
- セキュリティ/仮想化
ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(後編)
日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、ゼロトラストの世界的権威Ericom社 Chief Strategy Officerのチェイス・カニンガム博士にお話しを伺いながら、アシストの桐本 直樹が日本の現状についてお話しします(後編)。
|
従来、セキュリティ対策として、社外の脅威から社内を守る「境界防御型」モデルが一般的でした。しかし、システムのクラウド化やコロナ禍によるテレワーク推進により、境界型モデルでは防ぎきれないセキュリティリスクが高まる中、社内は安心、安全という考え方から一切信頼しない前提で対策を考える
「ゼロトラスト」という概念に大きな注目
が集まっています。
アシストが扱っている「
Ericom Connect
」などの開発元であるEricom Software Ltd.(Ericom社)では、従来から持つリモートアクセス製品の強みを生かしながらもセキュリティをより強化する方向へと大きく戦略を変更し、2018年にはWeb分離ソリューション「
Ericom Shield
」を、2021年6月にはクラウド版である「
Ericom Shield Cloud
」を市場投入しています。そのEricom社に、今年、ゼロトラスト業界ではあまりにも有名なチェイス・カニンガム博士がCSO(Chief Strategy Officer)として参画しました。
博士は前職の米国調査会社Forrester Research, Inc(以下フォレスター・リサーチ)で、現実的なゼロトラスト導入フレームワークである「
Zero Trust eXtended(ZTX
)」を作成。ゼロトラストに必要なコンポーネントを明確に定義し、それらのコンポーネントを提供しているベンダーをわかりやすく採点評価するなどして、当時コンセプトにすぎなかったゼロトラストをあらゆる組織が無理なく着実に実装していけるようにしました。また、コンセプトの啓蒙だけではなく、ワークショップを通じて多くの組織のゼロトラスト化を支援してきた実績があります。
今回、日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、博士にお話しを伺いながら、Ericom製品をはじめ様々なセキュリティ対策製品、アプリケーション/デスクトップ仮想化製品を扱うアクセスインフラ技術統括部の桐本 直樹が日本の現状についてお話しします。
|
Ericom Software Ltd. Chief Strategy Officer |
![]() |
---|
株式会社アシスト
ビジネスインフラ技術本部 アクセスインフラ技術統括部
技術3部 部長 桐本直樹
銀行系SI会社、ネットワーク系SI会社を経て、2011年にアシストに入社。セキュリティへのかかわりは、20年以上従事。お客様のビジネス課題解決の視点から、全体最適を意識した改善提案活動を実施。CISSP(情報セキュリティプロフェッショナル)、CISM(公認情報セキュリティマネージャー)。
講演履歴:兵庫県立大学 2016,2018年産官学連携・育成講座 講師など。
執筆記事:「
アシストが考える最速・最適なゼロトラストの実現方法とは
」
── 早速ですが、あらためて「ゼロトラストとは何か」をお聞かせください。
これまでセキュリティ対策の主流であった境界防御型モデルは「絶対にサイバー攻撃を成功させない」というアプローチでした。境界の内部ネットワークにユーザーが安心して接続できる反面、次々と現れる外部からの脅威への対応だけでなく、デバイスに許可されてきたリソースの共有、過剰なアクセス権限、システム管理者が何でもできてしまうという内部ネットワークのデフォルトの設定面での課題もあり、これまで、何千もの大型のセキュリティ事故・事件が発生し何十億ドルもの投資が水泡に帰しています。 |
カニンガム博士 |
▶ゼロトラストとは何かについてはこちらのインタビュー記事もご参照ください。
「ゼロトラストを知り尽くした博士に聞く、“ゼロトラストってなんですか?”」
── 博士がフォレスター・リサーチに入社したのは2016年と伺っていますが、それ以前からゼロトラストについてご存じだったのですか?
![]() |
---|
カニンガム博士 |
私がフォレスター・リサーチに入社する4年前の2012年頃、フォレスター・リサーチ主催で「ハッカーと経営層が対話を通じてセキュリティのあり方を考える」という非常に興味深いワークショップが開催されました。私はそのイベントにハッカー役として参加したのですが、その時に当時フォレスター・リサーチでゼロトラストを提唱していたジョン(ジョン・キンダーバーグ氏。現在は米ON2IT)と知り合い、そこでゼロトラストのコンセプトを初めて知りました。
── その当時からゼロトラストについて「これだ!」という確信があったのですか?
そのイベントでは、経営層との対話の前に、まず私がハッカーとして実際にフィッシングで参加者組織のネットワークに侵入し、全てを掌握できることを実証してみせました。それから経営層に対し「私がこういう攻撃をしかけたら、どうやって阻止しますか?」といった問いかけをしながら対話を進めることで、ようやく経営層の方々が「ゼロトラストにすればハッカーの攻撃は止められる」ということに気付くのです。私もこの対話を通じて、ハッカーの視点でみると、ゼロトラストによって攻撃に利用できる要素がなくなってしまうことに改めて気付き、ゼロトラストは理にかなっていると思いました。 |
カニンガム博士 |
── ジョンさんはその当時からすでにゼロトラストのコンセプトをシステムに実装する方法を確立していたのですか?
当時はまだセオリーとコンセプトの状態でしたが、私が2016年にフォレスター・リサーチに入社してから、セオリーにテクノロジーをマッピングしました。そうすると、人々はゼロトラストは実際に実現可能だと理解して、これをやるためにこのテクノロジー、あれをやるためにこのテクノロジーを、というように実際にゼロトラストに取り組み始めたんです。 |
カニンガム博士 |
── 桐本さんがゼロトラストについて認識されたのはいつ頃でしょう?その時にどのような印象を持たれましたか。
5年ぐらい前に、僕はセキュリティ製品のマネージャーとして、お客様に課題のヒアリング、要件確認、対策の提案活動を実施していたんです。特に標的型攻撃、内部不正に対する相談を数多く受けていました。お客様へのご提案は、特定の脅威に関わらず、共有の対策が行えるソリューションに優先して取り組むべきということをベースとしていました。今考えると、ゼロトラストの考え方に通じていたアプローチでしたね。 |
桐本 |
── Googleはオーロラ作戦*の被害にあっていたため、ゼロトラストに取り組むべくして取り組んだんですよね。彼らは優秀な人材を多く抱えていますから、ゼロトラストをやるだけの余裕もあったんだと思います。米国でゼロトラストはどのぐらい普及してきていると感じていますか?
*オーロラ作戦:中国Elderwoodグループ等によって遂行された一連のサイバー攻撃。被害にあった企業の中で、2010年1月にGoogleが最初に公表。
米国ではゼロトラスト化の動きが非常に活発で、89%の組織がゼロトラストに向かっているという統計データがあります。小規模な組織でも7割と言われていて、規模に大きな差はありません。米国のセキュリティ従事者であれば、ゼロトラストについて知らない人はいないでしょう。 |
カニンガム博士 |
── 桐本さん、今は日本の一般企業でもゼロトラストを実践できる材料が整ったと感じていますが、国内ではどのぐらい普及してきていると感じますか?
日本は、米国のように小規模な組織でも7割がゼロトラスト化へ進んでいるという状況にはまだまだ達していないと感じています。アシストのお客様を訪問する中での肌感覚ですが、キーワードとしても聞いたことがないというお客様が1割で、正しく理解されているお客様が3割程度、「ゼロトラストというキーワードは知っているがそれが何かは曖昧だ」と感じているお客様が残りの6割です。博士がおっしゃったように「ゼロトラスト」は概念・考え方なのですが、お客様とお話ししている中で、ゼロトラストというジャンルのプロダクトやサービスが存在している、ベンダーのマーケティングメッセージをそのまま受け取って「それを導入したらゼロトラストが実現する」と思っている方が結構いらっしゃるように見受けられますね。 |
桐本 |
── 業種によって何か特徴などありますか?
そうですね。日本では、グローバルでビジネスを推進している企業、特に製造業などは「ゼロトラスト」に積極的で、セキュリティの考え方や方針変革の影響は徐々に現れてきているように思いますね。また、デジタルトランスフォーメーション(DX)やクラウドを推進している企業はゼロトラストと親和性が高く、積極的に取り組んでいるように見受けられます。一方で、クラウドを積極的に活用しづらい、クローズされた環境で業務を行っている社会インフラの企業や、国・公共団体は、ゼロトラストの考え方に共感しつつも、実現に向けては多くのハードルが存在しているためか、慎重だと感じています。 |
桐本 |
米国では多くの企業がゼロトラストに向かっているとはいえ、ゼロトラストの採用が最も難しいのは建設業や石油・ガス業ではないでしょうか。これらの業種はインターネットへの接続環境がないネットワークも多く、常時クラウド接続ができるわけではない。もちろんクラウドを使えるかが問題ではなく、本質はゼロトラストの原則を適用できるかどうかにありますが、オンプレミスネットワークへのゼロトラストの導入は、クラウドを利用している場合よりも困難が伴います。 |
カニンガム博士 |
── コロナ禍はゼロトラスト化への道を決断する十分な効果があると思いますが、アフターコロナは、オフィスに人々が戻り、やっぱり境界型でいいや、になってしまうでしょうか?
|
桐本 |
現在、米国でも多くの組織がリモートワークに取り組んでおり、カリフォルニアやニューヨークなどの高所得地域では住環境を郊外へ移す人が増加しています。私が見た統計でも、米国では6割以上の人が週に2日以上リモートワークを行い、世界の労働人口の約世界の労働人口の約37%が、少なくとも週のどこかでリモートワークをしている、つまり、3人に1人はリモートワークをしているということになります。 |
カニンガム博士 |
── 博士にお伺いしたいのですが、ゼロトラスト化の完了にはどのぐらいの時間がかかるものでしょうか?
私たちは40年前からネットワークやインフラを構築してきたわけで、ゼロトラストに関しても一夜にして完了するということはありえません。様々なハードウェアを組み合わせて構成しているレガシーなオンプレミス環境をゼロトラストに再構築するのは実際難しいのです。そういう意味で、大規模環境のゼロトラスト化は、平均で約10年後の2030年ぐらいに完了すると思っています。一方、クラウドは仮想化されていて柔軟なインフラです。いわば更地のようなものなのでゼロからスタートできますし、ゼロトラストを使いこなしている組織はクラウドを大いに活用しています。 |
カニンガム博士 |
▶米国での普及度、ゼロトラスト化にかかる時間などはこちらのインタビュー記事もご参照ください。
「ゼロトラストを知り尽くした博士に聞く、「ゼロトラストってなんですか?」ーその2」
後半はより実践的な話へと続きます。↓
「ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(後編)」
最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。
日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、ゼロトラストの世界的権威Ericom社 Chief Strategy Officerのチェイス・カニンガム博士にお話しを伺いながら、アシストの桐本 直樹が日本の現状についてお話しします(後編)。
本記事は「アシストが考える最速・最適なゼロトラストの実現方法とは」の後編です。ゼロトラスト化の一歩はどう踏み出せばよいか具体的な取り組み方をご紹介します。
本記事は、いま話題のゼロトラストが具体的によくわからないというお客様からの声にお応えするもので、ゼロトラストが注目されるようになった背景や、ゼロトラスト提唱の歴史を交えながら、最速かつ最適な状態でゼロトラストを実現するにはどうすればよいのかをテーマに解説します。