日本政府も検討する「ゼロトラストアーキテクチャ」その発祥と、10年後の今、必要となった理由:働き方改革時代の「ゼロトラスト」セキュリティ(4)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、「ゼロトラストアーキテクチャ」の発祥や、ゼロトラストが求められるようになった背景について。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回は、「ゼロトラストアーキテクチャ」の発祥や、ゼロトラストが求められるようになった背景について解説します。
withコロナ時代のネットワークモデルとして、さらに注目のゼロトラスト
これまでの連載でも何度か触れていますが、政府の要請によって急きょ始まったリモートワークは、現代のIT環境におけるさまざまな課題を浮き彫りにしました。VPN帯域のアクセス集中やBYOD(Bring Your Own Device)によるセキュリティリスクの増加、不用意なデータの持ち出し、シャドーITの増加。これまで構築されてきた「オフィス」という物理的な信用の枠組みが突然なくなり、業務を行う上でのネットワークの境界が非常に曖昧なものだったことに気付かされました。
その中でさらなる注目を集めている考え方が、この連載でもテーマにしている「ゼロトラストアーキテクチャ(ZTA)」です。
2020年6月には、「政府CIOポータル」に「政府情報システムにおけるゼロトラスト適用に向けた考え方」と呼ばれる文書がディスカッションペーパーとして公表されました。この文書では、政府CIO(最高情報責任者)補佐官などの有識者によって検討された、政府の情報システムにおいてゼロトラストを適用するための取り組み方の方向性が示されています。
その中ではゼロトラストは、「主要ITベンダーや主要クラウドサービス提供者がコミットしていることから、不可逆的で強い技術トレンドになっています」と述べられており、今後政府の情報システムにおいてもゼロトラストを意識したセキュリティの推進が行われると示唆しています。
そもそも、「withコロナ」「afterコロナ」「新しい生活様式=ニューノーマル」と呼ばれる時代に求められるゼロトラストアーキテクチャはいつ生まれたのでしょうか。
2010年に提唱されたゼロトラストアーキテクチャ
今から約10年前の2010年。ゼロトラストアーキテクチャは、米国のリサーチ会社Forrester Researchのアナリストだった、ジョン・キンダーバグ氏によって提唱されました。
2010年の米国では、大手通信会社Verizonの情報漏えいが大きな事件として注目されていました。この事件の報告書では2009年に発生した情報漏えい事件の約半分が組織内部で発生し、内部のユーザーの権限が悪用されたものとされています。
また当時のネットワーク監視の状況では、内部犯行によって行われる知的資産の持ち出しを発見できず、大きな課題となっていました。
もはや、ネットワーク境界の外部からの攻撃に対する防御のみならず、境界内部で発生する、信用された権限の悪用が、情報漏えい・窃取の大きな要因となってきていました。ネットワーク機器のポートに示されているような「Trusted」「Untrusted」が成立しなくなっている状況が、ゼロトラストが求められる背景だったのです。
2010年にForresterから発表されたレポートでは、「Trust=信頼」について、次のように書かれています。
多くのセキュリティプロフェッショナルは「Trust But Verify(信頼せよ。されど、検証せよ)」とマントラのように唱えているが、実際のところは信頼ばかりでほとんど検証しない。
このような状況から、キンダーバグ氏を中心としたとしたチームは、ネットワークの領域を境界(ペリメーター)で区切って信頼する従来の「ペリメーターモデル」のセキュリティから、新たに、何も信頼しないモデルを「ゼロトラストモデル」として提唱しました。
2010年に発表されたレポートでは、ゼロトラストモデルの3つの基本原則を定めています。
- 必ず検証し、全てのリソースの完全を確保せよ
- アクセスコントロールを限定し強制せよ
- ログとトラフィックを全て確認せよ
それまでのセキュリティは、「強固な防壁によって守られた街を構築し、壁の中に住む信頼された住人は誰も悪事を働かないはず」という考え方でした。ゼロトラストモデルは、「壁の中も外も全ての動きを検証・確認し、リソースの安全を確保するため常にアクセスコントロールを行う」という、「誰も信頼しない」モデルです。
しかし、このコンセプトが発表された2010年当時、このような理想的なセキュリティモデルを実現することは困難でした。
その後も、SaaSなどのアプリケーションからIaaSなどインフラに至るまで、クラウドサービスが拡大。業務処理端末としてのスマートフォンの普及、IoTとAIによるビッグデータや自動分析の一般化。オンラインコミュニケーションによるビジネススピードのさらなる加速など、企業や組織の情報システムを取り巻く環境は激しく変化しています。
標的型攻撃をはじめとしたサイバー攻撃手法の複雑化、サイバー攻撃ツールやオープンソースを通した攻撃手法のコモディティ化など、攻撃者側も進化しています。
さらに、「EU一般データ保護規則」(GDPR:General Data Protection Regulation)や「カリフォルニア消費者プライバシー法」(CCPA:California Consumer Privacy Act)など、グローバル化した企業が守るべきプライバシーコンプライアンスは、テクノロジーが人の生活に入り込むにつれ、さらに強化されています。
このような環境の中で、セキュリティ企業が提供するソリューションはさまざまな角度から進化を遂げ、少しずつながらも2010年にキンダーバグ氏が提唱したゼロトラストを実現できる環境が整ってきました。
ゼロトラストのターニングポイントとなる2020年
ゼロトラストが提唱されてから10年たち、現代では多くのセキュリティベンダーが「ゼロトラスト」というキーワードで新たなソリューションを提供しています。
特に、新型コロナウイルス感染症(COVID-19)の影響で始まったリモートワークでは、VPNへのアクセス負荷集中が課題となり、VPNを介さない社内システムへのアクセス方法として、ゼロトラストの考え方を採用したネットワークセキュリティソリューションが大きな効果を上げています。
日本でも多くの組織がセキュリティのスタンダードとして参照する基準に米国立標準技術研究所(NIST)が定める「SP800」シリーズがあります。NISTは、米国の技術や産業に関する規格標準化を行っている機関で、世界的に大きな影響力を持っています。
そのNISTが、2019年に「SP800-207 Zero Trust Architecture」を発表、2020年2月に2ndドラフトを公表しています。SP800-207では、ゼロトラストの概念とともに、「ゼロトラストアーキテクチャとして、ゼロトラストをどのように実装するか」が示されています。
急激なニーズの高まりから活用が進み始めたゼロトラストですが、2020年は、普及に向けた大きなターニングポイントを迎える年といえるかもしれません。
次回は、ゼロトラストの実装や、その事例について
次回はNIST SP800-207 Zero Trust Architectureで書かれた内容から、ゼロトラストの実装や、その事例について考えます。
筆者紹介
仲上竜太
株式会社ラック
セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長
兼 サイバー・グリッド・ジャパン シニアリサーチャー
進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラスナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。
コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。