ネットワーク設計の前提は「(内部は)信頼する」から「全て信頼しない」へ
「ゼロトラスト」は2010年のフォレスターリサーチのレポートでジョン・キンダーバグ氏が提唱したセキュリティ戦略だと知られている。しかしここが初出ではない。2008年に同氏は講演で「ゼロトラスト」という表現を用いており、2009年ごろからは未公表ではあるもののゼロトラストを元とした初期のネットワーク設計を行っていたという。
ジョン・キンダーバグ氏
2017年から米パロアルトネットワークス フィールド担当 最高技術責任者
「ゼロトラストモデル」を提唱
これまで度々データ漏洩が生じており、そのたびにデータ保護の重要性が高まってきた。象徴的なのが2013年に小売のターゲットで起きた大規模なデータ流出で、CEOが引責辞任する事態に発展した。
2015年に起きた米連邦政府人事管理局(OPM)へのサイバー攻撃では、政府職員2000万人以上の社会保障番号などの個人情報が流出、うち500万人以上は指紋データも含まれたとされる。後日まとめられた報告書では「ゼロトラストを導入していれば、攻撃者がネットワークに侵入して機密データにアクセスできる可能性は大幅に低くなる」とゼロトラストを推奨する記述もあった。
またGoogle Cloud Platformが企業セキュリティのアプローチとして掲げている概念に「BeyondCorp」がある。これはゼロトラストの考えが根底にあり、独自のネットワーク構築の実績からくるノウハウやコミュニティからのフィードバックを採り入れて構成したものだ。Googleだけではなく、今では多くの組織がゼロトラストを採り入れてきている。
ゼロトラストを説明するにあたり、キンダーバグ氏は基本的な概念から切り出した。何かを遂行しようとする時、4つのレベルに分けて考えることができる。究極のゴールとなる「主要戦略」、具体的な狙いを定めた「戦略」、実際に使用する「戦術」、使用する方法となるのが「運用」だ。これをサイバー戦争にあてはめるなら、主要戦略はデータ侵害の阻止となる。この究極のゴールにおいて、戦略はゼロトラスト、戦術は各種セキュリティツールやテクノロジー、運用はセキュリティプラットフォームやポリシーとなる。
キンダーバグ氏は「戦略と戦術はよく混同されてしまいます」と苦言を呈し、セキュリティでブラックジョークとなる「Expense in depth」を挙げた。多層防御「Defense in depth」をもじったものだ。多層防御がうまく効果を出せず、出費ばかりかさんでしまうことを表している。キンダーバグ氏は「何を優先的に防御するのかきちんと掌握できていないとそうなります。ツールや技術は適材適所で配置することが大事です」と話す。何が狙いとなる戦略か、そのために何を戦術として使うか、戦略と戦術をきちんと見分けることが大事だ。
今回のテーマとなる「ゼロトラスト」では「トラスト(信頼)」という言葉を用いている。ここも注意が必要だ。キンダーバグ氏は「もともと信頼とは人間が持つ感情であり、これをデジタルに落とし込もうとしてもうまくいきません」と前置きしつつ、「システムから見たら信頼とは悪用される可能性があり、脆弱性になりえます」と言う。
もう少し具体的に考えてみよう。これまでのネットワークやセキュリティ設計では、外側と内側で区別していた。つまり外側となるのがインターネットなので「信頼できない」、内側は会社のネットワークなどで「信頼できる」という前提だ。しかしこれまでいくつもの内部不正が起きていることから分かるように、内側といえども外側と同じように「信頼できない」と発想を転換するのが「ゼロトラスト」の基本的な考え方だ。そのために内部でも外部と同じようにレイヤ7まで精査する。
ここでまた混乱が生じることがある。「人間は信頼できるか」という観点の論争になってしまうというのだ。だがゼロトラストはあくまでもネットワーク設計の話。「人間はパケットではありませんからね」と同氏は念を押す。
あらためてキンダーバグ氏はこう話す。「あらゆるデータ侵害は『信頼する』としたネットワークモデルのほころびから生じています。データ侵害をなくすには『ゼロトラスト(信頼しないこと)』が必要です」
