ありとあらゆるITセキュリティ企業が、ますます深刻化してきているサイバー攻撃に対する回答として「ゼロトラスト」を前面に押し出しているように見受けられる。しかし、英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)のサイバーセキュリティ専門家らは、そのつかみどころのない定義ゆえに、顧客は慎重にアプローチすべきだと警告している。
NCSCは、ゼロトラストがITの世界で「大きな流行語」になっていると指摘した。そしてその定義の不明瞭さに取り組んでいくために、ゼロトラストへの移行を掲げる組織が気を付けるべきワナや落とし穴について概説している。
では、NCSCによるゼロトラストの定義とはどのようなものだろうか。
NCSCはブログ上で「ゼロトラストとは、ネットワーク上に当初から存在している信頼を取り除くというアイデアだ。ファイアウォールやVPN(仮想私設網)という『信頼された』内側に配置されている機器だからといって、当たり前のように信頼すべきではない」と説明している。
そして「そうではなく、発生するさまざまなトランザクションの中で確信を築いていく方法に目を向けるべきだ。これは、数々のシグナルを吟味し、コンテキストを築き上げていくことで可能になる。こうしたシグナルは、機器の健全性やロケーションといった情報の断片であり、これによってリソースへのアクセスを許可する上で必要となる確信がもたらされる」と続けている。
しかしNCSCは、すべての組織がゼロトラストアーキテクチャーを採用できる段階に至るわけではないと認めてもいる。また、これは標準や規格ではなく、「ネットワーク設計に向けた1つのアプローチ」だと強調してもいる。つまり、適切に実施できているかどうかを知るのは困難な場合もあるということだ。
さらに、ゼロトラストネットワーク設計に向けた移行で発生する直接的あるいは間接的なコストもあるだろう。直接的なコストには新たな製品や機器、サービスが含まれる。一方、間接的なコストにはエンジニアの訓練や、新たなライセンスやサブスクリプションの費用が含まれる。しかしNCSCは、継続的に発生するこうしたコストについて、既存のネットワークサービスの維持や刷新のコストを下回ることもあるとしている。
NCSCは「ゼロトラストアーキテクチャーへの移行は組織に大きな混乱を巻き起こす可能性がある。『完全なゼロトラスト』モデルへの移行は、組織全体の変革を必要とすることもあるため、達成までに数年を要する場合もある」と警告している。
またNCSCは、「目的とするモデルがその途中で発展していく場合、どういった状態が移行完了なのかを定義するのは困難だ」と続けている。
また、ゼロトラストというコンセプトに合致しない大規模システム、例えば二要素認証といったモダンな認証手法を搭載していないレガシーな給与支払いシステムを稼働させている多くの組織にとって、さまざまな面での考慮が必要となる。