
- セキュリティ/仮想化
ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(前編)
日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、ゼロトラストの世界的権威であるEricom社 Chief Strategy Officerであるチェイス・カニンガム博士にお話しを伺いながら、アシストの桐本 直樹が日本の現状についてお話しします。
|
ゼロトラストの世界的権威であるチェイス・カニンガム博士は、前職の米国調査会社Forrester Research, Inc(以下フォレスター・リサーチ)で、現実的なゼロトラスト導入フレームワークである
「Zero Trust eXtended (ZTX)」
を作成。ゼロトラストに必要なコンポーネントを明確に定義し、それらのコンポーネントを提供しているベンダーをわかりやすく採点評価するなどして、当時コンセプトにすぎなかったゼロトラストをあらゆる組織が無理なく着実に実装していけるようにしました。また、コンセプトの啓蒙だけではなく、ワークショップを通じて多くの組織のゼロトラスト化を支援してきた実績があります。
前回
に引き続き、日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、博士にお話しを伺いながら、「
Ericom Shield
」をはじめ様々なセキュリティ対策製品、アプリケーション/デスクトップ仮想化製品を扱うアクセスインフラ技術統括部の桐本 直樹が日本の現状についてお話しします。
|
Ericom Software Ltd. Chief Strategy Officer |
|
株式会社アシスト |
── 米国ではIT人材の35%がIT企業、65%はユーザー企業に所属する一方で、日本は約7割強がIT企業(主にSIer)、残りの3割弱がユーザー企業に所属するという統計を見たことがあります。IT人材が圧倒的にユーザー企業側に不足しているということは、日本にCTOやCISOが少ないということにも深く関係していると思うのですが、特にゼロトラストのような戦略シフトは、自社のセキュリティの現状を正しく把握しているセキュリティ系の役員が不在であれば、外部からゼロトラストを提案してもなかなか受け入れられず浸透も難しいのではないかと思います。ゼロトラストを正しくお客様へ伝えるにはどうすればいいか、また、ゼロトラストを決断する人がいないお客様企業へどのようにご提案したらいいでしょうか?
米国では、アクセンチュアやPwC、KPMGなどの大手コンサルティング企業が、ゼロトラスト戦略立案のための戦略グループを設けていて、まず最初に、顧客企業がセキュリティに関し何を目的として、どういう課題があり、今後の計画を含め一緒に検証するというアプローチを行っています。この次のステップとして、計画を実現するために必要な機能を持つ製品や技術についての具体的な話へ移るのです。 |
カニンガム博士 |
── 桐本さん、いかがでしょう。
ゼロトラストへ舵を切るかどうかを判断するのは最終的にはお客様になりますが、全体最適の中でのセキュリティ戦略として考えていただかないと、本質的にゼロトラストに基づいた戦略は成功しないと考えています。 |
桐本 |
── まずは戦略が重要だというお話ですが、全体を最適化するためのセキュリティ戦略をたてた後、具体的な実装として何からゼロトラストを始めたらよいでしょうか。博士が現時点で考えている最適解からお伺いさせてください。
ゼロトラストに必要なセキュリティ対策と、多くのセキュリティベンダーが提供している製品・サービスには大きな隔たりがあります。多くのセキュリティベンダーは攻撃された時のための対策を提供していますが、攻撃されてから対処するのでは遅いのです。 |
カニンガム博士 |
── ユーザーのエンドポイントデバイスはどうすればいいでしょうか?
私が組織を運営するとしたら、基本的にエンドポイントは常にハッキングされるものと考え、そこにデータは保存させません。それに、エンドポイントの利用者(従業員)は触れる部分であれば何でもクリックするし、bitLocker(Windows10に標準搭載されたドライブ暗号化機能)をオンにするよう指示してもしなかったりで、エンドポイントで行われることをこちらが全て把握したりハンドリングすることはできません。 |
カニンガム博士 |
── 桐本さん、アシストも博士が提唱されていたZTXをベースに、具体的なアプローチを提案し始めていますね。
アシストでは先日オンラインセミナーで「最速・最適にゼロトラスト化するための取り組みステップ」についてお客様にご紹介しました。博士がフォレスターリサーチ在籍時代に作成された「ゼロトラスト・エクステンデッド・エコシステム(ZTX)」で提唱されていた「
ゼロトラスト化に必要な7つの機能
」をベースとしたもので、以下の3つのステップで行うことを推奨しています。 |
桐本 |
▼セミナー内容についてはごちらをご参照ください。
「アシストが考える最速・最適なゼロトラストの実現方法とは」(前編)
「アシストが考える最速・最適なゼロトラストの実現方法とは」(後編)
── お客様の中にはベンダーから「ゼロトラストにはEDR(Endpoint Detection and Response:エンドポイントで脅威を継続的に監視して対応する技術)が必須だ」と言われてゼロトラスト=EDR製品と勘違いされている方もいらっしゃいます。お客様が正しいベンダーを見極める方法などあれば教えてください。
私も博士にその点をお伺いしたいです。博士がおっしゃるように、ゼロトラストの形は様々であるため、ベンダーやSIerが独自に解釈したゼロトラスト・ソリューションが広がっています。その中には、全体の戦略が欠けていたり、全体の一部だけをゼロトラストと定義しているものも見受けられます。先ほどのゼロトラスト=EDR製品にように、お付き合いのあるベンダーの主張を、お客様が鵜呑みにされるケースもあるのではないかと思うんです。 |
桐本 |
そうですね。ベンダーの見極め方としては、「あなた方の会社ではどのようにゼロトラスト化しているのですか?」と聞いてみるのが良いでしょうね。自社でゼロトラスト化を実施していて、戦略を持っていれば、ユーザー企業が納得する説明ができるはずです。例えですが、飛行機の飛ばし方を知らない人から飛行機を買うことはないでしょう。 |
カニンガム博士 |
── 博士は以前「まだZTXにおける7分野をすべてカバーするベンダーはない」とおっしゃっていましたが、いずれ全分野をカバーするベンダーは出てくると思います。そして、そのときはシングルベンダーにすべきでしょうか。それともベスト・オブ・ブリードでベンダーロックインを排除したほうが良いでしょうか。
ゼロトラストを一つのベンダーに任せることには大きな意味があります。例えば、私はダッジ社製の車に乗っていますが、そこにフォードのモーターを組み込むこともやろうと思えばできるでしょうけど、同じダッジ社のパーツを使ったほうが親和性という意味で良いでしょうね。そのため、私は通常、最高品質のベンダーから大部分のものを入手したいと考えています。ただ、機能を追加したい時、必要なものだけを選ばせてくれるベンダーが好ましいです。 |
カニンガム博士 |
── ゼロトラスト化が完了したら、サイバー攻撃側もそれに合わせて手法を変えてくるでしょうか?
戦術を大きく変えることはないと思いますが、攻撃対象がゼロトラスト化されれば、企業ではなく個人を狙ってくるでしょうね。例えば、企業のリソースそのものを狙うのではなく、企業のリソースを得るために人を狙い、脅迫してパスワードを得るといった手法です。 |
カニンガム博士 |
── ゼロトラストによって様々なセキュリティリスクが低減しますが、セキュリティ対策の強化が企業のブランド価値に寄与するのであれば、経営陣もゼロトラストへの投資意欲がより増すのではないかと思います。企業がブランド力向上のためにセキュリティ投資に力を入れているような兆候はありますか?
米国では、ようやくセキュリティが経営にとって重要な位置付けに変わってきました。以前は、セキュリティの担当者が小難しいことを言って、「こんなことをしたら大変なことになりますよ!」と叫んでいるだけでしたが、今は、セキュリティ担当者が取締役会に参加し、経営陣に「セキュリティは我々にとっても良いことなので、やらなければなりません」と言えるようになってきています。 |
カニンガム博士 |
── 桐本さんは日本の現状をどのようにみていますか。
最近、某SNS運営企業の個人情報に関する取り扱いについて報道がありました。これは、利用者には通知せず海外のパートナーが業務活動として、自由に個人情報を閲覧できる状況にあった、ということが問題視されています。 |
桐本 |
── 日本の一般消費者はまだなぜ自分たちがFacebookやインスタグラムといったSNSを無料で使えるのか、実際は登録した情報が売りものになっているという仕組みを理解している人たちが少ないように思いますね。米国ではどうでしょうか?
私には10代の娘がいますが、彼女がプライバシーを確保したいときに最初にすることは、ドアを閉めることです。これと同じで、セキュリティがなければプライバシーを確保することはできません。私たちがセキュリティでやろうとしていることは、テクノロジーを利用して、プライバシーを確保することです。ただ、テクノロジーがどのように機能するのかを人々がきちんと理解していないという点については、私も同感です。 |
カニンガム博士 |
── 博士、最後に日本でゼロトラストへの移行を検討している企業の方々へのメッセージをお願いします。
5年後にビジネスを続けていたいのであれば、今すぐゼロトラストへの移行をお勧めします。これは脅しではありません。皆さんの組織が足の遅いガゼル(鹿の一種)になってはいけません。ライオンは常に後ろから追ってきています。 |
カニンガム博士 |
── 博士、桐本さん、本日はありがとうございました。
・ゼロトラストの世界的権威カニンガム博士に聞く~サイバー攻撃に負けない組織へ変革するにはどうすべきか~(前編)
最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。
日本国内のゼロトラスト化を支援しサイバー攻撃に負けない組織へと変革するにはどうすべきかについて、ゼロトラストの世界的権威であるEricom社 Chief Strategy Officerであるチェイス・カニンガム博士にお話しを伺いながら、アシストの桐本 直樹が日本の現状についてお話しします。
本記事は「アシストが考える最速・最適なゼロトラストの実現方法とは」の後編です。ゼロトラスト化の一歩はどう踏み出せばよいか具体的な取り組み方をご紹介します。
本記事は、いま話題のゼロトラストが具体的によくわからないというお客様からの声にお応えするもので、ゼロトラストが注目されるようになった背景や、ゼロトラスト提唱の歴史を交えながら、最速かつ最適な状態でゼロトラストを実現するにはどうすればよいのかをテーマに解説します。