ゼロトラストの世界的権威カニンガム博士に聞く～サイバー攻撃に負けない組織へ変革するにはどうすべきか～（前編）

従来、セキュリティ対策として、社外の脅威から社内を守る「境界防御型」モデルが一般的でした。しかし、システムのクラウド化やコロナ禍によるテレワーク推進により、境界型モデルでは防ぎきれないセキュリティリスクが高まる中、社内は安心、安全という考え方から一切信頼しない前提で対策を考える 「ゼロトラスト」という概念に大きな注目 が集まっています。

アシストが扱っている「 Ericom Connect 」などの開発元であるEricom Software Ltd.（Ericom社）では、従来から持つリモートアクセス製品の強みを生かしながらもセキュリティをより強化する方向へと大きく戦略を変更し、2018年にはWeb分離ソリューション「 Ericom Shield 」を、2021年6月にはクラウド版である「 Ericom Shield Cloud 」を市場投入しています。そのEricom社に、今年、ゼロトラスト業界ではあまりにも有名なチェイス・カニンガム博士がCSO（Chief Strategy Officer）として参画しました。

博士は前職の米国調査会社Forrester Research, Inc（以下フォレスター・リサーチ）で、現実的なゼロトラスト導入フレームワークである「 Zero Trust eXtended（ZTX ）」を作成。ゼロトラストに必要なコンポーネントを明確に定義し、それらのコンポーネントを提供しているベンダーをわかりやすく採点評価するなどして、当時コンセプトにすぎなかったゼロトラストをあらゆる組織が無理なく着実に実装していけるようにしました。また、コンセプトの啓蒙だけではなく、ワークショップを通じて多くの組織のゼロトラスト化を支援してきた実績があります。

今回、日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、博士にお話しを伺いながら、Ericom製品をはじめ様々なセキュリティ対策製品、アプリケーション／デスクトップ仮想化製品を扱うアクセスインフラ技術統括部の桐本直樹が日本の現状についてお話しします。

▶プロフィール

Dr. Chase Cunningham（チェイス・カニンガム博士）

Ericom Software Ltd.　Chief Strategy Officer
Dr. Chase Cunningham（チェイス・カニンガム博士）
米海軍の暗号技術者からセキュリティに関するキャリアをスタートし、アメリカ国家安全保障局（NSA）、中央情報局（CIA）、連邦捜査局（FBI）でセキュリティの分析業務に携わる。2016年、米国の調査会社であるフォレスター・リサーチに入社し、ゼロトラストの提唱者であるジョン・キングバーグ氏（現ON2IT）のもと、現実的なゼロトラスト導入フレームワークである 「Zero Trust eXtended （ZTX）」 を作成、ゼロトラストの普及に努める。2021年、Ericom社にChief Strategy Officer（CSO）として参画。今後セキュリティをより強化するための戦略を製品に実装する役割を担っていく。

株式会社アシスト
ビジネスインフラ技術本部　アクセスインフラ技術統括部
技術3部　部長　桐本直樹
銀行系SI会社、ネットワーク系SI会社を経て、2011年にアシストに入社。セキュリティへのかかわりは、20年以上従事。お客様のビジネス課題解決の視点から、全体最適を意識した改善提案活動を実施。CISSP（情報セキュリティプロフェッショナル）、CISM（公認情報セキュリティマネージャー）。
講演履歴：兵庫県立大学　2016,2018年産官学連携・育成講座　講師など。
執筆記事：「 アシストが考える最速・最適なゼロトラストの実現方法とは 」

「ゼロトラストとは何なのか？」をゼロトラスト博士に聞く

── 早速ですが、あらためて「ゼロトラストとは何か」をお聞かせください。

これまでセキュリティ対策の主流であった境界防御型モデルは「絶対にサイバー攻撃を成功させない」というアプローチでした。境界の内部ネットワークにユーザーが安心して接続できる反面、次々と現れる外部からの脅威への対応だけでなく、デバイスに許可されてきたリソースの共有、過剰なアクセス権限、システム管理者が何でもできてしまうという内部ネットワークのデフォルトの設定面での課題もあり、これまで、何千もの大型のセキュリティ事故・事件が発生し何十億ドルもの投資が水泡に帰しています。

この課題に拍車をかけたのが、このコロナ禍です。多くの人が境界の外にいて、社外のネットワークを利用し、仮想化され、BYODをしています。一度テレワークでもオフィスと同様に働けると実証された今、コロナ禍が落ち着いても全面的にオフィスに戻ることはないでしょう。

ゼロトラストはコロナ禍によって急浮上したバズワードではありません。10年前から提唱され、実践的なフレームワークもあります。その本質は、境界防御型モデルでこれまで信頼してきたものを信頼しないものと考え、直面するセキュリティ課題をテクノロジーで戦略的に解決するものです。

また、「ゼロトラスト」は戦略・考え方であって、製品やサービスではありません。10人と話せば10通りの実現方法があり、誰がゼロトラスト化をリードするかによってやり方には違いがあります。違いがあっても悪いことではなく、むしろそこが良いところであっておもしろいところです。

ゼロトラストに取り組めば、攻略が難しくなり標的にされにくくなります。先行して取り組んだ組織は、セキュリティ侵害が止められないという境界防御型モデルの根本的な問題に対処できています。例え1台のマシンが感染したとしてもインフラ全体への被害拡大を防ぐことができるのがゼロトラストだからです。

環境が一変した現在、境界防御型モデルにこだわり続けるのは、車社会において馬に乗り続けるようなものなのです。

カニンガム博士

▶ゼロトラストとは何かについてはこちらのインタビュー記事もご参照ください。
「ゼロトラストを知り尽くした博士に聞く、“ゼロトラストってなんですか？”」

ハッカーの視点で攻略が難しいと感じた「ゼロトラスト」

── 博士がフォレスター・リサーチに入社したのは2016年と伺っていますが、それ以前からゼロトラストについてご存じだったのですか？


カニンガム博士

私がフォレスター・リサーチに入社する4年前の2012年頃、フォレスター・リサーチ主催で「ハッカーと経営層が対話を通じてセキュリティのあり方を考える」という非常に興味深いワークショップが開催されました。私はそのイベントにハッカー役として参加したのですが、その時に当時フォレスター・リサーチでゼロトラストを提唱していたジョン（ジョン・キンダーバーグ氏。現在は米ON2IT）と知り合い、そこでゼロトラストのコンセプトを初めて知りました。

── その当時からゼロトラストについて「これだ！」という確信があったのですか？

そのイベントでは、経営層との対話の前に、まず私がハッカーとして実際にフィッシングで参加者組織のネットワークに侵入し、全てを掌握できることを実証してみせました。それから経営層に対し「私がこういう攻撃をしかけたら、どうやって阻止しますか？」といった問いかけをしながら対話を進めることで、ようやく経営層の方々が「ゼロトラストにすればハッカーの攻撃は止められる」ということに気付くのです。私もこの対話を通じて、ハッカーの視点でみると、ゼロトラストによって攻撃に利用できる要素がなくなってしまうことに改めて気付き、ゼロトラストは理にかなっていると思いました。

ジョンは2010年からゼロトラストを提唱し、長い間、その普及に努めてきました。ジョンが話していたセグメンテーションやアイソレーション、ネットワーク間の移動をさせないといったことは、私もその通りだと思いましたし、もし私がハッカーだったら、ゼロトラストを攻略するのは難しいだろうと思いましたね。

カニンガム博士

── ジョンさんはその当時からすでにゼロトラストのコンセプトをシステムに実装する方法を確立していたのですか？

当時はまだセオリーとコンセプトの状態でしたが、私が2016年にフォレスター・リサーチに入社してから、セオリーにテクノロジーをマッピングしました。そうすると、人々はゼロトラストは実際に実現可能だと理解して、これをやるためにこのテクノロジー、あれをやるためにこのテクノロジーを、というように実際にゼロトラストに取り組み始めたんです。

カニンガム博士

── 桐本さんがゼロトラストについて認識されたのはいつ頃でしょう？その時にどのような印象を持たれましたか。

5年ぐらい前に、僕はセキュリティ製品のマネージャーとして、お客様に課題のヒアリング、要件確認、対策の提案活動を実施していたんです。特に標的型攻撃、内部不正に対する相談を数多く受けていました。お客様へのご提案は、特定の脅威に関わらず、共有の対策が行えるソリューションに優先して取り組むべきということをベースとしていました。今考えると、ゼロトラストの考え方に通じていたアプローチでしたね。

ちょうどその頃、Googleの「Beyond Corp」のような考え方に出合い、僕はそこで初めてキーワードとコンセプトについて知りました。「Beyond Corp」は、世界中に点在する約10万人ものGoogle社員が安全かつ便利に業務を遂行できるゼロトラスト型のセキュリティモデルを自社のITインフラに組み込んだもので、今年1月からGoogle Cloudが「Beyond Corp」の考え方に基づいたセキュリティサービスの一般公開を開始しています。

当時はGoogleのような大きくて先進的な企業だけが実現できる世界だなと感じました。業界的なバズワードであり机上の空論であって、現場での実現性は難しいのではないかと懐疑的でしたね。

アシスト桐本直樹

桐本

米国は89%がゼロトラスト化へ。日本はどうなのか。アフターコロナはどうなる。

── Googleはオーロラ作戦*の被害にあっていたため、ゼロトラストに取り組むべくして取り組んだんですよね。彼らは優秀な人材を多く抱えていますから、ゼロトラストをやるだけの余裕もあったんだと思います。米国でゼロトラストはどのぐらい普及してきていると感じていますか？

*オーロラ作戦：中国Elderwoodグループ等によって遂行された一連のサイバー攻撃。被害にあった企業の中で、2010年1月にGoogleが最初に公表。

米国ではゼロトラスト化の動きが非常に活発で、89％の組織がゼロトラストに向かっているという統計データがあります。小規模な組織でも7割と言われていて、規模に大きな差はありません。米国のセキュリティ従事者であれば、ゼロトラストについて知らない人はいないでしょう。

また、ゼロトラスト化の動きは大きく二つのグループに分かれます。一つは、「ゼロトラスト」という言葉が認知される以前から、長い間、戦略としてゼロトラストに取り組んできた政府、大手金融機関、大企業です。もう一つは、この1年半の間にコロナ禍の影響によりテレワーク推進などで強制的にサイバーセキュリティの世界に放り出されたグループ。このグループは、大企業はどういうセキュリティ対策を実装しているかを調査し、「なるほどゼロトラストは良い」と真似をするのですが、同じことをするにはコストがかかりすぎることに気づき、止まってしまう傾向があります。

しかし、「ゼロトラスト」という戦略を可能にするのはテクノロジーです。大手金融機関や大企業と同じものを購入しなくても、自分たちがやりたいことに合ったものを導入すればゼロトラストは実現できるのです。

カニンガム博士

── 桐本さん、今は日本の一般企業でもゼロトラストを実践できる材料が整ったと感じていますが、国内ではどのぐらい普及してきていると感じますか？

日本は、米国のように小規模な組織でも7割がゼロトラスト化へ進んでいるという状況にはまだまだ達していないと感じています。アシストのお客様を訪問する中での肌感覚ですが、キーワードとしても聞いたことがないというお客様が1割で、正しく理解されているお客様が3割程度、「ゼロトラストというキーワードは知っているがそれが何かは曖昧だ」と感じているお客様が残りの6割です。博士がおっしゃったように「ゼロトラスト」は概念・考え方なのですが、お客様とお話ししている中で、ゼロトラストというジャンルのプロダクトやサービスが存在している、ベンダーのマーケティングメッセージをそのまま受け取って「それを導入したらゼロトラストが実現する」と思っている方が結構いらっしゃるように見受けられますね。

また、今の日本の状況としては、コロナ禍による強制リモートワークや、クラウド活用という目の前の具体的な課題解決の手法としてゼロトラストを検討されている企業がほとんどで、最初から「ゼロトラストを取り入れたい」と思ってスタートしたところは少ないのではないでしょうか。ゼロトラストを取り入れていこうという企業であっても、その実現にはまだまだ時間がかかりそうな気がしています。

アシスト桐本直樹

桐本

── 業種によって何か特徴などありますか？

そうですね。日本では、グローバルでビジネスを推進している企業、特に製造業などは「ゼロトラスト」に積極的で、セキュリティの考え方や方針変革の影響は徐々に現れてきているように思いますね。また、デジタルトランスフォーメーション（DX）やクラウドを推進している企業はゼロトラストと親和性が高く、積極的に取り組んでいるように見受けられます。一方で、クラウドを積極的に活用しづらい、クローズされた環境で業務を行っている社会インフラの企業や、国・公共団体は、ゼロトラストの考え方に共感しつつも、実現に向けては多くのハードルが存在しているためか、慎重だと感じています。

アシスト桐本直樹

桐本

米国では多くの企業がゼロトラストに向かっているとはいえ、ゼロトラストの採用が最も難しいのは建設業や石油・ガス業ではないでしょうか。これらの業種はインターネットへの接続環境がないネットワークも多く、常時クラウド接続ができるわけではない。もちろんクラウドを使えるかが問題ではなく、本質はゼロトラストの原則を適用できるかどうかにありますが、オンプレミスネットワークへのゼロトラストの導入は、クラウドを利用している場合よりも困難が伴います。

カニンガム博士

── コロナ禍はゼロトラスト化への道を決断する十分な効果があると思いますが、アフターコロナは、オフィスに人々が戻り、やっぱり境界型でいいや、になってしまうでしょうか？

コロナ禍がテレワークやクラウドを後押ししているという事実はあると思いますが、現状はそれに伴ってセキュリティの戦略を変えざるを得ない、ゼロトラストをやらざるを得ないという雰囲気だと思うんですよね。

アフターコロナでは、ゼロトラスト化によって何らかのメリットを享受した企業はさらに継続して進めていくでしょうし、まだゼロトラスト化していない企業や業務上の弊害が出てくる企業は、境界防御型なのかハイブリッドなのかそれとも別の選択肢になるんじゃないかと思います。

アシスト桐本直樹

桐本

現在、米国でも多くの組織がリモートワークに取り組んでおり、カリフォルニアやニューヨークなどの高所得地域では住環境を郊外へ移す人が増加しています。私が見た統計でも、米国では6割以上の人が週に2日以上リモートワークを行い、世界の労働人口の約世界の労働人口の約37％が、少なくとも週のどこかでリモートワークをしている、つまり、3人に1人はリモートワークをしているということになります。

アフターコロナでオフィスに復帰するのであれば、境界を維持しその中の安全を確保して、ゼロトラストの原則を適用すればよいですし、ほとんどの組織がリモートワークを継続していくことを考えると、リモートワークにもゼロトラストを適用することが理にかなっていると思います。

4月27日付けのウォール・ストリート・ジャーナルに私のコメントが掲載されたのですが…。ゼロトラストの本質は「境界を捨てろ」ということではありません。クラウド、オンプレミスに関わらず、リソースの周りに境界を作り、そこのゼロトラストの原則を適用して絶えずアップグレードしていく、ということなんです。その中にファイアウォールによる境界を含んでいても何らゼロトラストに反するものではありません。

カニンガム博士

ゼロトラスト化はどのぐらいで完成するのか

── 博士にお伺いしたいのですが、ゼロトラスト化の完了にはどのぐらいの時間がかかるものでしょうか？

私たちは40年前からネットワークやインフラを構築してきたわけで、ゼロトラストに関しても一夜にして完了するということはありえません。様々なハードウェアを組み合わせて構成しているレガシーなオンプレミス環境をゼロトラストに再構築するのは実際難しいのです。そういう意味で、大規模環境のゼロトラスト化は、平均で約10年後の2030年ぐらいに完了すると思っています。一方、クラウドは仮想化されていて柔軟なインフラです。いわば更地のようなものなのでゼロからスタートできますし、ゼロトラストを使いこなしている組織はクラウドを大いに活用しています。

また、完了時期というのは、組織の規模や様々な要因によってまちまちです。例えば、Googleは2年半から3年で移行できたようですし、私が見てきた大企業の中にも2～3年でゼロトラスト化が完了したところがあります。一方で、ある中小企業では様々な施策に手を出して、半年で済むはずが2年もかかってしまったところがありますね。

ここでの教訓としては、ゼロトラストの完成は、個人の健康管理と同じで、目標を定めて、それに向かってひたすら突き進むことができるかどうかにかかっています。例えば体脂肪率5％のボディビルダーになりたければ、1年間毎日必要なことに取り組めばすぐになれるでしょう。逆に、週に1～2回程度しか運動しなかったり、人に勧められるままに食事法をあれこれ変えたり、途中でサボったりしていたら、10年かかるかもしれません。正しいことは正しいアプローチでまっすぐに進まなければ目標達成はできません。

カニンガム博士