(イメージ:the ISF)

そもそも、信頼(トラスト)はセキュリティの基本と教わってきました。認証もそうですし、電子署名や暗号鍵あるいはそうした技術を支える法令等もトラストが中心概念だと思っていました。

「ゼロ・コロナ」という標語が流行った理由は感覚的によく分かりますが、この数年、セキュリティ業界においてあちこちで聞かれる「ゼロ・トラスト」という標語は、なんだか真逆のことを言われているようで、落ち着かない気持ちで過ごしてきました。調べてみますと、2010年に米国の有名なテクノロジー調査会社にいた方が、ゼロ・トラストという概念を提唱されたのが、この言葉の始まりだそうです。

一体、われわれの世の中は、経済も社会も政治も、ましてやビジネスも、信用(トラスト)の上に成り立っているわけですが、思いめぐらしてみると、「信用しないことで却ってビジネスが上手く行く」ことも、仕事によってはあるのかもしれません。セキュリティもその一つとなりつつあるのでしょうか。あれだけ「トラストは重要」と言ってきたセキュリティの世界で、信用しない、ということは、どういうことなのでしょうか。まずは、そのあたりをISFのSteve Durbin氏に分かりやすく解説してもらうことにしましょう。

ゼロ・トラスト:企業が避けるべき5つの誤解

 

SOURCE: Forbes
December 1, 2021
Steve Durbin
Chief Executive, ISF/Forbes Councils Member
 

(イメージ:GETTY)

サイバー犯罪は、世界中のあらゆる産業や企業にとって大きな脅威となっています。世界中の企業が、何とかしてサイバーセキュリティの脅威をなくそうと特効薬を懸命に探しているのも当然と言えましょう。目下、サイバーセキュリティの世界では「ゼロ・トラスト」という標語が話題となっていますが、あたかも、すべてのセキュリティの病を治す万能薬であるかように説明されています。米国のバイデン政権ですら、連邦政府のすべてのネットワークとシステムにゼロ・トラスト構造を適用すると発表しています。然(さ)は然りながら、この話題については意味の取り違えも増えているため、企業としては、何がゼロ・トラストで、何が誤解なのかを理解しておく必要があります。

「ゼロ・トラスト」とは何か?

コンピュータネットワークは、昨今、閉じられた環境から解き放たれて、分散型の広大なアーキテクチャになりました。そうした展開に合わせて、セキュリティ概念が進化するなかで「ゼロ・トラスト」が考案されて、従来の「境界線で守る」モデルから、「データを守る」ことに焦点を当てたコンセプトになりました。基本的には、データやコンピュータなどのリソースの保護に対して、より一層、積極的な対応を行う形になったのです。

次のように考えてみてください。自宅には家宝(データ)があって、フェンスや正面玄関、窓によって、宝飾品が守られるような設計になっています。こうした昔ながらの防御策を攻撃者達がすり抜けてしまったら、連中が目的物を捜し求めて部屋から部屋へと移動してもアラームを鳴らしてくれる仕組みはありません。ゼロ・トラストの設計では、「決して信じるな、常に確かめよ」の原則に基づいて、その通りに実行するようになっています。つまり、ゼロ・トラストは、サイバー攻撃者の内部での横移動(ネットワークの中を移動するためのテクニック)を最小限に抑えることを目指しているのです。

境界線がない環境となった今、ゼロ・トラストは検知器を追加するようなものですから、より早い段階での侵害検知や、より効果的な制御、といったネットワーク内の動きをよりはっきりと掴む一助にもなるのです。