2020年11月4日水曜日

【ゼロトラスト】最重要なのは、守るべき資産が何かを理解し、フォーカスし続けること

これまで、ゼロトラストについて、2つの記事を書きました。

【5分で分かる】ゼロトラストとは何か

【2020年版】ゼロトラストの現実的アプローチ

1つめでは、 ゼロトラストについて、そもそもそれは何なのかを「ある程度まで」分かることを目指しました。2つめは、今の状況で現実的にゼロトラストへの道を歩み始めるには、どのようなアプローチが現実的なのかを探りました。今回は、ゼロトラストモデルを現場に適用していくために、考えなければいけないことは多くの事の中で、何が最も重要なのかを考えます。



ゼロトラスト・アーキテクチャを説明する図からは見えにくい

【5分で分かる】ゼロトラストとは何か」で見た通り、ゼロトラストは概念・考え方であり、その実装例として、ゼロトラスト・アーキテクチャ(NIST SP 800-207: Zero Trust Architecture)が示されています。Finalが出て、現時点ではもっとも権威ある実装例と言えます。多くのベンダーが参照し、自社製品に活かしています。


このアーキテクチャを説明する図を確認すれば、これを構成するコンポーネントの役割や連携の仕方が把握でき、どのようにセキュリティが確保されるのか、理解できると思います。ただ、この理解は、現在最良とは言え、一つの実装例の理解でしかありません。その仕組みの中で、大事にされているものが何なのかを、正しく認識する必要があります。ゼロトラスト・アーキテクチャが示しているのは、「どのように」という方法であって、「なにを」という対象について、多くは語られていません。

守るべき資産について、フォーカスし続ける

我々が、境界型セキュリテイモデルや、ゼロトラストで、成し遂げたいのは、守るべき情報資産が適切に保護され、ビジネスに有効に活用されるということです。従前の境界型セキュリティモデルでは、「壁」を作ることで、信頼されている領域と、そうでない領域を分けました。「守るべき資産」は、信頼される側においておけば、安心というわけです。このモデルでは、壁を守る役割を担う人は、なにがなんでも壁を守るということに注力するあまり、その目的や意味を見失うこともあります。硬すぎるセキュリティポリシーを適用し、結果的にビジネスの邪魔になってしまったり、壁の中でなされる不正行為に無頓着であったりします。これは、領域を分けるという「方法」に意識を向け、本当の目的にフォーカスし続けていないために起こる問題です。簡単に言えば、壁を作るだけで安心して、考えるのをやめたということです。

サイバーセキュリティの現場で、日々起こる状況の変化や、新しい要求に対して、「ではどうするか?」という「方法」の検討も重要ですが、もっとも大事なことは、守るべき情報資産を理解し、そこに意識を集中し続けることです。本当の目的を見失い、目の前のタスクを終えることが目的化してしまってはいけません。サイバーセキュリティを取り巻く状況は、複雑で、常に変化していきます。その変化に対応していくためのゼロトラストです。シンプルに線を引き、後はあまり考えなくても一定の効果があった「境界型セキュリティモデル」では、変化に対応できません。ゼロトラストでは、守るべき資産が何かを考え、フォーカスし続けます。ゼロトラスト・アーキテクチャでは、そのための中心的コンポーネントとして「Policy Engine」が提案されていますが、その目的は、守るべき資産に常に注意が払われ、"Never Trust, Always Verify (アクセスする者は、常に信頼されないものとして扱われ、権限があるかどうか確認される)"というゼロトラストの概念を実現するためです。

Forester Research, Inc. What ZTX means for vendors and users より

ゼロトラストでは、守るべき資産を中心に考えているという事によく注意を払うべきです。守るべき資産は、組織によって、コンテキストによって、千差万別です。そして、どんどん変化してきます。また、情報資産は、利用されなければ、価値がありません。ビジネスで有用な結果を出すために、使いやすくなくてはいけません。守りを固めるあまり、使いにくければ価値は半減し、競争に勝てません。最近の状況・要件の変化で、最も大きなものは、新型コロナウイルスの感染拡大に伴う、テレワークへの急速な移行でしょう。このタイミングで、ゼロトラストの概念を取り込み、変化していかなければ、ビジネスを伸ばすことはできません。自宅からでも、必要な情報資産に不自由なくアクセスできることが、重要です。その資産に正しくアクセスする権限があることを示す、ユーザのアイデンティティが確認され、適切なデバイス、適切なロケーションから見に来ていることが、確認できる必要があります。

弊社では、IDaaS 「Gluegent Gate」を提供しています。このサービスは、誰に何処から、どのようなデバイスでアクセスさせるのかを柔軟に定義することが出来ます。ただし、Gluegent Gateは、ゼロトラストを実現するための「方法」でしかありません。お客様の組織が守るべき資産について理解し、常にフォーカスし続けることができれば、ビジネスで有効な成果を出すことができるでしょう。そのご支援が必要な場合は、ぜひ、ご相談ください。

(ま)
  Gluegent Gate