クラウド移行やテレワークによって企業のITインフラが境界線のないものに変化すると同時に、アカウント権限や正規アプリケーションの悪用をはじめとするサイバーリスクの変化からも、ユーザー、アプリケーション、エンドポイントおよびワークロード、コンテンツの全ての観点で企業のデジタルインフラから信頼を取り除く必要があることが理解していただけただろう。
今回は、ゼロトラストが議論されている中でよく聞く「5つの誤解」について述べてみたい。
誤解1.ゼロトラストは「信頼できるようにすること」
「システムやITインフラを信頼できるようにすることがゼロトラストの目的である」といった議論を一部で目にするようになった。情報漏えいだけでなく、金銭詐欺や事業継続の妨害など、近年一層深刻になるサイバーリスクが企業だけでなくサプライチェーン(供給網)や顧客、社会にもたらす影響の大きさは、もはや計り知れないものになっている。
ゼロトラストの定義は、サイバーセキュリティ分野で参照される機会が増えているNIST(米国標準技術研究所)発行の「SP800-207」において、「企業は暗黙の信頼を全て取り除き、資産やビジネスに対するリスクを評価して、これらのリスクを回避するための防御を行うこと」と記載されている。ゼロトラストとは、「全ての場所の全てのユーザー、デバイス、アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで、侵害を防ぐためにデザインされたセキュリティ戦略」である。その戦略のもとに、全ての通信や状態を可視化した上で検査しログを取得するというアプローチをとる。
つまり、「ユーザー」「エンドポイント」「ワークロード」「アプリケーション」「コンテンツ」といった全てのリソースに対する信頼を取り除いて、ポリシーとコンテキストに基づいて動的に可視化、監視、制御を「継続する」ことがゼロトラストであり、単なるセキュリティツールの導入や一時的な認証・認可を通じてリソースを信頼するためのものではない。先に述べた通り、「セキュリティの戦略」である。認証・認可しても、その後の挙動や送受信されるコンテンツを信頼できる保証は一切ない。「信頼は企業にとって最も危険な脆弱性」という思想がゼロトラストの根底にある。
セキュリティを継続して強化することで企業の信頼性を構築する取り組みは重要施策の1つになっている。近年はセキュリティの取り組みを対外的に公表する企業もおり、社会や顧客、サプライチェーンの企業に対する信頼の醸成に確実に寄与するだろう。企業が信頼を構築する手段としてゼロトラスト戦略を採用する発想自体は理にかなっている。