「ゼロトラスト」提唱者、ジョン・キンダーバーグ氏が語る誤解と本質――「ゼロトラストの第一歩は『何を守るべきか』を明確にすること」：ランサムウェア対策でも注目される“概念”

「ゼロトラスト」の概念の提唱者として知られるジョン・キンダーバーグ氏が来日し、ゼロトラストを巡る誤解や、ゼロトラストの進め方を解説した。

[高橋睦美，＠IT]

【2024年7月16日追記】記事公開時、タイトルや本文にてジョン・キンダーバグ氏と掲載していましたが、正しくはジョン・キンダーバーグ氏でした。読者ならびに関係者の方々にご迷惑をおかけしたことを深くお詫び申し上げるとともに、以下のように訂正いたします。

【誤】ジョン・キンダーバグ氏

【正】ジョン・キンダーバーグ氏

　昨今、サイバーセキュリティの取り組みを議論する際に必ずといってよいほど言及されるキーワードが「ゼロトラスト」だろう。IT系の展示会に足を運んでも、あちこちのブースで「ゼロトラストソリューションを紹介」といった宣伝文句が並ぶ。IT業界、セキュリティ業界ではよくあることだが、一度何かのキーワードが注目を浴びると、ベンダーそれぞれ都合の良いように使われてしまいがちだ。ゼロトラストも例外ではない。

　確かにゼロトラストの実現には、さまざまな技術や製品が必要だが、それは決して本質ではない。ゼロトラストという言葉の「生みの親」、ジョン・キンダーバーグ氏は、イルミオが2024年4月に開催した記者説明会で「ゼロトラストとはあくまで戦略であり、特定の製品に依存するものではない」と強調した。

トラストモデルから脱却し、「Never Trust, Always Verify」に基づくゼロトラスト

ジョン・キンダーバーグ氏

　かつてネットワークエンジニア、そしてセキュリティエンジニアとして働いた経歴を持つキンダーバーグ氏。その経験を踏まえ、2010年、Forrester Research在籍時に「No More Chewy Centers: Introducing The Zero Trust Model of Information Security」というレポートを通して提唱したのが、ゼロトラストという概念だ。

　それ以前のITシステムでは、外部のインターネットと内部ネットワークをDMZ（DeMilitarized Zone）などで分け、外側にあるものは信頼できないという「トラストモデル」を前提にしていた。この前提に立ち、外部からの不正なアクセスや悪意あるソフトウェアを境界で防御していくことが、セキュリティ対策の基本だった。

　だが、幾つかのインシデントを経て、その前提は通用しないことが明らかになってきた。信頼できるはずのネットワーク内部にある機器や端末が侵害済みで、そこから横展開されて重要な情報を盗み取られたり、信頼できるはずのユーザーのアカウントが乗っ取られて悪用されたりするケースが後を絶たなくなってきた。