ゼロトラストを実現するために知っておくべきアクション

2022年09月30日 08時00分更新

文● デイブ・ラッセル（Dave Russell）／Veeam Software エンタープライズ戦略担当バイスプレジデント、リック・バノーバー（Rick Vanover）／Veeam Software 製品戦略担当シニアディレクター（寄稿）

　CyberRisk Allianceが2022年3月に発表したゼロトラストセキュリティに関する企業の意識調査をまとめた「Zero Trust Slow To Build Momentum」では、調査対象となったセキュリティリーダーのうち、ゼロトラストという言葉をよく知っているのはわずか35％でした。また近年、サイバー攻撃やセキュリティに関する障害が多発しているにもかかわらず、ゼロトラストセキュリティ能力に高い自信を持っていると回答した人も、同割合にとどまりました。

　これはある種矛盾していて、ゼロトラストへの関心が高まっている一方で、多くのセキュリティリーダーたちがゼロトラストを適切に実施する方法についてよく理解していないように見受けられます。

　多くの企業が、新しい製品を導入したり、古い製品をアップグレードしたりすることで解決できると考えているのです。実際に必要なのは、ゼロトラストセキュリティとは何か、つまり、ミッションクリティカルな企業資産を保護するために、製品、プロセス、人材をどのように融合させるかについて、より深く理解することなのです。

　ゼロトラストのコンセプトはシンプルです。「決して信用せず、常に検証する」ということです。情報にスムーズ・簡単アクセスできることに慣れたユーザーにとっては厳しい言葉に思えるかもしれませんが、これは健全なポリシーです。私たちは、「相互不審」という言葉を好んで使っています。これは、事実上、「私が誰であるか、あなたが誰であるかを私に証明しなさい」という意味です。

　この言葉は、ミニコンピュータやメインフレームの時代から使われている。つまり、デジタルの衛生管理（デジタルハイジーン）を徹底するためのものです。しかし今、私たちの環境は変化し、拡大しました。クラウド、エッジデバイス、データセンターがサイバー攻撃の対象となるエンドポイントを増やしている現在、組織はウイルスの侵入を防ぐためにファイアウォール以上のものに頼らざるを得なくなっています。

　組織は、真のゼロトラストを達成するために、製品だけでなく、プロセスや人材も調整する必要があります。

　製品の場合、達成に向けてのステップは簡単です。基本的に必要なのは、アイデンティティ、位置情報、デバイスの健全性を検証するセキュリティ技術のフルラインです。その目的は、影響範囲を最小化し、セグメントへのアクセスを制限することです。これらの目標をすべて達成する単一の製品やプラットフォームはまだまだ市場にはありませんが、ゼロトラストプログラムの成功には、アイデンティティ管理、多要素認証、最小特権アクセスなどの要素が組み込まれています。

人を巻き込む

　ゼロトラストテクノロジーは、すべての攻撃対象領域をカバーし、組織を保護することができますが、それを使用する社員がいなければ意味を成しえません。つまり、透明性とオープンなコミュニケーション、プロセスへの信頼、互いの能力を信じる企業文化を優先させることです。

　ゼロトラストテクノロジーを企業文化にうまく取り入れるには、企業は社員をプロセスに巻き込む必要があります。トップダウンの義務付けだけで、それがうまくいくとは限りません。何が起こっているのか、ゼロトラストのプロセスには何が含まれるのか、それが社員や会社にどのような影響を与え、利益をもたらすのか、何に気をつけるべきか、そしてゼロトラストのプロセスをどのようにサポートすればよいのか、社員にリテラシーを共有することが大切です。

　社員を巻き込み、潜在的な脅威に対して正しい懐疑心を抱かせることで、企業は組織の骨格全体にセキュリティの種を植え付けることができます。社員が現在の状況とゼロトラストの価値を理解すると、社員も信頼されていると感じ始め、より広範なサイバーセキュリティネットワークの一員となる力を得ることができるのです。これにより、社員は企業に対するインサイダーとアウトサイダーの脅威を積極的に特定し、あらゆる面をカバーし、優れたセキュリティ衛生状態を獲得することができるようになるのです。

プロセスの見直し

　ゼロトラストセキュリティには、組織全体のプロセスを大幅に見直すことが必要です。

　最も重要な取り組みの1つは、データセキュリティ環境のあらゆる側面を定義し、評価することです。これには、組織のすべての非構造化データがどこに保存されているか、特定のデータストアがどのようなビジネス目的で使用されているか、誰がそれにアクセスできるか、どのようなセキュリティ管理がすでに行われているかを特定することが含まれます。徹底したアクセス権の評価は、包括的なアクセス管理ポリシーの策定を支援します。ゼロトラストの保護が必要な資産もあれば、そうでない資産もあります。ネットワークに接続するすべてのデバイスは、外部のフィッシング攻撃から保護するために、定義づけをする必要があります。

　ゼロトラストの世界で組織を助ける重要な技術的メカニズムは、不変性（変更または削除できないデータコピーの作成）です。これにより、組織はデータを失ったり、間違った人の手に渡ったりしないようにすることができます。

　見過ごされがちなのが、組織全体で共通のゼロトラストフレームワークを定義することです。プロジェクトごとに「ゼロトラスト」の意味を考え直し、それぞれがそれぞれの解釈をしなければならないようでは意味がありません。

　最後に、おそらく最も重要なことは、ゼロトラストプロセスを再評価し、修正する必要があるということです。これは、ジムに通うようなものです。運動は生活の一部となり、活動的な人々は常にワークアウトのルーティンを微調整しています。セキュリティも同じです。ゼロトラストは継続していくもので、決して終わることはないのです。