”ゼロトラストの父”キンダーバーグ氏が語る、今ゼロトラストが求められる理由

キンダーバーグ：私は放送関係のエンジニアからキャリアを始めました。1996年の米大統領選では、ロス・ペロー氏の主要な放送のエンジニアを担当していました。

その後私は、徐々にコンピュータアニメーションに関心を持つようになり、その背景としてコンピュータシステムの構築と、多数のコンピュータをどのようにしてネットワークで接続するかを学びました。この過程でITという新たな業界の存在を知り、足を踏み入れたのです。

当初はネットワークエンジニアとして主にルータやスイッチを扱っていましたが、あるとき、セキュリティ業務を担当する機会が巡ってきました。理由は単純です。20世紀から21世紀にかけての当時はネットワークエンジニアの方が人気で、セキュリティをやりたいなんていう人は他に誰もいなかったからです。

その後私はセキュリティエンジニアからセキュリティアーキテクト、ペンテスターの経験を積み、2008年にフォレスター・リサーチに転職しました。その時の職務記述書には「全体像を検討すること」と書かれており、より大きな枠組みについてリサーチする機会を得ました。

それまでのセキュリティは、「ネットワークの内部にあるものは信頼でき、外部は信用できない」と言うトラストモデルに基づいていましたが、私はこの考え方が嫌いでした。そこで二年にわたってトラストモデルに関するリサーチを進め、その結果を「No More Chewy Centers: Introducing The Zero Trust Model of Information Security」と題するレポートにまとめました。それが2010年に発行された、ゼロトラストに関する初めてのレポートです。

その後、パロアルト・ネットワークスに転職し、コロナ禍後にはオランダのON2ITに転じてゼロトラストベースの包括的なマネージドサービスを提供しました。その後、ゼロトラストをよりグローバルに広げるため、Illumioの招きを受け、昨年10月に入社したのです。

キンダーバーグ：先ほど申し上げた通り、私はセキュリティエンジニアとして働いた経験がありますが、あるとき、ファイアウォールに「アウトバウンド（外向け通信）に対するポリシーは入れてはいけない」と言われたことがありました。その結果、このお客様のネットワークでデータ漏洩が行われてしまったのですが、何も対策ができませんでした。

この経験を通して、信頼に基づくトラストモデルは非論理的だと考えるようになりました。何年も前に誰かが導入した、もはや壊れたトラストモデルに基づくセキュリティこそが、データ侵害の一番の原因なのです。

そもそも「信頼」とは、人間が持つ感情にすぎません。そしてテクノロジには感情はありません。ですから、データの漏洩を防ぐには、信頼よりも、より適切なポリシーの方が必要であると気づきました。

キンダーバーグ：いえ、その考え方には同意できません。トラストモデルに長所はないと私は考えています。

繰り返しになりますが、信頼というのは人間の感情にすぎません。もしあなたがネットワーク上で信頼されている状態にあれば、その中ではやりたいことが何でもやりたい放題になってしまいます。

もちろん、人は信頼に足らない存在だと言うつもりはありません。あくまで私が言いたいのは、人間はパケットではないと言うことです。私たちは、リソースにアクセスする前にはポリシーに基づいてパケットを検証しています。

キンダーバーグ：その通りです。

キンダーバーグ：ゼロトラストは今や、世界的な潮流になっています。

2021年5月にバイデン大統領が署名した大統領令第14028号によって、米連邦政府の省庁全てでゼロトラストモデルを採用することが義務付けられ、世界がゼロトラストに注目するようになりました。今や米国だけでなく、オーストラリア、シンガポール、フィリピン、イギリス、オランダ、ドイツなど各国の政府組織が、ゼロトラストモデルを用いるよう義務付けられています。

従って、ゼロトラストはもはや採否の議論の段階を過ぎ、グローバルでも採用フェーズに入ろうとしています。

私はゼロトラストを、あらゆる組織に適用可能な戦略として提唱しました。そして戦術レベルでは、市場に提供されている商用のテクノロジや製品を活用して実現できるように設計しました。戦略は一貫したものであり変えるべきではありませんが、製品やテクノロジは常に改善され、より良いものになっていくからです。今後も、ゼロトラストの導入は世界的に継続し、各ベンダーはゼロトラスト環境構築のためのより良いプロダクトを提供していくでしょう。

AIもそうしたテクノロジーの一つです。攻撃者がAIを悪用し、より巧妙な攻撃を行うのではないかと多くの人が懸念していますが、私は異なる見方をしています。我々防御する側が組織にとって重要なデータや資産をしっかり守るために、AIを活用できると考えています。

キンダーバーグ：

同感です。レジリエンシー、さらにはそれを超えた「アンチフラジャイル」（Anti-Fragile：反脆弱性）と言う概念に向かいつつあると考えています。 

 

「ブラック・スワン」の著者であるナシーム・ニコラス・タレブ氏の書籍に「アンチフラジャイル」（邦訳：「反脆弱性」）があります。その中でタレブ氏は、私がゼロトラストで論じた言葉も用いつつ、システムはストレスを受けてこそより強靭になると指摘しています。ぜひ一読をお勧めします。 

 

休日にだらけすぎると体重が増えてしまいます。そこで、ランニングやウェイトリフティングなど運動をしてダイエットに励むことにします。こうした活動は人体にとってストレスになりますが、それで体を壊すことはなく、かえって頑健になります。人体は反脆弱性的な機構を持つシステムなのです。 

 

同じように、ゼロトラストを用いることで、反脆弱性的なネットワークを作ることができます。ネットワーク環境には大量のトラフィックがやってきます。その中にはいいものも、悪意あるものもあるでしょう。特に悪意あるトラフィックは組織にとって大きなストレスになりますが、そうしたストレスを受容し、適用することによって、ネットワークを構成する各要素をどう強固なものにしていくかを学ぶことができます。 

キンダーバーグ：

それこそ、私がIllumioに入社した理由です。ゼロトラスト環境の土台は、セグメンテーションにあるからです。

私が執筆した二つ目のレポート「Build Security Into Your Network's DNA: The Zero Trust Network Architecture」では、どのようにゼロトラストのシステムを構築すべきかを説明しました。ここで私は、ゼロトラスト環境を構築する上で二つのテクノロジが必須であると指摘しました。それが「ネットワークセグメンテーション」と「中央一元管理」です。

NSAは先月、「Advancing Zero Trust Maturity Throughout the Network and Environment Pillar」というタイトルのガイダンスを公表しました。その中では鍵となるテクノロジーとして、「データフローマッピング」の次に、ネットワークセグメンテーションが挙げられています。私が14年前から提唱してきた内容に、NSAも同意しているということです。

キンダーバーグ：

ZTXはゼロトラストの実現ために設計されたフレームワークであり、再定義ではありません。

チェースは私の親しい友人であり、共に米大統領の任命を受けてゼロトラストに関する小委員会で活動し、レポートを作成しました。このレポートはまた、Cloud Security Alliance（CSA）における私の活動成果にも基づいています。

NISTやCISAの活動は米国の連邦政府機関を対象としたものですが、CSAはグローバルなイニシアティブで、どこか一国のためだけのものではありません。米国だけでなく他の地域にも目を向け、他国の情報も考慮しながら、ゼロトラストに関するトレーニングや認定資格制度「Certificate of Competence in Zero Trust」（CCZT）の運営を行っています。ちなみに、CCZT資格の認定一号は私です（笑）

キンダーバーグ：

はい。ゼロトラストモデルと共に使うべきものです。ゼロトラストにおいて重要な概念であるプロテクトサーフェス（保護対象領域）において、どのようなテクノロジーが必要かを定義するために参照するのがZTXという位置付けです。

こうした考え方を理解するには、米国の政府機関や民間組織向けに策定されたNIST SP800-207が参考になるでしょう。これは、ゼロトラスト環境の構築手法を具体的に記した標準規格ではなく、ガイダンスとなっています。

キンダーバーグ：

はい。ゼロトラストのモデルでは、我々はシステムもパケットも信頼しません。

キンダーバーグ：

それに加えて「Always verify」という考え方が重要ですね。ただ、業界ではしばしばこの概念が誤解されており、そこに不満を感じているのも事実です。

キンダーバーグ：

モデルやフレームワークそれ自体に殊更に改善を加える必要はなく、（それらを活用するために）いかにゼロトラストモデルについて啓蒙し、理解を深めていくかが重要だと考えています。