ゼロトラストの世界的権威カニンガム博士に聞く～サイバー攻撃に負けない組織へ変革するにはどうすべきか～（後編）

米国では、アクセンチュアやPwC、KPMGなどの大手コンサルティング企業が、ゼロトラスト戦略立案のための戦略グループを設けていて、まず最初に、顧客企業がセキュリティに関し何を目的として、どういう課題があり、今後の計画を含め一緒に検証するというアプローチを行っています。この次のステップとして、計画を実現するために必要な機能を持つ製品や技術についての具体的な話へ移るのです。

アシストもこのような上流からのアプローチがよいと思います。顧客企業に対して、システム構築のプロであるSIerとは別に、アシストは「セキュリティリーダー」としての視点を示すべきです。ゼロトラストを用いるために、その意味や実現方法を正しく伝えるだけでなく、お客様に無駄な投資をさせないことが重要です。

ゼロトラストへ舵を切るかどうかを判断するのは最終的にはお客様になりますが、全体最適の中でのセキュリティ戦略として考えていただかないと、本質的にゼロトラストに基づいた戦略は成功しないと考えています。

このためには、ゼロトラストという戦略を採用する・しない以前に、「何から守るのか」を明確にしないといけません。ここが明確ではないお客様が多いと実は感じていまして、我々アシストの役割として、まず「何から守るのか」をお客様と一緒に明確化し、次に、守るための方針や戦略、また業界動向として、ゼロトラストという考え方が選択肢として存在することをお伝えすべきかと考えています。お客様にとってゼロトラストが最適かどうか、また実現するにはどうすればいいかは、我々が専門家としての知見を提供し、お客様とご相談しながら、伴走型でご支援するのがベストだと思いますね。

ゼロトラストに必要なセキュリティ対策と、多くのセキュリティベンダーが提供している製品・サービスには大きな隔たりがあります。多くのセキュリティベンダーは攻撃された時のための対策を提供していますが、攻撃されてから対処するのでは遅いのです。

私がフォレスター・リサーチで開発したものの一つ「ゼロトラストへの現実的アプローチ」で提唱したのですが、最初にやるべきことはユーザーがインターネットへアクセスする方法の管理です。その意味で私はRBI（リモートブラウザ分離）の導入から始めるのがよいと思います。

RBIはインターネットの常時安全な利用を実現する一方で、ユーザーにセキュリティ担保の負担をまったく強いることなく（操作性はまったく変わらない）、しかもインターネットをいつでも安全に利用させることができます。ユーザーのエンドポイントにインターネットの脅威が侵入するのを防ぐため、エンドポイントが常に安全な状態となります。これによりエンドポイント対策に費やしていた費用は大幅に削減できます。

また、ゼロトラストの原則をエッジに適用することができるのがSASE（Secure Access Service Edge）です。SASEがSDN（Software-Degined Network）でエッジ側にゼロトラストに必要な制御情報をプッシュしてくれれば、ゼロトラスト化が進みます。

次は、MDMでデバイスのヘルスチェックを行い、必要なパッチを適用します。その次は、クラウドアプリケーションなどのワークロード側を守ること。ネットワーク内のイースト・ウエストの通信全体の可視化によって過剰なアクセスを排除します。

最後はデータセキュリティで、安全になったデータを適切に使える仕組みが必要です。

私が組織を運営するとしたら、基本的にエンドポイントは常にハッキングされるものと考え、そこにデータは保存させません。それに、エンドポイントの利用者（従業員）は触れる部分であれば何でもクリックするし、bitLocker（Windows10に標準搭載されたドライブ暗号化機能）をオンにするよう指示してもしなかったりで、エンドポイントで行われることをこちらが全て把握したりハンドリングすることはできません。

そのため、システムは私がコントロールできて問題も自分で解決できるクラウド上に配置し、そこへユーザーを安全に接続させて遠隔操作してもらう方法が合理的です。つまり、会社のアプリケーションもデータもセキュリティも全てクラウド側にあればよいのです。データが全てクラウド側にあれば、エンドポイントは会社の端末でもスマホでもBYODでもよくなりますし、エンドポイント・セキュリティに1セントたりともお金をかける必要がなくなります。

私は何度もじっくりと考えてみましたが、これがベストな方法です。もし、私がセキュリティに関し100万ドルの予算があるのであれば、75万ドルをクラウド製品につぎ込みます。そして、エンドポイント・セキュリティには100ドルしか使わないでしょう。

アシストでは先日オンラインセミナーで「最速・最適にゼロトラスト化するための取り組みステップ」についてお客様にご紹介しました。博士がフォレスターリサーチ在籍時代に作成された「ゼロトラスト・エクステンデッド・エコシステム（ZTX）」で提唱されていた「 ゼロトラスト化に必要な7つの機能 」をベースとしたもので、以下の３つのステップで行うことを推奨しています。

（1）誰がデータへアクセスしようとしても、その人が本人であることを確認できる
　　　（IDaaSによる多要素認証、SSOの提供）
（2）どこからデバイスを利用しても、そのデバイスが安全であることを確認できる
　　　（EPPやEDRを駆使したマルウェア対策、SDPによる安全性のチェック）
（3）上記が適切に行えていることをチェックできる
　　　（統合ログ管理など）

このセミナーは今すぐ始められるゼロトラスト対策として、お客様から非常に高いご評価をいただきました。アシストでは、お客様のセキュリティ戦略に合わせた形でゼロトラスト化への取り組みをご支援していきます。

私も博士にその点をお伺いしたいです。博士がおっしゃるように、ゼロトラストの形は様々であるため、ベンダーやSIerが独自に解釈したゼロトラスト・ソリューションが広がっています。その中には、全体の戦略が欠けていたり、全体の一部だけをゼロトラストと定義しているものも見受けられます。先ほどのゼロトラスト=EDR製品にように、お付き合いのあるベンダーの主張を、お客様が鵜呑みにされるケースもあるのではないかと思うんです。

そのようなゼロトラストを学習中のお客様にとってゼロトラストを正しく見極めるためのよい方法はないでしょうか。

そうですね。ベンダーの見極め方としては、「あなた方の会社ではどのようにゼロトラスト化しているのですか？」と聞いてみるのが良いでしょうね。自社でゼロトラスト化を実施していて、戦略を持っていれば、ユーザー企業が納得する説明ができるはずです。例えですが、飛行機の飛ばし方を知らない人から飛行機を買うことはないでしょう。

また、ゼロトラストに必要なテクノロジーを揃えていて、その中からユーザーに必要なものだけを選ばせてあげられるかどうかが大事です。「ゼロトラストを実現するなら、うちの製品を全部使わないとだめです」というベンダーは避けたほうが良いでしょうね。

ゼロトラストを一つのベンダーに任せることには大きな意味があります。例えば、私はダッジ社製の車に乗っていますが、そこにフォードのモーターを組み込むこともやろうと思えばできるでしょうけど、同じダッジ社のパーツを使ったほうが親和性という意味で良いでしょうね。そのため、私は通常、最高品質のベンダーから大部分のものを入手したいと考えています。ただ、機能を追加したい時、必要なものだけを選ばせてくれるベンダーが好ましいです。

戦術を大きく変えることはないと思いますが、攻撃対象がゼロトラスト化されれば、企業ではなく個人を狙ってくるでしょうね。例えば、企業のリソースそのものを狙うのではなく、企業のリソースを得るために人を狙い、脅迫してパスワードを得るといった手法です。

実は米国ではすでにそういった攻撃が起こり始めていて、多くの大企業の幹部が「あなたが浮気をしていることを知っています。ユーザー名とパスワードを教えてくれないと、あなたが奥さんを裏切っていることをFacebookに載せ、奥さんや友達に伝えますよ」というような内容の脅迫メールが送りつけられています。このようにターゲットを人に絞り、その人を足がかりにして組織の資産を狙うのです。

米国では、ようやくセキュリティが経営にとって重要な位置付けに変わってきました。以前は、セキュリティの担当者が小難しいことを言って、「こんなことをしたら大変なことになりますよ！」と叫んでいるだけでしたが、今は、セキュリティ担当者が取締役会に参加し、経営陣に「セキュリティは我々にとっても良いことなので、やらなければなりません」と言えるようになってきています。

米国では実に興味深い統計があって、55％の消費者が「セキュリティをどのように実現しているかを公開している企業と取引したい」と考えているというのです。これは米国に限らずヨーロッパでも同じ傾向だと思いますが、今や、セキュリティは脇役ではなく、実際に企業の差別化要因となっているのです。消費者の半数以上が、情報に重きをおいている企業と取引したいといっているので、経営陣もセキュリティを重視せざるを得ない状況になっています。

最近、某SNS運営企業の個人情報に関する取り扱いについて報道がありました。これは、利用者には通知せず海外のパートナーが業務活動として、自由に個人情報を閲覧できる状況にあった、ということが問題視されています。

このように、日本の場合は、個人情報の取り扱いについても欧米に比べるとまだまだ意識が低く、何か大きなセキュリティ事件や事故が発生しない限り、情報やセキュリティに対する経営陣の意識や投資は高まらない傾向があると思います。さらに、他社との差別化戦略として積極的にセキュリティ投資をしようというお客様はまだまだ少ないと思いますね。

また、日本では情報を取得したり与えること自体がタダだという認識が多いのではないでしょうか。例えば、見た目上はタダで利用できるサービスは、裏では自分たちの情報を提供しているからこそ、その対価としてサービスを利用できるという認識は、欧米に比べて低いと思います。情報に対する価値観をあらためる必要があると思います。

私には10代の娘がいますが、彼女がプライバシーを確保したいときに最初にすることは、ドアを閉めることです。これと同じで、セキュリティがなければプライバシーを確保することはできません。私たちがセキュリティでやろうとしていることは、テクノロジーを利用して、プライバシーを確保することです。ただ、テクノロジーがどのように機能するのかを人々がきちんと理解していないという点については、私も同感です。

しかし、米国では少しずつ変化が見られるようになりました。というのも、人々は自分の個人情報を保持している企業からサイバー攻撃を受けて情報が漏洩したというメールを受けることにうんざりしているからです。「セキュリティに注力している企業でなければ、もう取引したくない」と思い始めているんです。ゆっくりですが、ユーザーの意識も変わり始めています。

5年後にビジネスを続けていたいのであれば、今すぐゼロトラストへの移行をお勧めします。これは脅しではありません。皆さんの組織が足の遅いガゼル（鹿の一種）になってはいけません。ライオンは常に後ろから追ってきています。

完璧を目指す必要はありません。自ら動き出して前進し、攻撃者からみて難しいターゲットであり続けるよう、進化していってください。