世界を安全に保つ上でゼロトラストが果たす重要な役割とは――Microsoftが解説：大統領命令の意義も紹介

Microsoftは世界を安全に保つ上で「ゼロトラスト」が果たす重要な役割を公式ブログで解説した。3つの原則を守ることが重要だという。

[＠IT]

　Microsoftは2021年6月30日（米国時間）、世界を安全に保つ上でゼロトラストが果たす重要な役割を解説したブログを公開した。

　このブログは同社のセキュリティ、コンプライアンス、アイデンティティー担当コーポレートバイスプレジデントを務めるヴァス・ジャカル氏が執筆した。

　ジャカル氏の主張は次の通りだ。「サイバーセキュリティの状況はこれまでになく複雑化している。攻撃を検知し、攻撃に対処するわれわれの能力は近年、急速に成熟化しているが、攻撃者はますます巧妙な手口で、ますます高度に組織化された攻撃を行うようになっている」

米国政府とも協力

　Microsoftは公共部門や民間部門、同業他社、パートナーと協力し、より強力でインテリジェントなサイバーセキュリティコミュニティーの構築に取り組んでいる。

　こうした協力には米国政府との関係も含まれる。ジョー・バイデン米国大統領が2021年5月に署名した「US Cybersecurity Executive Order」（米国サイバーセキュリティ大統領命令：以下、EO）は、米国のサイバーセキュリティを強化し、ますます巧妙化する脅威に対処するための具体的行動を明記している。

　EOは政府機関とそのサプライヤーに対し、情報共有やインシデント検知、インシデントレスポンス、ソフトウェアサプライチェーンセキュリティ、ITモダナイゼーションの能力と、これらに関する連携を高めるよう指示している。Microsoftはこれを全面的にサポートする。

　こうした国家的な取り組みが動き出し、全ての企業がサイバーセキュリティ態勢の強化を求められる中、Microsoftとその大規模なパートナーエコシステムは、世界を安全に保つ支援をする準備ができている。基幹インフラを保護し、将来のインシデントを最小化し、より安全な世界を築くための現代的な枠組みは、ゼロトラストだ。

ゼロトラストが重要な役割を担うように

　2020年以降、急激に進展してきたテレワークやハイブリッドワークでは、人々が複数のデバイスを使い分けながら、仕事と生活の境界を流動的に行き来し、社内外のコラボレーションも増えている。

　攻撃の入り口となるアイデンティティーやデバイス、アプリケーション、ネットワーク、インフラストラクチャ、データは、従来の境界保護の外部にある。モダンなデジタル資産は分散され、多様化し、複雑になっている。

　こうした新しい状況下では、ゼロトラストのアプローチが必要になる。

　EOの「セクション3」は連邦政府に対し、「サイバーセキュリティアプローチのモダナイゼーション」に向けて、「断固たる措置」として、多要素認証やエンドツーエンドのデータ暗号化の義務付けなど、安全なクラウドサービスへの移行とゼロトラストの実装を加速することを求めている。

　ホワイトハウスがサイバーセキュリティのベストプラクティスとしてゼロトラスト戦略を認識していることと、民間セクターに対してEOのガイドラインと同じ方向で、「野心的な施策」を講じるよう奨励していることを、Microsoftは称賛している。

　セクション3によると、米国国立標準技術研究所（NIST）と米国商務省が、ゼロトラストの連邦基準とガイダンスを策定する。NISTはゼロトラストの基本的な指針を次の3点のように定義している。

• どのリソースに対してもアクセスが可能になる前に、認証（authentication）と認可（authorization）が動的に実行されなければならない
• アクセス要求者の信頼性が評価された後に、アクセスを許可する。ただし、タスクの完了に最小限必要な権限でアクセスが許可されなければならない
• 攻撃者が企業ネットワーク上に存在するという想定の下で（ソフトウェア、ハードウェア）資産（asset）を稼働しなければならない

　Microsoftは「明示的に検証する」「最小限の特権アクセスを使用する」「侵害があるものと考える」という3つのゼロトラストの原則を掲げている。これらの原則を、顧客への戦略的なガイダンスやソフトウェア開発、グローバルセキュリティ対策に適用している。

Microsoftが掲げるゼロトラストの3つの原則（出典：Microsoft）

　脅威アクター（攻撃者）によるアクセス権の取得を防ぐことは重要だ。だが、それはゼロトラストの方程式の一部にすぎない。環境内に潜む洗練された脅威アクターを検知できることが、侵害の影響を最小化する上で重要だ。また、高度な脅威インテリジェンスとアナリティクスも、攻撃者の行動の迅速な評価、攻撃の排除、問題の修正に重要となる。

官民セクターで国家安全保障を強化するためのリソースを提供

　バイデン大統領のEOは、政府機関へのタイムリーな行動要請であるだけでなく、サイバー脅威に直面し、回復力の強化を目指す全ての企業にとっての行動モデルでもあるとMicrosoftは考えている。

　Microsoftは連邦政府機関が要請に応えて進めている、サイバーセキュリティを強化する取り組みの支援に注力している。その一環として連邦政府機関に、主要な「Zero Trust Scenario Architectures」を提供した。これはNIST基準にマッピングされることになる。加えて「Zero Trust Rapid Modernization Plan」も提供した。

　最新のセキュリティトレンドへの対応と、次世代のセキュリティ専門家の育成に取り組む顧客の支援にもMicrosoftは注力している。EOに示された能力をチームが開発するためのトレーニングリソースも用意した。安全なアジャイル環境を構築する準備を整えるためのトレーニングリソースも開発した。

　さらにMicrosoftは、ガイダンスの公開や学習の共有、リソースの開発、新機能への投資も継続することで、企業や組織におけるゼロトラスト導入のスピードアップと、サイバーセキュリティ要件への対応をサポートしている。

Microsoftが進めるゼロトラスト関連の資料

　Microsoftはゼロトラストに関するお勧めの資料として次の4つを挙げた。

Zero Trust Maturity Model
　Microsoftによるゼロトラストの定義。アイデンティティーやエンドポイント、アプリケーション、ネットワーク、インフラ、データに関するソリューションの解説。

Zero Trust Assessment Tool
　自社のゼロトラストの取り組みについて進捗（しんちょく）を評価し、次の技術的ステップに関する提案を受けられる。

Zero Trust Guidance Center
　ゼロトラストの原則の実装に関するステップバイステップの技術的ガイダンス。

Microsoft Digital Inside Track
　Microsoft社内におけるゼロトラスト導入の取り組み。