EN

NRIセキュア ブログ

「ゼロトラストの父」が語る、今ゼロトラストが求められる理由

目次

    blogtop

    デジタルトランスフォーメーション(DX)や働き方改革といった社会の変革に伴って、「信頼」をベースとした従来の境界型セキュリティには限界が見え始め、代わりに「ゼロトラストセキュリティ」というアプローチが注目されるようになりました。このゼロトラストという概念を10年以上前に提唱したのが、John Kindervag(ジョン・キンダーバーグ)氏です。

    ゼロトラストはどのような背景から生まれ、今後、どこへ向かうのか――先日来日したキンダーバーグ氏に、NRIセキュアテクノロジーズのセキュリティコンサルタントである岡部拓也と篠原隆が尋ねました。

     

    「信頼」に基づくトラストモデルは非論理的であり、データ侵害の原因に

    fig-8896Illumio,Inc. チーフエバンジェリスト ジョン・キンダーバーグ氏

     

    篠原:本日は貴重な機会をいただきありがとうございます。まず、ジョンさんの経歴からうかがえますか?
    キンダーバーグ:私は放送関係のエンジニアからキャリアを始めました。1996年の米大統領選では、ロス・ペロー氏の主要な放送のエンジニアを担当していました。

    その後私は、徐々にコンピュータアニメーションに関心を持つようになり、その背景としてコンピュータシステムの構築と、多数のコンピュータをどのようにしてネットワークで接続するかを学びました。この過程でITという新たな業界の存在を知り、足を踏み入れたのです。

    当初はネットワークエンジニアとして主にルータやスイッチを扱っていましたが、あるとき、セキュリティ業務を担当する機会が巡ってきました。理由は単純です。20世紀から21世紀にかけての当時はネットワークエンジニアの方が人気で、セキュリティをやりたいなんていう人は他に誰もいなかったからです。

    その後私はセキュリティエンジニアからセキュリティアーキテクト、ペンテスターの経験を積み、2008年にフォレスター・リサーチに転職しました。その時の職務記述書には「全体像を検討すること」と書かれており、より大きな枠組みについてリサーチする機会を得ました。

    それまでのセキュリティは、「ネットワークの内部にあるものは信頼でき、外部は信用できない」と言うトラストモデルに基づいていましたが、私はこの考え方が嫌いでした。そこで二年にわたってトラストモデルに関するリサーチを進め、その結果を「No More Chewy Centers: Introducing The Zero Trust Model of Information Security」と題するレポートにまとめました。それが2010年に発行された、ゼロトラストに関する初めてのレポートです。

    その後、パロアルト・ネットワークスに転職し、コロナ禍後にはオランダのON2ITに転じてゼロトラストベースの包括的なマネージドサービスを提供しました。その後、ゼロトラストをよりグローバルに広げるため、Illumioの招きを受け、昨年10月に入社したのです。
    篠原:ジョンさんがゼロトラストを提唱するに当たって、最も影響を受けた出来事は何でしたか?
    キンダーバーグ:先ほど申し上げた通り、私はセキュリティエンジニアとして働いた経験がありますが、あるとき、ファイアウォールに「アウトバウンド(外向け通信)に対するポリシーは入れてはいけない」と言われたことがありました。その結果、このお客様のネットワークでデータ漏洩が行われてしまったのですが、何も対策ができませんでした。

    この経験を通して、信頼に基づくトラストモデルは非論理的だと考えるようになりました。何年も前に誰かが導入した、もはや壊れたトラストモデルに基づくセキュリティこそが、データ侵害の一番の原因なのです。

    そもそも「信頼」とは、人間が持つ感情にすぎません。そしてテクノロジには感情はありません。ですから、データの漏洩を防ぐには、信頼よりも、より適切なポリシーの方が必要であると気づきました。
    岡部:トラストモデル、それ自体が脆弱性ともなるのですね。一方で、トラストモデルにはいい面もあるのでは?という議論もなされることがありますが、その点はいかがでしょうか。
    キンダーバーグ:いえ、その考え方には同意できません。トラストモデルに長所はないと私は考えています。

    繰り返しになりますが、信頼というのは人間の感情にすぎません。もしあなたがネットワーク上で信頼されている状態にあれば、その中ではやりたいことが何でもやりたい放題になってしまいます。

    もちろん、人は信頼に足らない存在だと言うつもりはありません。あくまで私が言いたいのは、人間はパケットではないと言うことです。私たちは、リソースにアクセスする前にはポリシーに基づいてパケットを検証しています。
    篠原:人と人との間では信頼関係が大事ですが、ネットワークにおいてそれを無条件に前提にするのは違うということですね。
    キンダーバーグ:その通りです。

    ゼロトラストが、堅牢な「アンチフラジャイル」ネットワークを可能に

    fig-8932写真左からNRIセキュアテクノロジーズ 篠原 隆 岡部 拓也

     

    篠原:ジョンさんがゼロトラストモデルを提唱してから、10年以上が経ちました。世間・各社の対応状況は、当初想定していたゴールに対し、現時点ではどの段階まで来ており、この先どのような方向へ向かっていくと考えておられますか?
    キンダーバーグ:ゼロトラストは今や、世界的な潮流になっています。

    2021年5月にバイデン大統領が署名した大統領令第14028号によって、米連邦政府の省庁全てでゼロトラストモデルを採用することが義務付けられ、世界がゼロトラストに注目するようになりました。今や米国だけでなく、オーストラリア、シンガポール、フィリピン、イギリス、オランダ、ドイツなど各国の政府組織が、ゼロトラストモデルを用いるよう義務付けられています。

    従って、ゼロトラストはもはや採否の議論の段階を過ぎ、グローバルでも採用フェーズに入ろうとしています。

    私はゼロトラストを、あらゆる組織に適用可能な戦略として提唱しました。そして戦術レベルでは、市場に提供されている商用のテクノロジや製品を活用して実現できるように設計しました。戦略は一貫したものであり変えるべきではありませんが、製品やテクノロジは常に改善され、より良いものになっていくからです。今後も、ゼロトラストの導入は世界的に継続し、各ベンダーはゼロトラスト環境構築のためのより良いプロダクトを提供していくでしょう。

    AIもそうしたテクノロジーの一つです。攻撃者がAIを悪用し、より巧妙な攻撃を行うのではないかと多くの人が懸念していますが、私は異なる見方をしています。我々防御する側が組織にとって重要なデータや資産をしっかり守るために、AIを活用できると考えています。
    篠原:非常に納得できるお話でした。

    今後はゼロトラストの先に、BCPやサイバーレジリエンスといった考え方が非常に重要になってくると考えますが、ジョンさんはどのように見ていますか?
    キンダーバーグ:

    同感です。レジリエンシー、さらにはそれを超えた「アンチフラジャイル」(Anti-Fragile反脆弱性)と言う概念に向かいつつあると考えています。 

     

    「ブラック・スワン」の著者であるナシーム・ニコラス・タレブ氏の書籍に「アンチフラジャイル」(邦訳:「反脆弱性」)があります。その中でタレブ氏は、私がゼロトラストで論じた言葉も用いつつ、システムはストレスを受けてこそより強靭になると指摘しています。ぜひ一読をお勧めします。 

     

    休日にだらけすぎると体重が増えてしまいます。そこで、ランニングやウェイトリフティングなど運動をしてダイエットに励むことにします。こうした活動は人体にとってストレスになりますが、それで体を壊すことはなく、かえって頑健になります。人体は反脆弱的な機構を持つシステムなのです。 

     

    同じように、ゼロトラストを用いることで、反脆弱的なネットワークを作ることができます。ネットワーク環境には大量のトラフィックがやってきます。その中にはいいものも、悪意あるものもあるでしょう。特に悪意あるトラフィックは組織にとって大きなストレスになりますが、そうしたストレスを受容し、適用することによって、ネットワークを構成する各要素をどう強固なものにしていくかを学ぶことができます。 

    ゼロトラスト環境を実現する、二つのキーテクノロジー

    fig-8897

    岡部:では、ゼロトラストを実現するアーキテクチャー、またはそれを構成するソリューションの中で、アンチフラジャイル(反脆弱性)の獲得に有効に活用できるものとして、どのようなものに注目されていますでしょうか?
    キンダーバーグ:

    それこそ、私がIllumioに入社した理由です。ゼロトラスト環境の土台は、セグメンテーションにあるからです。

    私が執筆した二つ目のレポート「Build Security Into Your Network's DNA: The Zero Trust Network Architecture」では、どのようにゼロトラストのシステムを構築すべきかを説明しました。ここで私は、ゼロトラスト環境を構築する上で二つのテクノロジが必須であると指摘しました。それが「ネットワークセグメンテーション」と「中央一元管理」です。

    NSAは先月、「Advancing Zero Trust Maturity Throughout the Network and Environment Pillar」というタイトルのガイダンスを公表しました。その中では鍵となるテクノロジーとして、「データフローマッピング」の次に、ネットワークセグメンテーションが挙げられています。私が14年前から提唱してきた内容に、NSAも同意しているということです。

    岡部:アーキテクチャーという観点では、2017年にチェース・カニンガム氏が発表した「Forrester Zero Trust eXtended」(ZTX)はどのような位置付けになるのでしょう。一般的には、2010年にジョンさんが提唱されたゼロトラストモデルの再定義、と解説されることもありますが、その理解でよいのでしょうか?
    キンダーバーグ:

    ZTXはゼロトラストの実現ために設計されたフレームワークであり、再定義ではありません。

    チェースは私の親しい友人であり、共に米大統領の任命を受けてゼロトラストに関する小委員会で活動し、レポートを作成しました。このレポートはまた、Cloud Security Alliance(CSA)における私の活動成果にも基づいています。

    NISTやCISAの活動は米国の連邦政府機関を対象としたものですが、CSAはグローバルなイニシアティブで、どこか一国のためだけのものではありません。米国だけでなく他の地域にも目を向け、他国の情報も考慮しながら、ゼロトラストに関するトレーニングや認定資格制度「Certificate of Competence in Zero Trust」(CCZT)の運営を行っています。ちなみに、CCZT資格の認定一号は私です(笑)

    岡部:なるほど、ZTXはやはりただの概念の定義ではなく、ゼロトラストモデルを「実装」することを目的に具体化を図ったフレームワークという位置づけですね。
    キンダーバーグ:

    はい。ゼロトラストモデルと共に使うべきものです。ゼロトラストにおいて重要な概念であるプロテクトサーフェス(保護対象領域)において、どのようなテクノロジーが必要かを定義するために参照するのがZTXという位置付けです。

    こうした考え方を理解するには、米国の政府機関や民間組織向けに策定されたNIST SP800-207が参考になるでしょう。これは、ゼロトラスト環境の構築手法を具体的に記した標準規格ではなく、ガイダンスとなっています。

    岡部:こうしたガイダンスに示されたゼロトラストモデルの中で、最も重要なファクターとは何だと考えますか? 先ほどからおっしゃるように、システム、あるいはパケットを「信頼」することはもはやできませんよね。
    キンダーバーグ:

    はい。ゼロトラストのモデルでは、我々はシステムもパケットも信頼しません。

    岡部:大方針として「Never trust」という考え方に基づいてアーキテクチャーを設計・実装していくという理解ですね。
    キンダーバーグ:

    それに加えて「Always verify」という考え方が重要ですね。ただ、業界ではしばしばこの概念が誤解されており、そこに不満を感じているのも事実です。

    岡部:ゼロトラストやZTXフレームワークにおける現状の課題は何だと考えますか?
    キンダーバーグ:

    モデルやフレームワークそれ自体に殊更に改善を加える必要はなく、(それらを活用するために)いかにゼロトラストモデルについて啓蒙し、理解を深めていくかが重要だと考えています。

     

    ▼ジョン・キンダーバーグ氏へのインタビュー記事 後編

    ゼロトラストは誤解だらけ?キンダーバーグ氏が語るその本質とは

     

    <関連ソリューション>

    マイクロセグメンテーションソリューション  Illumio(イルミオ)