2022年11月に開催された「ITmedia Security Week 2022 冬」の「クラウド&ゼロトラスト」ゾーンにおいて、パロンゴ 取締役 兼 最高技術責任者/LocationMind 取締役の林達也氏が「加熱する変容:デジタルアイデンティティー時代の基礎と次世代動向」と題して基調講演に登壇した。林氏がこれまで追いかけ続けてきたデジタル世界におけるアイデンティティーと、その変容について解説し、デジタルアイデンティティーの最新動向を紹介するセッションとなった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
冒頭、林氏は「われわれはデジタルアイデンティティーの時代に至っている」と述べる。ゼロトラストの世界においてデジタルアイデンティティーは重要であり、今まさに大きく変容しようとしている。その変容を捉えることも重要だ。
まずはアプローチとして、現状を把握することから林氏は始めた。西部開拓時代のイメージを掲出しつつ、「サイバー空間においては攻撃者優位性が高く、自己防衛が必要で治安維持力が低い、“未成熟な世界”にわれわれはいる」と話す。
2013年、Googleのエリック・サック氏は、「セキュリティの専門スタッフが100人以下のサービスに自分のパスワードを預けるなど、ばかげている」といったコメントを残したことを林氏は引用する。「100人のセキュリティ専門スタッフは中央省庁にもいない。2013年からは技術も変化しているので、必ずしもこの発言は正とは限らない。しかし、2013年から今に至るまで、われわれはどのくらい問題を解決してきたかというと、なかなか厳しい問い掛けだ」(林氏)
これまで何が獲得できたのか? そこからファクトを積み上げていこう。
攻撃者とわれわれとの関係は、昔からわれわれが後手に回らざるを得ないという現実があり、それは今も変化はない。対処するためのリソースもなく、攻撃者優位の状況で最善手を打つ必要があった。その前提を考えると、「『境界型防御』は効果的であり、低コストの手法として、当時のアプローチとしては最善手だったのではないか」と林氏。その上でゼロトラストという手法が注目されている理由について「状況が変わってきたからだと、私自身は考えている」と説明する。
2014年にGoogleは「Beyond Corp」を発表し、2020年には米国国立標準技術研究所(NIST)がNIST SP800-207「ゼロトラスト・アーキテクチャ」を公開している。これらは内容こそ異なるものの、新たなネットワークアーキテクチャとしての基準の一つとなるものだ。それを受け、2020年には日本においても「政府情報システムにおけるゼロトラスト適用に向けた考え方」を発表。2022年にはデジタル庁による「ゼロトラストアーキテクチャ適用方針」といった資料が公開されている。
ゼロトラストの意味として、「性善説から性悪説へ」と表現されることが多いが、林氏はこれを否定する。「ゼロトラストとは『ゼロからトラストを構築する』こと、何もないところからどうやって信頼を構築していくかだ」
ただし、そこには割り切りも必要だ。例えばサーバを構築するにしても、そのサーバの構成要素であるCPUなどのシリコンは暗黙の信頼として考えざるを得ない。それを踏まえつつ、「本質論としてレベルとアセスメントを精緻化し、管理と制御の高精細化を目指すことこそが、ゼロトラストの本質ではないか」と林氏は考えている。
Copyright © ITmedia, Inc. All Rights Reserved.