去年、私は日本の富士山への海外旅行を計画していました。その旅行を予約する前に、私はクラウドセキュリティのメリットについて話し合うために、大手保険会社と会っていました。その企業のIT構造は過去15年間変わらず、オンプレミスのサーバーインフラストラクチャを使用していました。「なぜ壊れていないものを修理するのか」という、断固としたご意見を持たれていました。

クラウドのデータセキュリティに対しては非常に懐疑的な見方をしており、組織の「壁に囲まれた庭」（クローズドプラットフォーム）以外では、データの機密性と整合性を確保できないと考えられていました。しかし、それらの懸念にもかかわらず、その組織は数年のうちにクラウドへの移行を開始することに同意したのです。

ニューノーマルに適応する

「(新型コロナウイルスにより)、2か月の期間で2年間のデジタル変革を目の当たりにしました。」– Satya Nadella Microsoft CEO

2020年、新型コロナウイルス感染症（COVID-19）は、世界中の組織の常識を覆しました。ITの観点からも、多くの人が異なる働き方を余儀なくされています。「正確に行う」と「ビジネスを継続する」ことのバランスであったのに対し、新型コロナは企業の決断事項を「ビジネスを維持する」方向にシフトさせました。その結果、企業は前例のないリスクの高い変更を瞬時に行わなければなりませんでした。

新型コロナウイルスは従来の企業に大きな衝撃を与えました。多くの場合、事業継続計画（BCP）は理論的なものでしかなく、適切にテストされたことはなかったかもしれません。「壁に囲まれた庭」（クローズドプラットフォーム）というセキュリティ戦略がついに破られ、このニューノーマルに支障をきたしたのです。例えば、VPNが突然圧迫され、ユーザビリティに重大な問題が発生しました。伝統的な企業の現状は今となっては改善されていますが、それと引き換えに、セキュリティに対するスタンスに劇的な変更を加わったことで、高いリスクが伴う可能性があることを考慮する必要があります。

「重要な資産の多くはファイアウォールの内側にありますが、従業員は全員ファイアウォールの内側にはいません。」–Christopher Kenesssey NetMotion CEO

新型コロナウイルス以前にクラウド戦略を実行していた企業は、そうでなかった企業より業績が好調な傾向にあります。それは、これらの企業が、「ニューノーマル」が到来する前に、そのための戦略策定と準備を行ってからためです。

世界中のITチームがリモートサービスや分散サービスに軸足を移す中で、新たなセキュリティモデルが必要となっています。ゼロトラストセキュリティは、IT環境全体にセキュリティを提供するのに最適な戦略です。

ゼロトラストセキュリティとは?

「信頼するな、常に検証せよ」
ゼロトラストセキュリティとは、システム境界の内外を問わず、何も信頼すべきではないという考え方です。この戦略は、信頼はゼロであると強制するものです。

「信頼されている」 「信頼されていない」 の境界をあいまいにし始めると、ゼロトラストセキュリティがより重要になってきます。自ら所有していないクラウドベースのインフラストラクチャ、あるいは、信頼できない持ち込み（BYOD）デバイスを介してエンドユーザーに接続されているといったことは、ユーザー、デバイス、システムなどの検証なしには、何も信頼できないということです。
これは、従来の「壁に囲まれた庭」（クローズドプラットフォーム）の、信頼できるものとできないものとの間に境界が明確に定義されているアプローチとは対照的です。この考え方では、境界内にいる人、データ、システムは信頼されているとみなされ、その外側にあるものは信頼されていないとみなされます。しかし、クラウドやリモートサービスが一般的になっている現在、従来のセキュリティアプローチは通用しません。

ゼロトラストセキュリティの原則

ゼロトラストセキュリティは、ITセキュリティの戦略、考え方、そして段階的に移行する道のりです。ゼロトラストの実現に役立つ技術や製品がありますが、ゼロトラストは特定の技術や製品ではありません。現在のITセキュリティの「総入れ替え（rip and replace）」ではなく、セキュリティ戦略の強化なのです。

ゼロトラストセキュリティの主な原則は次のとおりです。

• 明示的な確認: 使用可能なすべてのデータポイント(アイデンティティ、ロケーション、デバイスの状態、AI/MLから派生した動作ベースライン)に基づいて認証と認可をします。
• 最小権限アクセスの使用: ユーザーへのJust-In-Time（JIT）、Just-Enough Access（JEA）を提供します。
• セキュリティのブリーチを想定: ブリーチ後の攻撃者のラテラルムーブメントを含む侵害シナリオについて常に考え、防止するように取り組みます。たとえば、セッション間のエンドツーエンド暗号化を確保し、マイクロセグメンテーションを活用し、セキュリティ分析を維持することで、脅威をより深く理解できます。

包括的なゼロトラストセキュリティ戦略は、上記の原則を適用し、次のようなITコンポーネントとデジタル資産全体にわたるエンド・ツー・エンドの保護を提供します。

• アイデンティティ: システムにアクセスするユーザーとサービス。
• デバイス: BYODデバイスなど、サービスへのアクセスに使用されるデバイス。
• アプリケーション: サービスを利用するアプリケーションやAPI。
• データ: アプリケーションと並行して存在する情報。
• インフラストラクチャ: これらのコンポーネントをホストする環境を提供するプラットフォーム(クラウドVM、サーバー、コンテナ)。
• ネットワーク: これらのコンポーネントの相互作用を可能にするリンク。

ゼロトラストセキュリティの開始

新型コロナが世界に広がる前に、私たちは幸運にも日本での休暇を過ごすことができました。その旅で、私はスノーボード好きな妻に、スノーボードをするように説得されました。私は不器用なので最初は嫌がりましたがやってみることにしました。

初級のゲレンデでスタートし、そこで妻がターンとストップの仕方を教えてくれました。序盤は思うようにいきませんでしたが、徐々にボードに足を固定してバランスを保つことができ、すぐにフラットスピンや小さなジャンプなどの高度なスキルができるようになりました。最高な気分でした！その後、私はすぐにゲレンデの上級コースに移りました。

ゼロトラストセキュリティの道のりは、学習、実践、信頼という同様の道をたどります。組織内の特定のユースケースから始め、ゼロトラストセキュリティの考え方で再検討しましょう。より多くのユースケースに徐々にアプローチを拡大することで、組織におけるゼロトラストの成熟度を高めることができます。

ゼロトラストセキュリティの考え方で、セキュリティアーキテクチャとプロセスをどのように再考されますか？。詳細についてご興味のある方は、お気軽にお問い合わせください。

本記事の翻訳編集は、アイレット株式会社Rackspace 事業部ビルドエンジニアの知念梨果が担当いたしました。