前へ 1 2 3 次へ

フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略

ゼロトラストの取り組みで日本企業が直面する課題を知り、それを乗り越える

【提言】ゼロトラストは“性善説”の日本企業になじみにくい?

文●登坂恒夫/フォーティネットジャパン(寄稿) 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

近年、サイバーセキュリティにおいて注目されるようになった「ゼロトラスト」という考え方。ただし“性善説”をとる日本企業のビジネス慣習との間にはギャップがあり、注意が必要だと言います。元IDC Japanアナリスト、現フォーティネットジャパン Field CISOの登坂恒夫氏による寄稿です。

1. ゼロトラストの原則は“性悪説”的な考え方である

■(1)ゼロトラスト「7つの基本的な考え方」が示すもの

 サイバーセキュリティの世界において、ゼロトラスト的な概念は「ゼロトラスト」という言葉が生まれる以前から存在しています。2004年に開催されたジェリコフォーラムでは、ネットワークの位置情報に基づく暗黙の信頼(たとえば「社内ネットワークからのアクセスなので信頼する」など)を制限し、大規模なネットワークセグメント上の単一の静的な防御に頼ることの限界を考慮して、「境界線を除去する」という考え方が公表されました。

 その後、調査会社であるForrester Research社のジョン・キンダーバーグ(John Kindervag)氏によって、「Never trust, always verify(決して信用せず、常に検証せよ)」という考えに基づいたゼロトラスト・セキュリティモデルが提唱されました。

 そして2020年8月には、ゼロトラストの概念を体系化し、具体的に実現するためのガイドラインとして、NIST(米国国立標準技術研究所)から「NIST SP800-207」が公開されました。このNIST SP-800-297において、ゼロトラストは次のように定義されています。

 ゼロトラストは、ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のことである。ゼロトラスト・アーキテクチャは、ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシー等を含むサイバーセキュリティ計画のことである。

 やや難しいですが、この定義によって示されているゼロトラストは、データおよびサービスへの不正アクセスを防止し、アクセス制限の実施を可能な限り詳細化することを目的としています。

 そのうえで、NIST SP-800-207は7つの「基本的な考え方」を示しています。

1. すべてのデータソースとコンピューティングサービスをリソースとみなす
2. ネットワークの場所に関係なく、すべての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で付与する
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
5. すべての資産の整合性とセキュリティ動作を監視し、測定する
6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7. 資産、ネットワークインフラストラクチャ、通信の状況について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
  (出典:https://csrc.nist.gov/pubs/sp/800/207/final

 この「基本的な考え方」から分かることは、まずアクセス要求のたびに「どこ(場所)からか」「どんな端末からか」「誰からか」という情報を動的に検証し、確認してからアクセスを認可すること、さらに、すべてのIT資産に対して情報を収集し、状態を監視し、セキュリティ態勢を改善することが必要だということです。

 つまり、ゼロトラストの考えに基づいたセキュリティ態勢を実現するためには、「決して信用せず、常に検証せよ」という言葉のとおり暗黙のうちに信頼することなく、“性悪説”的な考えに基づいて常に動的な検証を行い、すべてのIT資産に対するセキュリティ状況を常に監視し改善していくことが基本となります。

■(2)“性善説”の日本企業は「意識的に」“性悪説”をとる必要がある

 日本企業は「信用」をベースに商取引を考えるため、まずは取引相手をもてなし、人間関係の構築を進めることが多いのではないでしょうか。一方で、欧米企業の場合は、「リスク」をベースに商取引を考えるため、商取引上の契約交渉から進めていきます。信用ベース=“性善説”思考の日本企業にとって、リスクベース=“性悪説”思考で自社に有利な方向に交渉を進めるのは、なかなかなじまないことです。

 交渉や商契約はともかく、セキュリティ対策に関して言えば、“性善説”ではリスクは抑えられません。セキュリティ対策は、計画から構築、運用まで、いかにリスクを抑えることができるかというリスクベースの性悪説思考を持つことが必要です。

 たとえば、日本企業ではよく「就業規則は性悪説で作成し、性善説で運用する」と言われますが、本当にこれでリスク対策になるのでしょうか。機密情報の取り扱いで考えてみると、就業規則を性悪説で作成し、取り扱いについての細かな規定を設けていたとしても、「何が『機密情報』に該当するかは明示しなくても分かるはず」「安全措置管理を講じなくても社員は持ち出さないだろう」といった“性善説”の運用を行えば、情報漏洩のリスクを抱えることになるのは明白です。

 つまり、性悪説で就業規則を作成するのであれば、その運用も性悪説にのっとって行うべきであり、それに合わせてセキュリティシステムなども導入する必要があります。性善説思考を持つ日本企業でも、「意識的に」性悪説の考えを持つことは可能であり、それがセキュリティリスクを抑えることになると考えます。

前へ 1 2 3 次へ
Fortinet トップへ