ゼロトラスト博士のブログ

  • ゼロトラスト
  • インタビュー
2021.04.16

【特別インタビュー】ゼロトラストを知り尽くした博士に聞く、「ゼロトラストってなんですか?」ーその2

  • 本記事はアシストのセキュリティ製品マーケティング担当の青木が2021年3月11日にカニンガム博士にインタビューした内容です。

米国ではゼロトラストの導入はどの程度進んでいるのですか?

博士:米国におけるゼロトラスト化の動きは非常に活発で、組織のセキュリティやリスクのリーダーの10人中9人がゼロトラストに移行しているところだという調査結果を最近見ました。グローバルで見ても10人中6人のリーダーは移行を始めています。

米国政府の国家安全保障局や国防総省、大手銀行など、多くの大規模な組織がゼロトラストに向かっているということが大きな重力を生んで、他の業種においても群集心理が働き、重力の中心であるゼロトラストに向かっています。

米国では10人中9人のセキュリティリーダーがゼロトラストへの移行を始めている。

ゼロトラストにするにはどのぐらいの時間がかかりますか?

博士:ゼロトラストは「進化」を要します。進化には時間がかかります。現在のITインフラを構築するのに、10年はかかっているでしょう?1週間やそこらで10年の重みから抜け出すことはできません。何をすべきか、どのテクノロジーが役立ちそうか、常に評価していく必要があります。

私は多くの組織に対してゼロトラスト移行のためのワークショップを実施してきました。その参加者にいつも言っているのは、「ゼロトラストボタンはない」ということです。一夜にしてゼロトラストに変わることはできません。利用中のセキュリティソリューションの選択と集中をし、何を成し遂げたいのか、どこに価値があるのかを見定め、計画立てて進める必要があるのです。

例えば、ある大手クルーズ会社では、当初は58種類ものセキュリティソリューションを使っていました。セキュリティのパッチワークを繰り返した結果、2種類のID管理、2種類のSSO、2種類のファイアウォールが乱立する状況になっていました。さらに、それぞれのクルーズ船自体が独立したITインフラだったため、会社のシステムだけでなく、各船もゼロトラストに移行する必要がありました。

ゼロトラストに移行完了するのに3年を要しましたが、結果としてソリューションの数を58から11にまで減らし、400万ドルのコスト削減を実現しました。しかし一方で、ゼロトラストへの移行にあたっては頭を使い、努力し、戦略的計画を打ち出し、実行するのに多くの時間コストがかかりました。それでも、これからは毎年同じことに頭を悩ませる必要はなったのです。

ゼロトラスト化すればコストは削減できるが、多くの関係者の時間を費やすことを覚悟する必要がある。

ゼロトラストに至るまで大体3年、と考えておけばよいでしょうか。

博士:ゼロトラストへの投資意欲やアプローチの仕方によって、スピード感は変わってきます。10,000人規模の企業で、昔からオンプレミスのインフラを使っていて、クラウドへの移行に消極的ならば3年以上時間がかかるでしょう。一方、新しい会社で、クラウドサービスと仮想化インフラを利用し、テレワークの状況に慣れている場合は、かなり早くゼロトラストに到達できるでしょう。

ゼロトラストは何から始めたらよいですか?

博士:ゼロトラストに必要なセキュリティ対策と、多くのセキュリティベンダーが提供しているセキュリティ対策との間には大きな隔たりがあると感じています。多くのセキュリティベンダーは攻撃された時のためのセキュリティ対策を提供していますが、私の考えでは、攻撃されてから対処するのでは遅いのです。

フォレスター・リサーチで開発したものの一つに「ゼロトラストへの現実的アプローチ」と呼ばれるものがあります。最初にやるべきは、ユーザーのインターネットへのアクセス方法を管理することです。

その意味で、私は※RBI(Remote Browser Isolation)の導入から始めるのが良いと考えています。一つ目の理由は、多くのセキュリティサービスプロバイダーが提供できていない価値を提供できるからです。RBIは、簡単で、ユーザーへの教育がいりません。それでいて、ユーザーがインターネットを使う時はいつでも安全に仕事ができるのです。二つ目の理由は、RBIはユーザーのエンドポイントにインターネットの脅威が侵入するのを防ぐため、エンドポイントは安全な状態を保つことができ、一般的なアンチウイルスや効果が低いエンドポイント対策に費やしていたリソースを、より効果的なソリューションに使うことができるようになります。

その点から、RBIにはゼロトラストにおいて戦略的な価値があると感じました。ユーザーにセキュリティ確保の負担を強いることなく、普段のウェブの利用を安全にできます。それが他のセキュリティソリューションとは一線を画すと考えたのです。

※RBIは日本ではWeb分離、仮想ブラウザ、インターネット分離といった呼ばれ方をします。

攻撃されてから対処しようとしても遅い。ユーザーのインターネットアクセスを安全にすれば多くの脅威を排除できる。

SASEはゼロトラストには必須でしょうか?

博士:SASE(Secure Access Service Edge)はゼロトラストの原則をエッジに適用することができます。このインタビューでも全員が家から参加していますね。このテレワークの状態において私たちはインターネットと相対するエッジです。SASEがSDN(Software-Defined Network)でエッジ側にゼロトラストに必要な制御情報をプッシュしてくれれば、問題の多いオンプレミスネットワークのセキュリティに頼る必要がなくなります。

SASEのSDNで全てのエッジにセキュリティをプッシュすればゼロトラスト化が進む。

RBI、SASEの次に何をすればよいでしょうか?

博士:次のステップは、MDMでデバイスのヘルスチェックを行い、必要なパッチを適用することです。私がパッチのあたっていないiPhoneを組織のネットワークに接続したら問題ですよね。最新の状態であることを確認してから、接続を許可することが大事です。

その次はクラウドアプリケーションなどのワークロード側を守ることです。ネットワーク内のイースト・ウェストの通信全体の可視化によって、過剰なアクセスを排除します。

ピンとこないかもしれませんが、ゼロトラストが解決しなければならない最後の問題は「データセキュリティ」なのです。ゼロトラストによって他の問題が解決したら、安全になったデータを適切に使える仕組みが必要になります。

例えば「ドイツ人のデータは、ドイツの在住者にしか見せたくない」というコンプライアンス要件があります。ユーザーの場所が把握できればこのような制御が可能になるでしょう。

RBIとSASEの次はMDM、そしてワークロードの保護。最後はデータセキュリティ。

EDRは必要でしょうか?

博士:ユーザーのエンドポイントにセキュリティを詰め込んでしまうと、エンドポイントは遅くなってしまい、ユーザーは嫌になってしまうかもしれません。ゼロトラスト化するにはユーザーの理解と協力が不可欠です。当然、EDRが価値を発揮する作りのインフラもあります。しかし、多くの場合、私が今まで話してきたようなセキュリティ対策を導入すれば、必ずしもEDRは必要ではありません。私なら、ユーザーに快適に働いてもらうためにEDRが無いことのリスクを受け入れます。

ゼロトラスト化に際してユーザーの支持は不可欠。利便性を損なわないテクノロジーを選ぼう。

インタビューの続きはこちら

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラ事業者がランサムウェア攻撃グループに狙われています。 脅威の最大の侵入経路をゼロトラストのアプローチでしっかり閉じて対策しましょう。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

ページの先頭へ戻る