SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

情報資産は最小化し、境界を形成して保護せよ――ゼロトラストモデルをジョン・キンダーバグ氏が説く

 セキュリティモデルの「ゼロトラスト」はネットワークセキュリティにおいて、前提を「信頼する」から「信頼しない」へと転換するものであり、技術的な戦術というよりは戦略的な概念だ。現在は米パロアルトネットワークスでフィールド担当CTOを務める同氏が「ゼロトラスト」の概念から実装まで解説する。

ネットワーク設計の前提は「(内部は)信頼する」から「全て信頼しない」へ

 「ゼロトラスト」は2010年のフォレスターリサーチのレポートでジョン・キンダーバグ氏が提唱したセキュリティ戦略だと知られている。しかしここが初出ではない。2008年に同氏は講演で「ゼロトラスト」という表現を用いており、2009年ごろからは未公表ではあるもののゼロトラストを元とした初期のネットワーク設計を行っていたという。

ジョン・キンダーバグ氏 
2017年から米パロアルトネットワークス フィールド担当 最高技術責任者  
「ゼロトラストモデル」を提唱

 これまで度々データ漏洩が生じており、そのたびにデータ保護の重要性が高まってきた。象徴的なのが2013年に小売のターゲットで起きた大規模なデータ流出で、CEOが引責辞任する事態に発展した。

 2015年に起きた米連邦政府人事管理局(OPM)へのサイバー攻撃では、政府職員2000万人以上の社会保障番号などの個人情報が流出、うち500万人以上は指紋データも含まれたとされる。後日まとめられた報告書では「ゼロトラストを導入していれば、攻撃者がネットワークに侵入して機密データにアクセスできる可能性は大幅に低くなる」とゼロトラストを推奨する記述もあった。  

 またGoogle Cloud Platformが企業セキュリティのアプローチとして掲げている概念に「BeyondCorp」がある。これはゼロトラストの考えが根底にあり、独自のネットワーク構築の実績からくるノウハウやコミュニティからのフィードバックを採り入れて構成したものだ。Googleだけではなく、今では多くの組織がゼロトラストを採り入れてきている。  

 ゼロトラストを説明するにあたり、キンダーバグ氏は基本的な概念から切り出した。何かを遂行しようとする時、4つのレベルに分けて考えることができる。究極のゴールとなる「主要戦略」、具体的な狙いを定めた「戦略」、実際に使用する「戦術」、使用する方法となるのが「運用」だ。これをサイバー戦争にあてはめるなら、主要戦略はデータ侵害の阻止となる。この究極のゴールにおいて、戦略はゼロトラスト、戦術は各種セキュリティツールやテクノロジー、運用はセキュリティプラットフォームやポリシーとなる。  

 キンダーバグ氏は「戦略と戦術はよく混同されてしまいます」と苦言を呈し、セキュリティでブラックジョークとなる「Expense in depth」を挙げた。多層防御「Defense in depth」をもじったものだ。多層防御がうまく効果を出せず、出費ばかりかさんでしまうことを表している。キンダーバグ氏は「何を優先的に防御するのかきちんと掌握できていないとそうなります。ツールや技術は適材適所で配置することが大事です」と話す。何が狙いとなる戦略か、そのために何を戦術として使うか、戦略と戦術をきちんと見分けることが大事だ。  

 今回のテーマとなる「ゼロトラスト」では「トラスト(信頼)」という言葉を用いている。ここも注意が必要だ。キンダーバグ氏は「もともと信頼とは人間が持つ感情であり、これをデジタルに落とし込もうとしてもうまくいきません」と前置きしつつ、「システムから見たら信頼とは悪用される可能性があり、脆弱性になりえます」と言う。  

 もう少し具体的に考えてみよう。これまでのネットワークやセキュリティ設計では、外側と内側で区別していた。つまり外側となるのがインターネットなので「信頼できない」、内側は会社のネットワークなどで「信頼できる」という前提だ。しかしこれまでいくつもの内部不正が起きていることから分かるように、内側といえども外側と同じように「信頼できない」と発想を転換するのが「ゼロトラスト」の基本的な考え方だ。そのために内部でも外部と同じようにレイヤ7まで精査する。  

 ここでまた混乱が生じることがある。「人間は信頼できるか」という観点の論争になってしまうというのだ。だがゼロトラストはあくまでもネットワーク設計の話。「人間はパケットではありませんからね」と同氏は念を押す。  

 あらためてキンダーバグ氏はこう話す。「あらゆるデータ侵害は『信頼する』としたネットワークモデルのほころびから生じています。データ侵害をなくすには『ゼロトラスト(信頼しないこと)』が必要です」

次のページ
保護対象をマイクロ境界で区分することで管理を容易かつ確実に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11575 2019/01/23 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング