Chris Hines (head of product marketing for Zscaler Private Access and Z App. Zscaler Inc)
ゼロトラストのコンセプトが発表されてから10年が経ちましたが、サイバーセキュリティに携わる多くの方がこのコンセプトに対して持つ2つの疑問があります。
- ゼロトラストがなぜ重要視され続けているのか?
- ゼロトラストを実際に実現できるのでしょうか?
ForresterのプリンシパルアナリストであるChase Cunninghamは、最近のブログ(The Tao of Zero Trust)で、ゼロトラストがセキュリティで注目を浴びる事になった理由について以下のように説明しています。
企業において、完全にセキュアな環境を作るための熱意(および関連するコスト)が枯渇したという事実。多くの企業や団体は現在、完全にセキュアな環境を構築する事は不可能であることを認識しています。
企業の幹部(CxO)は多くのセキュリティの専門用語や技術に焦点を当てた議論に疲弊しています。よりシンプルなセキュリティ対策の戦略が必要です。「ゼロトラストは名前がシンプルであり、包括的なアプローチとともに、企業を悩ます様々な障害を現実的に受け入れます。」とカニングハムは説明しています。
そして、3つ目の重要なポイントとして、アプリケーションへのアクセスをネットワークアクセスから切り離し、ゼロトラストモデルを実現するために必要な技術が利用可能になった事です。ゼロトラストのコンセプトが生まれたときに、安全なアプリケーションアクセスには、すべての外部からのアクセスを疑う考え方のもとに、専用線ネットワーク、ファイアウォール、およびインバウンドゲートウェイアプライアンスが必要でした。しかし、そのような方向性であっても、そのソリューションは過度に信頼され、依然として脆弱な状態であったと考えられます。
初期の時代では、クラウドテクノロジーはまだ広く採用されておらず、モバイルワーカーはほんの一部に過ぎず、ゼロトラストについてコンセプトとしての理想的なソリューション以上のものではありませんでした。
ゼロトラストの理論から実践
今日、ゼロトラストはもはや単なる理想論ではありません。このモデルは、ゼロトラストネットワークアクセス(ZTNA)テクノロジーやソフトウェア定義ペリメタ(SDP)およびIDプロバイダー(IDPs)、などのクラウド時代に生まれたクラウドホスト型テクノロジーを含む現在のサイバーセキュリティ環境により実現可能である事を説明しています。
しかし、多くの場合、ゼロトラストモデルは、ユーザをネットワーク上に留めつつセキュリティアプライアンスを販売するベンダによって、誤って伝えられているケースがあります。それにより企業は攻撃対象を増やし、企業ネットワークとアプリケーションをランサムウェアやDDoS攻撃にさらしています。
同時に、多くの先見性のある企業はデータセンタのファイアウォールや数十年前のテクノロジーに別れを告げ、クラウドホスト型のセキュリティアプローチへの移行を積極的に進めようとしています。これはゼロトラストを実現するために必要なアプローチです。しかし、実際にはどのような対策をすればよいのでしょうか?企業はサイバーセキュリティ製品を変更すべきだと言う人もいます。つまり、ゼロトラストのためのソリューションを構築する前に、パッチの適用、多要素認証の実装、ファイアウォールの適切な構成などの簡単なことを行う必要があると示唆しています。しかし、私たちはまったく違う考え方、より包括的なアプローチを信じています。
ガートナーの継続的適応リスク信頼評価(CARTA)フレームワークは、ゼロトラストの基盤の上に構築されています。これにより、ゼロトラストが、特定のアプリへのアクセスとユーザの認証を提供するための大きなフレームワークの一部である新しい考え方を受け入れることができます。
Zscalerは、Gartnerの提案に同意しています。我々は全く境界のない世界にいるわけではありません。代わりに、様々な境界の数が指数関数的に増加しました。新たな境界線はデータセンタの周りだけでなく、ユーザ、デバイス、個々のアプリケーションの周りに存在します。この適応型で無駄のないジャストインタイムのセキュリティというCARTAの概念が気に入っています。即ち、ネットワークへのアクセスを最小限に限定し、アクセスの期間を限定し、そして厳重にアクセスを監視してリスクと異常な活動を監視するという考え方です。
現実には、企業がクラウドに移行すると完全にネットワークを制御できなくなります。したがって、「ネットワークセキュリティ」は不可能になります。セキュリティは、IPとポート単位ではなく、ユーザとアプリで定義する必要が出てきます。コンテキストに基づいてアクセスを提供し、そのアクセスとアクティビティを十分に監視する唯一の方法です。企業はゼロトラストについての考え方を学び、それを実現するのはアプライアンスではなくクラウドであることを認識しなければなりません。