「殿、ゼロトラストでござる！」から始まる城下町（企業ITインフラ）のデザイン方法：ITmedia Security Week 2023 夏

2023年6月、ITmedia Security Week 2023 夏で、日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長の萩原健太氏が「ゼロトラストを進められる組織とは？」と題して講演した。

[宮田健，＠IT]

　ゼロトラストというキーワードが大きく注目されて以降、さまざまなアプローチが模索されている。その中で萩原氏は、このゼロトラストを「城下町」に例え、あるべき町作りのために誰の立場で、何を行うかを語った。本稿では萩原氏が“城下町の作り方”を語った講演をレポートする。

ゼロトラストとは「戦略」、そして「目標」

日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長 萩原健太氏

　萩原氏はこれまで、インシデント対応の専門家としてさまざまなインシデントに携わってきた。特に昨今では医療系のインシデントに携わることが増えてきており、大きな注目を集めた大阪急性期・総合医療センターにおけるランサムウェア被害においても、初動対応支援やアドバイザーとして関係している。

　医療や工場などはITセキュリティの整備が追い付いていないとされることが多いが、萩原氏は「ゼロトラストなど夢のまた夢という組織が多かったり、あるいは既に飽きたなどと表現されたりすることもあるが、ゼロトラストを戦略や目標として捉えなくてはならないと考えている」と述べる。

　一方で、徳島県つるぎ町半田病院でのランサムウェア被害のように、自社において明日にでもインシデントが起きる可能性を無視できない。これら事件の報告書が公開されているが、対策としては基本的なことが指摘されている。「遠回りでも積み重ね、基本に立ち返ることが重要だ」と萩原氏は冒頭に指摘した。

ランサムウェア被害の攻撃構造はほぼ似たようなものとなっている。対策は「基本」が重要だ（萩原氏の講演資料から引用）

　ゼロトラストの概念の基本は、米国国立標準技術研究所が公開した「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」にある。ここにはゼロトラストについて「リソースの保護に焦点を当てたサイバーセキュリティのパラダイムであり、信頼は決して暗黙のうちに与えられるものではなく、継続的に評価されなければならないという前提」と記されており、萩原氏は「この中でも『継続的に』という部分が鍵になり、ゼロトラストは製品やサービスの導入で実現するものではなく、継続的なセキュリティ対策の積み重ねによって実現できる」と強調する。データの管理、ID管理など課題も多く、ゼロトラスト実現に向けて動き始めても壁にぶつかる企業も多い。そのような状況にある現場に向け、幾つかの事例と例示を含めて萩原氏は解説する。

城下町全体をゼロトラスト化――ところで“誰”が？