ゼロトラストにおける5つの迷信を検証していく

Debunking Five Myths About Zero-Trust

2021/11/05 SecurityBoulevard — セキュリティ業界では、何年も前からゼロトラストという言葉が使われている。ゼロトラストはセキュリティ業界の最新バズワードだと、多くの人々が捉えているかもしれないが、実際には何年も前から存在している概念である。

ゼロトラストは、10年以上前から存在するネットワーク・アーキテクチャ・モデルであり、リソースへのアクセスを確保し、攻撃対象を減らすためのパラダイムシフトを意味している。John Kindervag は、このモデルの先駆者であり、Forrester の論文 No More Chewy Centers:Introducing The Zero Trust Model Of Information Security において、この言葉を初めて使った。

企業がゼロトラストへの移行に関心を持つにつれて、誤解も生じている。以下では、ゼロトラストがネットワークの可用性、および、ユーザ・エクスペリエンス、生産性に与える影響や、エージェントレス・デバイスやアンマネージ・ドシステムを保護する能力など、IT リーダーたちが抵抗を感じる原因となっている5つの迷信を紹介する。

迷信1:ゼロトラストは製品である

ゼロトラストは製品ではなく、取り組みであることを認識する必要がある。簡単に言えば、ゼロトラストは、ネットワーク上の暗黙の信頼を、徐々に排除していく情報セキュリティモデルである。ゼロトラスト・モデルに不慣れな企業にとっての課題は、実際には提供されるはずのない、ゼロトラスト製品を提供すると主張するベンダーから離れることである。その代わりに、IT リーダーは、ゼロトラスト・アーキテクチャへの移行をサポートする、ツールを構築しているベンダーを検討する必要がある。

実際には、複数のカテゴリにおいて、ゼロトラスト・ネットワーク・アーキテクチャの実装を可能にする製品が存在、組織を最適なセキュリティ態勢へと導く。これらの製品を適切に統合して使用すれば、ネットワークの可用性/業務形態/生産性に影響を与えることなく攻撃対象を効果的に減らし、侵害が発生した場合の被害範囲を限定できる。最終的には、継続的な信頼性検証を行う包括的なゼロトラスト・ソリューションを適切に導入することで、攻撃対象を完全に排除することを目指すべきである。

迷信2:ゼロトラストはネットワークの可用性を損なう

ゼロトラスト・セキュリティは、ネットワークの可用性を向上させるだけではなく、アプリケーション・アクセス・エクスペリエンスを向上させる。ネットワーク・チームとセキュリティ・チームは、多くのケースで異なる目的を持っている。たとえば、ネットワーク・チームは、資産をある場所から別の場所へ効率的/効果的に移動させる必要があり、セキュリティ・チームによるデータ制御は後付になることが多い。このプロセスでは、ネットワークのパフォーマンスと可用性が低下する可能性がある。しかし、ゼロトラスト・モデルの鍵となる、ネットワーク・ファブリックに対するセキュリティ・ファーストのアプローチでは、これは当てはまらない。

位置情報が1つの属性となるが、それだけでは信頼を決定しない方針がとられると、資産の安全性が効果的になり、資産の転送も効率的になる。IP アドレスやポートではなく、アイデンティティと属性が、新たらしい動的エッジとなることで、企業は時間の経過とともに仮想的なマイクロ境界線を作り、資産を取り巻くポリシーを構築していくことが可能になる。それにより、組織と連携して進化するモデルを用いて、攻撃による被害範囲を限定することで、IT を支援していく。

迷信3:ゼロトラスト・ソリューションは VPN の代わりになる

この誤解には、いくつかの注意点がある。まず、VPN の置き換えは多くの場合において、ZTNA (Zero-Trust Network Access) ソリューション採用の原動力となっている。これまで ZTNA は、従来からの VPN 技術に対して、アプリケーション・アクセスに関する疑問を投げかけ、ネットワークへの信頼を排除し、従業員やパートナーのコラボレーションを可能にしてきた。それは、リモートワークが急増している環境で特に顕著であり、帯域幅/スケーラビリティ/セキュリティの観点から、VPN アーキテクチャの限界を示している。

従来からの VPN ソリューションの問題を解決するには、ゼロトラストを実践する方法を理解しなければならない。ZTNA が正しく理解されていないと、すべての VPN の限界を解決する答えは得られない。しかし、正しい方法で行われた ZTNA は、VPN に取って代わるだけでなく、新しい機能を引き出し、古い暗黙の信頼モデルの限界とリスクを克服できる。

迷信4:ゼロトラスト・アーキテクチャーはセキュリティ侵害を防ぐ

残念なことに、セキュリティ業界には、すべての侵入を阻止することが保証された、「銀の弾丸」は存在しない。同様に、ZTNA ソリューションも絶対的なものではなく、すべてのリスクを排除することはできない。ゼロトラストでは、「何も信用せず、すべてを検証する」ことが重要である。これには、ゼロトラスト・セキュリティ・スタック自身も含まれる。

たとえば、トラスト・ブローカーには多要素認証 (MFA) が含まれていないが、それは、ある時点で侵害される可能性がある。この問題に対処する1つの方法は、複数の出入口を設けることで、機能停止の可能性を最小限に抑えることだ。忘れてはならないのは、ゼロトラストとは、時間をかけて攻撃対象を減らしていき、最終的には完全に排除するという考え方である。これは一日で達成できるものではなく、将来を見据えた計画が必要となる。

迷信5:ゼロトラストはユーザー・エクスペリエンスと生産性を阻害する

継続的に ID を確認するというゼロトラストの実践により、ユーザー・エクスペリエンスや生産性が低下するという反応は理解できる。しかし、適切なツールを導入すれば、ユーザー/デバイス/アプリ/ワークフロー/データをナノレベルでセグメント化し、可能な限り資産に近いところでインテリジェントなポリシーを適用することで、シームレスなエクスペリエンスを実現できる。

管理面では、実際に生産性が向上し、複雑さが減少していく。たとえば、従業員が退職した場合に、ゼロトラスト方式では、すべてのリソースへのアクセスが一度に無効になる。レガシー・モデルでは、従業員が組織を去る際に、アクセス権の削除が複雑になることがあり、あるいは、無視されることがある。その結果、アクセス権が残ってしまうことがあり、長期的には企業のセキュリティを脅かすことになりる。

まとめ

要約すると、ゼロトラストは旅のようなものであり、セキュリティに取り組む革新的で意欲的な方法を求めている企業にとっては、価値のある探求の道となる。ゼロトラストは、検証とポリシーの適応を常に行い続けるものであり、最終的には、セキュリティとネットワークの課題を共存させることが可能となる。統合された適切なセキュリティ・ツールを用いて、ゼロトラスト・アプローチを探求することで、企業は自信を持って旅に出られる。

ゼロトラストに関するものとして、これまでに「ゼロトラスト・アーキテクチャ:必要なものから当前のものへ」、「ゼロトラストを API セキュリティに適用するには」、「米大統領令 2021:クラウドとゼロトラストとサプライチェーン」などをアップしてきました。それぞれが、それぞれの切り口からゼロトラストを解説していて、興味深いです。また、カテゴリ Zero Trust もありますので、合わせて ど〜ぞ。

%d bloggers like this: