Zero Trust Shouldn’t Mean Zero Trust in Employees
2021/12/21 DarkReading — この2年間におけるデータ漏洩インシデントを見ると、ゼロトラストの宣伝が熱を帯びている現状も不思議ではない。データ漏洩の主な原因は、依然としてヒューマン・エラーであり、Tessian の調査によると 12ヶ月間で200万通の悪意の電子メールが、安全を約束するはずの防御機能を回避している。
ゼロトラストでは、アプリケーションやデータにアクセスする、すべてのユーザーとデバイスは、証明されるまで信用できないと仮定される。アクセスをロックし、あらゆるレベルの信頼性を排除するという考え方は魅力的ですが、行き過ぎてしまうこともある。ゼロトラストと聞くと、従業員に対して信頼を築くことができない、あるいは築くべきではないと考える人がいる。このようなアプローチでは、関係者全員が失敗すると仮定されるため、的はずれなものとなる。
わたしたちの業界としては、明確に定義された範囲内で従業員を信頼し、権限を与えることが可能であるだけでなく、必要であることを認識する必要がある。ハイブリッド・ワークの実現などに代表される、ビジネスにとっての効果的な成果をもたらすためには、IT セキュリティ・チーム以外にも信頼を広げていく必要がある。
ここでは、そのための効果的な方法を、いくつか紹介していく。
セキュリティをアプリ・レベルに押し上げ、デバイス・レベルに押し広げる
ゼロトラストでは、セキュリティをアプリケーション・レイヤーにまで高め、ラップトップやモバイル・デバイスなどのクライアント・エンドポイントにまで押し広げていくことが重要だ。
ネットワークベースのセキュリティ・ソリューションも重要だ。しかし、現状では、ネットワーク・ベースのセキュリティ・ソリューションは、常に ON であることを期待できるものではなく、むしろ贅沢なものとなっている。なぜなら、リモート・ワークや、BYOD というポリシー、そしてプロトコル・レベルの進歩により、従来のネットワーク・セキュリティ・ソリューションが機能しなくなっているからだ。
私が所属していた組織では、ゼロトラスト・アーキテクチャを導入し、オンプレミス/プライベート・クラウド/SaaS (Software-as-a-Service) の各アプリケーションにおいて、従業員に一貫した認証/アクセス環境を提供し、さらに、各アクセス・イベントにおいてセキュリティ・コントロールとポリシーを確実に実施することができた。
それを実現するために、エンドポイント層とアプリケーション層の制御を組み合わせたテクノロジー・ソリューションを選択し、アプリケーションにアクセスするユーザーとデバイスが、必要なポリシー/コンフィグレーション/ハイジーン (衛生) 要件を満たしていることを確認した。それにより、アプリケーションに対する、きめ細かなポリシー要求が可能になった。
ゼロトラスト:単なるアーキテクチャではなく体験を提供する
効果的なゼロトラスト体験は、従業員のために機能し、また、従業員に権限を与える。従業員にとっては、電子メール/請求書作成プラットフォーム/人事アプリへのアクセスなどが、すべてが同じように感じられる。
バックグラウンドでは、必要のないアプリやデータに広くアクセスすることはない。そのために、従業員のロールやチームに応じて、明確に定義され、測定可能な、信頼の輪を構築することが重要だ。このようなガード・レールを敷くことで、摩擦をなくし、効果的なセキュリティを確立しながら、良好なユーザー・エクスペリエンスを提供できる。
セキュリティ・チームは、従業員が業務を遂行するために必要なものに基づき、信頼の境界線を明確かつ確実に実施する必要がある。それをベースに、信頼の境界線が維持されるよう、ガードレールを構築することがゼロトラストである。それ以上でも。それ以下でもない。
HR ライフサイクル全体での実施
ゼロ トラストは、人事のライフサイクル全体で実施する必要がある。たとえば、人材不足や大規模な退職者の発生により、雇用や離職率が変動している場合はなおさらだ。就職時は、効果的なロールベースのアクセス・コントロールを導入する、最初の機会である。離職時は、個人のデバイス使用などを確実に把握するための、さらに重要な機会となる。
Tessian のレポートによると、ハイブリッドな職場環境では、従業員の 40% が個人のデバイスを使って仕事をすることを計画している。そのため、従業員が退職する際に機密データを持ち出さないようにすることは、組織にとって非常に困難なことになる。
就職時と離職時について、そして、組織内でのロールの変更について、適切なプロトコルが用意されていれば、従業員の信頼やセキュリティを損なうことなく、これらの必要になる人事プロセスを実行できる。
信頼をゼロにするのではなく、より多くの信頼を
私達の業界としては、IT チームやセキュリティ・チームだけでなく、サポートしようとしている実際の構成員にまで、信頼を拡大する必要があるという考え方に、慣れる必要があるだろう。
また、従業員は、安全の可否にかかわらず、受け取ったメールのファイルを開いたり、インスタント・メッセージのリンクをクリックしたりするという、事実にも慣れておく必要がある。なぜだろう? その理由は、見知らぬ人から送られてきたファイルやリンクを開くことは、特にリクルート/セールス/カスタマー対応などの職務においては、仕事の一部になることが多いからだ。
最終的には、おそらく皮肉なことに、ゼロトラストの方法論は、健全な境界線を確立することなので、信頼を高める結果になるはずだ。従業員は、セキュリティに邪魔されることなく、自分たちに権限が与えられ保護されていることを信頼する。セキュリティ・チームは、境界に対して信頼感を持ち、摩擦を減らすことに慣れることが可能となる。正しく行われれば、これが Win-Win の状況である。
このところ、Log4j 関連の記事が多くて、ちょっと心が荒んでいましたが、こういう温かみのある記事は訳していてホッとします。やはり、考えるべきは「見知らぬ人から送られてきたファイルやリンクを開くことは、特にリクルート/セールス/カスタマー対応などの職務においては、仕事の一部になることが多いからだ」という部分です。従業員のロールに応じた、ネットワークのセグメント化などが、これからの課題になるのかもしれません。文中で参照されている、Venture Beat の「2 million malicious emails bypassed secure email defenses over 12 months」も、ゆっくりと読んでみようと思います。
IoT OT Security News 