テックノート

  • セキュリティ/仮想化
2021.09.29

ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(後編)


ゼロトラストの世界的権威であるチェイス・カニンガム博士は、前職の米国調査会社Forrester Research, Inc(以下フォレスター・リサーチ)で、現実的なゼロトラスト導入フレームワークである 「Zero Trust eXtended (ZTX)」 を作成。ゼロトラストに必要なコンポーネントを明確に定義し、それらのコンポーネントを提供しているベンダーをわかりやすく採点評価するなどして、当時コンセプトにすぎなかったゼロトラストをあらゆる組織が無理なく着実に実装していけるようにしました。また、コンセプトの啓蒙だけではなく、ワークショップを通じて多くの組織のゼロトラスト化を支援してきた実績があります。

前回 に引き続き、日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、博士にお話しを伺いながら、「 Ericom Shield 」をはじめ様々なセキュリティ対策製品、アプリケーション/デスクトップ仮想化製品を扱うアクセスインフラ技術統括部の桐本 直樹が日本の現状についてお話しします。

▶プロフィール

Dr. Chase Cunningham(チェイス・カニンガム博士)

Ericom Software Ltd. Chief Strategy Officer
Dr. Chase Cunningham(チェイス・カニンガム博士)

米海軍の暗号技術者からセキュリティに関するキャリアをスタートし、アメリカ国家安全保障局(NSA)、中央情報局(CIA)、連邦捜査局(FBI)でセキュリティの分析業務に携わる。2016年、米国の調査会社であるフォレスター・リサーチに入社し、ゼロトラストの提唱者であるジョン・キングバーグ氏(現ON2IT)のもと、現実的なゼロトラスト導入フレームワークである「 Zero Trust eXtended (ZTX) 」を作成、ゼロトラストの普及に努める。2021年、Ericom社にChief Strategy Officer(CSO)として参画。今後セキュリティをより強化するための戦略を製品に実装する役割を担っていく。

アシスト 桐本 直樹

株式会社アシスト
ビジネスインフラ技術本部 アクセスインフラ技術統括部

技術3部 部長 桐本直樹
銀行系SI会社、ネットワーク系SI会社を経て、2011年にアシストに入社。セキュリティへのかかわりは、20年以上従事。お客様のビジネス課題解決の視点から、全体最適を意識した改善提案活動を実施。CISSP(情報セキュリティプロフェッショナル)、CISM(公認情報セキュリティマネージャー)。
講演履歴:兵庫県立大学 2016,2018年産官学連携・育成講座 講師など。
執筆記事: アシストが考える最速・最適なゼロトラストの実現方法とは

どうやったらお客様を成功へ導けるか

── 米国ではIT人材の35%がIT企業、65%はユーザー企業に所属する一方で、日本は約7割強がIT企業(主にSIer)、残りの3割弱がユーザー企業に所属するという統計を見たことがあります。IT人材が圧倒的にユーザー企業側に不足しているということは、日本にCTOやCISOが少ないということにも深く関係していると思うのですが、特にゼロトラストのような戦略シフトは、自社のセキュリティの現状を正しく把握しているセキュリティ系の役員が不在であれば、外部からゼロトラストを提案してもなかなか受け入れられず浸透も難しいのではないかと思います。ゼロトラストを正しくお客様へ伝えるにはどうすればいいか、また、ゼロトラストを決断する人がいないお客様企業へどのようにご提案したらいいでしょうか?

米国では、アクセンチュアやPwC、KPMGなどの大手コンサルティング企業が、ゼロトラスト戦略立案のための戦略グループを設けていて、まず最初に、顧客企業がセキュリティに関し何を目的として、どういう課題があり、今後の計画を含め一緒に検証するというアプローチを行っています。この次のステップとして、計画を実現するために必要な機能を持つ製品や技術についての具体的な話へ移るのです。

アシストもこのような上流からのアプローチがよいと思います。顧客企業に対して、システム構築のプロであるSIerとは別に、アシストは「セキュリティリーダー」としての視点を示すべきです。ゼロトラストを用いるために、その意味や実現方法を正しく伝えるだけでなく、お客様に無駄な投資をさせないことが重要です。

カニンガム博士

カニンガム博士

── 桐本さん、いかがでしょう。

ゼロトラストへ舵を切るかどうかを判断するのは最終的にはお客様になりますが、全体最適の中でのセキュリティ戦略として考えていただかないと、本質的にゼロトラストに基づいた戦略は成功しないと考えています。

このためには、ゼロトラストという戦略を採用する・しない以前に、「何から守るのか」を明確にしないといけません。ここが明確ではないお客様が多いと実は感じていまして、我々アシストの役割として、まず「何から守るのか」をお客様と一緒に明確化し、次に、守るための方針や戦略、また業界動向として、ゼロトラストという考え方が選択肢として存在することをお伝えすべきかと考えています。お客様にとってゼロトラストが最適かどうか、また実現するにはどうすればいいかは、我々が専門家としての知見を提供し、お客様とご相談しながら、伴走型でご支援するのがベストだと思いますね。

アシスト桐本直樹

桐本

ゼロトラストは具体的に何を行うのか

── まずは戦略が重要だというお話ですが、全体を最適化するためのセキュリティ戦略をたてた後、具体的な実装として何からゼロトラストを始めたらよいでしょうか。博士が現時点で考えている最適解からお伺いさせてください。

ゼロトラストに必要なセキュリティ対策と、多くのセキュリティベンダーが提供している製品・サービスには大きな隔たりがあります。多くのセキュリティベンダーは攻撃された時のための対策を提供していますが、攻撃されてから対処するのでは遅いのです。

私がフォレスター・リサーチで開発したものの一つ「ゼロトラストへの現実的アプローチ」で提唱したのですが、最初にやるべきことはユーザーがインターネットへアクセスする方法の管理です。その意味で私はRBI(リモートブラウザ分離)の導入から始めるのがよいと思います。

RBIはインターネットの常時安全な利用を実現する一方で、ユーザーにセキュリティ担保の負担をまったく強いることなく(操作性はまったく変わらない)、しかもインターネットをいつでも安全に利用させることができます。ユーザーのエンドポイントにインターネットの脅威が侵入するのを防ぐため、エンドポイントが常に安全な状態となります。これによりエンドポイント対策に費やしていた費用は大幅に削減できます。

また、ゼロトラストの原則をエッジに適用することができるのがSASE(Secure Access Service Edge)です。SASEがSDN(Software-Degined Network)でエッジ側にゼロトラストに必要な制御情報をプッシュしてくれれば、ゼロトラスト化が進みます。

次は、MDMでデバイスのヘルスチェックを行い、必要なパッチを適用します。その次は、クラウドアプリケーションなどのワークロード側を守ること。ネットワーク内のイースト・ウエストの通信全体の可視化によって過剰なアクセスを排除します。

最後はデータセキュリティで、安全になったデータを適切に使える仕組みが必要です。

カニンガム博士

カニンガム博士

── ユーザーのエンドポイントデバイスはどうすればいいでしょうか?

私が組織を運営するとしたら、基本的にエンドポイントは常にハッキングされるものと考え、そこにデータは保存させません。それに、エンドポイントの利用者(従業員)は触れる部分であれば何でもクリックするし、bitLocker(Windows10に標準搭載されたドライブ暗号化機能)をオンにするよう指示してもしなかったりで、エンドポイントで行われることをこちらが全て把握したりハンドリングすることはできません。

そのため、システムは私がコントロールできて問題も自分で解決できるクラウド上に配置し、そこへユーザーを安全に接続させて遠隔操作してもらう方法が合理的です。つまり、会社のアプリケーションもデータもセキュリティも全てクラウド側にあればよいのです。データが全てクラウド側にあれば、エンドポイントは会社の端末でもスマホでもBYODでもよくなりますし、エンドポイント・セキュリティに1セントたりともお金をかける必要がなくなります。

私は何度もじっくりと考えてみましたが、これがベストな方法です。もし、私がセキュリティに関し100万ドルの予算があるのであれば、75万ドルをクラウド製品につぎ込みます。そして、エンドポイント・セキュリティには100ドルしか使わないでしょう。

カニンガム博士

カニンガム博士

── 桐本さん、アシストも博士が提唱されていたZTXをベースに、具体的なアプローチを提案し始めていますね。

アシストでは先日オンラインセミナーで「最速・最適にゼロトラスト化するための取り組みステップ」についてお客様にご紹介しました。博士がフォレスターリサーチ在籍時代に作成された「ゼロトラスト・エクステンデッド・エコシステム(ZTX)」で提唱されていた「 ゼロトラスト化に必要な7つの機能 」をベースとしたもので、以下の3つのステップで行うことを推奨しています。

(1)誰がデータへアクセスしようとしても、その人が本人であることを確認できる
   (IDaaSによる多要素認証、SSOの提供)
(2)どこからデバイスを利用しても、そのデバイスが安全であることを確認できる
   (EPPやEDRを駆使したマルウェア対策、SDPによる安全性のチェック)
(3)上記が適切に行えていることをチェックできる
   (統合ログ管理など)


このセミナーは今すぐ始められるゼロトラスト対策として、お客様から非常に高いご評価をいただきました。アシストでは、お客様のセキュリティ戦略に合わせた形でゼロトラスト化への取り組みをご支援していきます。

アシスト桐本直樹

桐本

セロトラストの解釈がベンダーによってまちまちでは

── お客様の中にはベンダーから「ゼロトラストにはEDR(Endpoint Detection and Response:エンドポイントで脅威を継続的に監視して対応する技術)が必須だ」と言われてゼロトラスト=EDR製品と勘違いされている方もいらっしゃいます。お客様が正しいベンダーを見極める方法などあれば教えてください。

私も博士にその点をお伺いしたいです。博士がおっしゃるように、ゼロトラストの形は様々であるため、ベンダーやSIerが独自に解釈したゼロトラスト・ソリューションが広がっています。その中には、全体の戦略が欠けていたり、全体の一部だけをゼロトラストと定義しているものも見受けられます。先ほどのゼロトラスト=EDR製品にように、お付き合いのあるベンダーの主張を、お客様が鵜呑みにされるケースもあるのではないかと思うんです。

そのようなゼロトラストを学習中のお客様にとってゼロトラストを正しく見極めるためのよい方法はないでしょうか。

アシスト桐本直樹

桐本

そうですね。ベンダーの見極め方としては、「あなた方の会社ではどのようにゼロトラスト化しているのですか?」と聞いてみるのが良いでしょうね。自社でゼロトラスト化を実施していて、戦略を持っていれば、ユーザー企業が納得する説明ができるはずです。例えですが、飛行機の飛ばし方を知らない人から飛行機を買うことはないでしょう。

また、ゼロトラストに必要なテクノロジーを揃えていて、その中からユーザーに必要なものだけを選ばせてあげられるかどうかが大事です。「ゼロトラストを実現するなら、うちの製品を全部使わないとだめです」というベンダーは避けたほうが良いでしょうね。

カニンガム博士

カニンガム博士

── 博士は以前「まだZTXにおける7分野をすべてカバーするベンダーはない」とおっしゃっていましたが、いずれ全分野をカバーするベンダーは出てくると思います。そして、そのときはシングルベンダーにすべきでしょうか。それともベスト・オブ・ブリードでベンダーロックインを排除したほうが良いでしょうか。

ゼロトラストを一つのベンダーに任せることには大きな意味があります。例えば、私はダッジ社製の車に乗っていますが、そこにフォードのモーターを組み込むこともやろうと思えばできるでしょうけど、同じダッジ社のパーツを使ったほうが親和性という意味で良いでしょうね。そのため、私は通常、最高品質のベンダーから大部分のものを入手したいと考えています。ただ、機能を追加したい時、必要なものだけを選ばせてくれるベンダーが好ましいです。

カニンガム博士

カニンガム博士

米国ではセキュリティ投資が企業経営の重要な位置づけに!

── ゼロトラスト化が完了したら、サイバー攻撃側もそれに合わせて手法を変えてくるでしょうか?

戦術を大きく変えることはないと思いますが、攻撃対象がゼロトラスト化されれば、企業ではなく個人を狙ってくるでしょうね。例えば、企業のリソースそのものを狙うのではなく、企業のリソースを得るために人を狙い、脅迫してパスワードを得るといった手法です。

実は米国ではすでにそういった攻撃が起こり始めていて、多くの大企業の幹部が「あなたが浮気をしていることを知っています。ユーザー名とパスワードを教えてくれないと、あなたが奥さんを裏切っていることをFacebookに載せ、奥さんや友達に伝えますよ」というような内容の脅迫メールが送りつけられています。このようにターゲットを人に絞り、その人を足がかりにして組織の資産を狙うのです。

カニンガム博士

カニンガム博士

── ゼロトラストによって様々なセキュリティリスクが低減しますが、セキュリティ対策の強化が企業のブランド価値に寄与するのであれば、経営陣もゼロトラストへの投資意欲がより増すのではないかと思います。企業がブランド力向上のためにセキュリティ投資に力を入れているような兆候はありますか?

米国では、ようやくセキュリティが経営にとって重要な位置付けに変わってきました。以前は、セキュリティの担当者が小難しいことを言って、「こんなことをしたら大変なことになりますよ!」と叫んでいるだけでしたが、今は、セキュリティ担当者が取締役会に参加し、経営陣に「セキュリティは我々にとっても良いことなので、やらなければなりません」と言えるようになってきています。

米国では実に興味深い統計があって、55%の消費者が「セキュリティをどのように実現しているかを公開している企業と取引したい」と考えているというのです。これは米国に限らずヨーロッパでも同じ傾向だと思いますが、今や、セキュリティは脇役ではなく、実際に企業の差別化要因となっているのです。消費者の半数以上が、情報に重きをおいている企業と取引したいといっているので、経営陣もセキュリティを重視せざるを得ない状況になっています。

カニンガム博士

カニンガム博士

── 桐本さんは日本の現状をどのようにみていますか。

最近、某SNS運営企業の個人情報に関する取り扱いについて報道がありました。これは、利用者には通知せず海外のパートナーが業務活動として、自由に個人情報を閲覧できる状況にあった、ということが問題視されています。

このように、日本の場合は、個人情報の取り扱いについても欧米に比べるとまだまだ意識が低く、何か大きなセキュリティ事件や事故が発生しない限り、情報やセキュリティに対する経営陣の意識や投資は高まらない傾向があると思います。さらに、他社との差別化戦略として積極的にセキュリティ投資をしようというお客様はまだまだ少ないと思いますね。

また、日本では情報を取得したり与えること自体がタダだという認識が多いのではないでしょうか。例えば、見た目上はタダで利用できるサービスは、裏では自分たちの情報を提供しているからこそ、その対価としてサービスを利用できるという認識は、欧米に比べて低いと思います。情報に対する価値観をあらためる必要があると思います。

アシスト桐本直樹

桐本

── 日本の一般消費者はまだなぜ自分たちがFacebookやインスタグラムといったSNSを無料で使えるのか、実際は登録した情報が売りものになっているという仕組みを理解している人たちが少ないように思いますね。米国ではどうでしょうか?

私には10代の娘がいますが、彼女がプライバシーを確保したいときに最初にすることは、ドアを閉めることです。これと同じで、セキュリティがなければプライバシーを確保することはできません。私たちがセキュリティでやろうとしていることは、テクノロジーを利用して、プライバシーを確保することです。ただ、テクノロジーがどのように機能するのかを人々がきちんと理解していないという点については、私も同感です。

しかし、米国では少しずつ変化が見られるようになりました。というのも、人々は自分の個人情報を保持している企業からサイバー攻撃を受けて情報が漏洩したというメールを受けることにうんざりしているからです。「セキュリティに注力している企業でなければ、もう取引したくない」と思い始めているんです。ゆっくりですが、ユーザーの意識も変わり始めています。

カニンガム博士

カニンガム博士

── 博士、最後に日本でゼロトラストへの移行を検討している企業の方々へのメッセージをお願いします。

5年後にビジネスを続けていたいのであれば、今すぐゼロトラストへの移行をお勧めします。これは脅しではありません。皆さんの組織が足の遅いガゼル(鹿の一種)になってはいけません。ライオンは常に後ろから追ってきています。

完璧を目指す必要はありません。自ら動き出して前進し、攻撃者からみて難しいターゲットであり続けるよう、進化していってください。

カニンガム博士

カニンガム博士

── 博士、桐本さん、本日はありがとうございました。


連載記事

ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(前編)


本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。

関連している記事

  • セキュリティ/仮想化
2021.09.22

ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(前編)

日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、ゼロトラストの世界的権威であるEricom社 Chief Strategy Officerであるチェイス・カニンガム博士にお話しを伺いながら、アシストの桐本 直樹が日本の現状についてお話しします。

  • セキュリティ/仮想化
2021.09.16

アシストが考える最速・最適なゼロトラストの実現方法とは(後編)

本記事は「アシストが考える最速・最適なゼロトラストの実現方法とは」の後編です。ゼロトラスト化の一歩はどう踏み出せばよいか具体的な取り組み方をご紹介します。

  • セキュリティ/仮想化
2021.09.10

アシストが考える最速・最適なゼロトラストの実現方法とは(前編)

本記事は、いま話題のゼロトラストが具体的によくわからないというお客様からの声にお応えするもので、ゼロトラストが注目されるようになった背景や、ゼロトラスト提唱の歴史を交えながら、最速かつ最適な状態でゼロトラストを実現するにはどうすればよいのかをテーマに解説します。

ページの先頭へ戻る