最近よく聞く「ゼロトラスト」の謳い文句は鵜吞みにして大丈夫？原点に立ち返り、本質と目的を見直そう

学術から「実務」へ……ジョン・キンダーバーグ氏のゼロトラスト概念

　2010年にJohn Kindervag氏（以下、Kindervag氏）がForrester Researchで提唱したゼロトラスト（Zero Trust）の概念は、従来のネットワークセキュリティに対する思想の転換を促すものであった。

　同氏は、ネットワークを「内部は安全、外部は危険」とみなす境界防御モデル（城と堀モデル）は、現代の脅威環境ではもはや通用しないと指摘した。攻撃者が一度でも「堀」を越えて内部ネットワークに侵入すれば、その後は横方向の移動（ラテラルムーブメント）が容易になってしまうためである。これは、VPNとゼロトラストにおける認証方式の違いを比較する際によく解説される。

　Kindervag氏が提唱したゼロトラストは、ネットワークの内部や外部といった場所に関係なく、「決して信頼せず、常に検証する」という原則に基づいている。

　この概念は、2020年8月にNIST（米国立標準技術研究所）によって「ゼロトラスト・アーキテクチャ（ZTA）」として具体化され、マイクロセグメンテーションや動的なポリシー制御といった技術要素を通じて、セキュリティをネットワーク全体に分散・適用する現代のセキュリティ戦略の基盤となった。

NIST SP-800-207『ゼロトラストの7原則』

※原文をもとに筆者が翻訳したもの。

ゼロトラストは本当に無敵か？

ゼロトラスト・アーキテクチャの盲点と限界

　そもそも「ゼロトラスト・アーキテクチャ（以下、ZTA）」とはNIST SP800-207に記載された言葉であるが、ソリューションではなくあくまで概念である。

　Kindervag氏がMarsh氏の論文を参照したかどうかは不明だが、ゼロトラストの概念について、この2人の考え方を比較してみると以下の相違点が見えてくる。

信頼の基点について

　Marsh氏の場合は、初期の信頼度はあくまでゼロからスタートするが、証明や文脈によって信頼度が加算され、積み重ねられていく。

　一方でKindervag氏の場合は、初期の段階でユーザーやデバイス、コンテキストによって厳格に検証を行う。つまり、初期に信頼度が100になるまで検証を行い、その後は引き算で、信頼度が落ちてきたタイミング毎に検証を継続していく。

考慮していない点

　Marsh氏の場合は、人間的な「裏切り（Betrayal）」や「動機」はモデル化できないとして、前提から排除している。

　Kindervag氏は、ネットワーク内の「ラテラルムーブメント」の阻止を最優先とし、認証後のアクセス制御の厳格化に重きを置いている。ここでの信頼の基点（アクセスを制御する主体）は、あくまでも検証されたID（認証情報）である。

　認証後も、おかしな挙動などといったコンテキストの変化時には、継続的に検証を行う。しかし、Marsh氏がモデル化できなかった「裏切り」の概念が、実務的なZTAにおいて「認証情報の侵害」という形で顕在化する。信頼の基点であるIDの真正性と、認証後の継続的な検証に構造的な限界があるため、以下のポイントで考慮しきれていないと言えるのではないか。

1. 認証情報窃取（Credentials Theft）による突破

　ZTAは、すべてのアクセスをポリシー・エンジンで厳格に検証することを核とするが、この検証は基本的に「ユーザーが主張するID」が真正であるという前提に立つ。

　ZTAは、アクセスを制御する前にまずユーザーとデバイスを認証（Authentication）し、承認（Authorization）を行う必要がある。しかし、攻撃者が何らかの方法で正規ユーザーの有効な認証情報（パスワード、トークン、証明書など）を窃取した場合、以下のような問題が発生する。

　この時点で、システムは「裏切り（窃取されたIDによる不正アクセス）」を「正当なアクセス」として誤認してしまうのである。

2. 認証後の継続的検証の限界

　NIST SP 800-207の原則7では、「認証と承認は動的であり、アクセスが許可された後も厳格に適用される」とある。しかし、この継続的検証には限界がある。

　アクセスが許可された後も「ID＋コンテキスト」の検証は継続されるが、この検証の中心は、コンテキスト（環境、デバイスの状態、時間など）や振る舞い（普段と異なるアクセスか）の変化に対する再評価になる。

　このことは、ZTAの公式ガイドラインであるNIST SP 800-207自体が、繰り返し認証情報の管理の重要性を強調し、その課題についても言及している。