ゼロトラスト博士のブログ

  • ゼロトラスト
  • インタビュー
2021.04.16

【特別インタビュー】ゼロトラストを知り尽くした博士に聞く、「ゼロトラストってなんですか?」ーその1

  • 本記事はアシストのセキュリティ製品マーケティング担当の青木が2021年3月11日にカニンガム博士にインタビューした内容です。

「ドクター・ゼロトラスト」とか、「ミスター・ゼロトラスト」という異名をお持ちですが、どんなキャリアを歩んで来たのですか?

博士:実はキャリアの最初からセキュリティの仕事についたわけではなく、17歳で米海軍に入隊した時は船のディーゼルエンジンの修理を担当していたのです。その後、自分がセキュリティに向いていることを見出してくれた恩人がいて、その方に導かれてセキュリティの道に入りました。海軍では暗号技師として働き、退役した後は、米国政府に勤務し、NSA(国家安全保障局)などのよく3文字で表される政府機関で働いていました。レッドチームテストを担当して、どうすれば攻撃者目線で攻略しづらいネットワークを作ることができるのか指導をしたり、実際に強いインフラを構築する、ということを実施していました。

その後、フォレスター・リサーチのバイスプレジデント兼主席アナリストとしてゼロトラストに深く関わり、「Zero Trust eXtended (ZTX)」を作りました。そうこうしている間にコンピューターサイエンスの博士号を取得し、6、,7個の特許を取得しています。今はEricom社のCSO (Chief Strategy Officer)をしています。

※カニンガム博士が影響力のあるフォレスター・リサーチのEricomを選んだ理由は改めて別のブログで紹介します!

ゼロトラストとは何か、改めて教えて下さい。

博士:ゼロトラストの本質は、「信頼を取り除くこと」です。境界防御モデルの内部ネットワークのデフォルト設定はセキュリティを台無しにします。ネットワーク内のデバイスに許可されてきたリソースの共有、過剰なアクセス権限、システムの所有者は何でもできてしまう設定といったセキュリティを台無しにするセキュリティ設計やデフォルト設定を極限まで取り除くのがゼロトラストです。

ゼロトラストは従業員を信頼するな、ということではありません。しかし、内部ネットワークがユーザーに許可している基本的な接続性を敵に与えることがあってはいけません。今まで当たり前だと思ってきた信頼に基づくセキュリティを信用せず、テクノロジーによって私達が直面しているセキュリティ課題を戦略的に解決すること、それがゼロトラストなのです。

ゼロトラストとは当たり前に与えてきた信頼を取り除くこと。

ゼロトラストはセキュリティモデルの最終形態なのでしょうか?

博士:ITセキュリティが現在直面している課題に対して、最も的を得た戦略モデルだと思います。

ゼロトラストに取り組めば、敵にとっては攻略が難しい標的になります。敵は他に簡単に攻略できる標的が沢山あるのに難しい標的を狙いはしません。サイバー空間をアフリカの大自然に例えるなら、あなた方は速いガゼル(鹿の一種)にならなくてはなりません。群れの後ろを走る遅いガゼルは真っ先に捕食者に食べられてしまうでしょう。

ゼロトラストに戦略的に取り組んだ組織はとてもうまくいっています。なぜなら、「侵害の拡大を止められない」という境界防御モデルの根本的な問題に対処できているからです。境界防御モデルは、絶対に攻撃を成功させないというアプローチですが、ゼロトラストはそうではなく、1台のマシンが仮に感染したとしても、インフラ全体への被害拡大を防ぐことができるのモデルなのです。

ゼロトラストは1台のマシンの感染がインフラ全体に拡大するのを防げる。

ゼロトラストではなく、境界防御モデルを改善していく道もあるのでしょうか?

博士:境界防御モデルは動的ではありません。かつては組織構造をベースにした物理的に静的なネットワークがありましたが、新型コロナウイルスが全てを変えました。今では多くの人が組織外のネットワークにいて、仮想化され、BYODをしているのです。世の中のあり方が変わったのですから、古いアプローチは捨てなければなりません。境界防御モデルを続けるのは「車が当たり前になった時代に馬に乗り続けるようなもの」です。

境界防御モデルはすでに明らかに失敗しています。これまでに何千もの大型のセキュリティインシデント事例で証明され、何十億ドルもの投資が水泡に帰しました。明らかに失敗が証明された戦略を続けてはいけません。

境界防御モデルにこだわるのは車でなく馬に乗り続けるようなもの。

ゼロトラストにおいて、オンプレミス資産のクラウドへの移行は必須でしょうか?

博士:サイバー空間における重力の中心はクラウドです。将来的には多くの資産をクラウドに移行することになるでしょう。クラウドに何を移行してどんな価値を得るのか、移行するには何をすればいいのかを考える必要があります。

様々なハードウェアを組み合わせて構成しているなレガシーなオンプレミス環境をゼロトラストに再構築するのは難しいことです。一方で、クラウドでは全てがダイナミックで、仮想化されていて、思った通りに変えられる柔軟なインフラです。クラウドは言うなれば更地なので、ゼロから始めることができます。ゼロトラストを使いこなしている組織はクラウドを大いに活用していますよ。

クラウドは更地でゼロトラストを立てつけるのに最適。ゼロトラストを使いこなしている組織はクラウドを大いに活用している。

ゼロトラストの採用が難しい業種はあるのでしょうか?

博士:最も対応が難しいのは、建設業や石油・ガス業などでしょう。こういった業種ではインターネットへの接続環境がない場合があり、常時クラウド接続ができるわけではないからです。しかし、問題の本質はクラウドを使えるかどうかではなく、ゼロトラストの原則を適用できるかどうかです。インターネットに接続されていない環境でも、ゼロトラストの考え方を取り込んでいくことは可能で、境界防御モデルよりも優れています。
イランのナタンツ核施設では、インターネットに接続されていないマシンが感染しました(Stuxnet)。つまり、インターネットに繋がれていなくても、境界防御モデルには接続性、共有、アクセス、過剰な権限といった問題があるのです。

クラウドかオンプレミスか、インターネット接続の有無に関わらず、ゼロトラストの考え方を取り入れることは可能。

インタビューの続きはこちらです。

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラ事業者がランサムウェア攻撃グループに狙われています。 脅威の最大の侵入経路をゼロトラストのアプローチでしっかり閉じて対策しましょう。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

ページの先頭へ戻る