EN

NRIセキュア ブログ

ゼロトラストは誤解だらけ?キンダーバーグ氏が語るその本質とは

目次

    blogtop

    グローバルに見ても導入が進みつつある「ゼロトラストセキュリティ」という考え方ですが、生みの親であるJohn Kindervag(ジョン・キンダーバーグ)氏によると、その考え方を巡ってはさまざまな誤解やミスリードも見られるそうです。

    いったいゼロトラストセキュリティの本質とは何なのか、そして日本企業でゼロトラストを導入していくに当たっての課題は何かを、前回に続き、NRIセキュアテクノロジーズのセキュリティコンサルタントである岡部拓也と篠原隆が尋ねました。

     

     

    要人警護とデータ・アセットの保護に共通するゼロトラストの本質

    fig-8923-2Illumio,Inc. チーフエバンジェリスト ジョン・キンダーバーグ

     

    岡部:では、ゼロトラストの本質について改めてうかがいたいと思います。ゼロトラストモデルの根底にある考え方を、企業・組織へどのように伝えるのが効果的でしょうか。
    キンダーバーグ:

    ゼロトラストを理解する上で、この写真が参考になると思います。2009年、バラク・オバマ氏が大統領に就任した際のパレードの写真です。

     

    illumio1

    <Illumio 提供資料より>


    写真には多くのシークレットサービスが写っていますが、彼らが知っておくべきことは三つあります。一つ目は「米国大統領は誰か」です。この場合、わざわざスキャンして誰が大統領かを洗い出す必要はありません。ですが私たちの環境ではしばしば、「守るべきデータや資産が何か」を把握できていませんね。

    二つ目は「大統領がどこにいるか」を常に把握することです。そして三つ目は、時間ごとに「誰が大統領にアクセスできるべきか」を理解することです。

    大統領の車と人々の間には柵、つまり「境界」が設けられていますが、そこで警備や監視に当たる人々は防御の準備ができていません。本当に防御をしているのは車の周囲にいるシークレットサービスで、彼らは、大統領一家が乗る車を「プロテクトサーフェス(保護対象領域)」として守っています。これこそ、根本的なゼロトラストの戦術です。

    セキュリティの世界ではしばしば「アタックサーフェス(攻撃対象領域)」という言葉が使われます。これはサイバー攻撃の対象となりうるIT資産や攻撃点ならびに攻撃経路を指す言葉ですが、アタックサーフェスの範囲はそのままでは守るのに非常に広すぎます。そこで、アタックサーフェスをぐっと縮め、すぐに認知して保護することのできる範囲にまで縮小します。それがプロテクトサーフェス(保護対象領域)です。この場合、プロテクトサーフェスにいるのは大統領一家の四人だけで、一家が一日無事であることがシークレットサービスのミッションとなります。ゼロトラストの実装フレームワークであるZTX(Forrester Zero Trust eXtended)はこのプロテクトサーフェスの中で、どのようなテクノロジーを使うべきかを決めるために用いられます。

    シークレットサービスは、プロテクトサーフェスを最小化して「マイクロペリメータ」と定義した上で、ポリシーに基づいて保護していきます。これがマイクロセグメンテーションです。もし誰かが大統領にアクセスしようと入ってきた場合、シークレットサービスは「deny」ルールを執行して、立ち入らせないようにします。マイクロペリメータに入っていける人は誰もおらず、出ていけるのはリムジンを運転している二人だけ、という具合です。

     

    illumio5

    <Illumio 提供資料より>

    岡部:わかりやすいたとえです。抽象的な概念ではなく、具体的にゼロトラストモデルによるアクセス制御の本質的なイメージがつかめますね。
    キンダーバーグ:それだけではありません。シークレットサービスは同時に、継続的なモニタリングを行い、ポリシーをリアルタイムにアップデートしています。車列から離れたところにいる人物は情報を一元管理しており、もし不審な人物が近くにいれば――つまり脅威インテリジェンスから情報があれば、注意するようシークレットサービスに伝えます。逆に、緊急の連絡などで大統領にコンタクトする必要が生じれば、車に近づくことを許可することもあります。つまり、インバウンドのポリシーを変更するようなものです。

    これが要人警護におけるゼロトラストモデルですが、この考え方は米国大統領だけでなく、データやアセットなど、何を守る場合にも適用できます。ですが、現時点では、サイバーセキュリティの世界で実現できているとは言えません。

    従来の境界防御のシステムでは、主要な保護(防御)のコントロールポイントは、実際に守るべきものからは遠く離れたエッジやエンドポイントにあります。この結果、攻撃者が身を隠すことのできる「内部ネットワーク」という二次的なアタックサーフェスが生じ、数日から数ヶ月、時には年単位の滞留時間(dwell time)が生じます。崩壊したトラストモデルが、滞留時間を引き起こしているのです。

    ゼロトラストモデルはこの滞留時間を削減します。ポリシーに基づいて具体的な許可ルールを定義することによって、ゼロトラストを実施します。

    ゼロトラスト実現のステップは「何を守るべきか」の理解から

    キンダーバーグ:

    もう一つお見せしたいのは、ゼロトラストの方法論を実施するための5つのステップです。長年に渡り、ゼロトラスト環境を構築すべきと提唱してきた経験の中から、私はゼロトラストを成功させるための5つのステップを見出しました。

    illumio4

    <Illumio 提供資料より>

     

    最初にやるべきステップは「プロテクトサーフェス(保護面)の定義」です。保護を必要としているものは何かがわからなければ、守ることはできません。


    また、そのプロテクトサーフェスの中に含まれるものは何かも定義します。その答えが、大統領向けレポートでも言及した「DAAS」です。機密データのD、機密情報を扱うアプリケーションのA、ITやOT、IoTも含めたアセットのA、DNSやActive Directoryといった重要なサービスのSの頭文字をとったもので、こうしたDAASの各要素を、守るべき各プロテクトサーフェスの中に入れたうえで、それぞれのプロテクトサーフェスにおいてゼロトラスト環境を構築していきます。

    岡部:ゼロトラストモデルに基づいて、アークテクチャを実装していくうえでは、段階的なアプローチをとって、効果を見つつアジャストしていくことが有効と考えますが、この点についてはいかがでしょうか。
    キンダーバーグ:ゼロトラストに取り組む上では、三つのことが重要です。一つ目は徐々に、少しずつ進めること。二つ目は、あれもこれも一気にやるのではなく、一つずつ順番に進めていくこと。そして三つ目は、既存の環境に影響や支障を与えることなく実現することです。こうしたやり方を取ることで、ゼロトラストの実践を恐れなくても済むでしょう。
    キンダーバーグ:ゼロトラスト構築の二つ目のステップは、トランザクションやデータフローのマッピングです。これこそ、私がIllumioに入社した主な理由です。Illumioは、トラフィックを可視化し、すべてのフローをマッピングする機能を提供します。複数のシステムが全体としてどのように協調して動作しているかを把握できてはじめて、どのようにゼロトラストのアーキテクチャを設計していくかを決められます。

    それに基づいて三つ目のステップとして、ゼロトラスト環境を構築します。各プロテクトサーフェスに合わせ、カスタマイズした制御を実装します。

    四つ目のステップは「誰が、どのリソースに対してアクセスを許可されるべきか」を制御するため、きめ細かいセキュリティポリシーを作成することです。そして五つ目のステップはネットワークの監視と保守で、テレメトリやさまざまなシグナルを収集、分析し、その結果に基づいて反脆弱性を備えたシステムを作っていきます。

    こう考えると、ゼロトラスト環境の構築は、実はどんな組織にとってもシンプルなことであることがおわかりいただけると思います。
    センシティブなデータ、センシティブなアセットを保有する組織であれば、どんな組織であっても取り組むべきでしょう。つまり、あらゆる企業・組織がゼロトラスト環境を構築する必要があると思います。
    岡部:5つのステップを説明していただきましたが、ゼロトラストの導入をどのような順番で進めていけばいいか悩む企業は少なくありません。IDの統合管理から始め、それからセグメンテーションを導入していくべきだという意見もありますが、ジョンさんはどのように考えますか?
    キンダーバーグ:ゼロトラスト実装の道のりはIDから始めるものではないと考えます。そう主張するのはおそらく、ID関連のベンダーが作ったお話でしょう。まずやるべきなのは「何を守るべきか」を理解することです。何を守るべきかがわからなければ、たとえID管理ができていても何の意味もありません。

    fig-8922

    岡部:すると、最初にステップ1でアセット(情報資産)など、「守るべき対象」をまず特定してコントロールできる状態にし、IDはそれらを実際にコントロールするステップ3で初めて登場する、と言う順番で考えるという解釈でよいでしょうか。
    キンダーバーグ:そう思います。ポリシーを実行するテクノロジーがなければ、いくらIAMやMFAといった技術があっても何の役にも立ちません。

    まずステップ1で可視性を手に入れることが重要です。可視化できれば、プロテクトサーフェスに対し、誰がアクセスしているかがわかります。その上でどのようにゼロトラストを構築すべきかが明らかになり、それに沿ってアーキテクチャとしてIAMポリシーを実行し、保護していくことができるでしょう。

    ゼロトラストを巡っては、非常に多くの誤解が存在します。特に、ゼロトラストは、本当はとてもシンプルな考え方なのに、とても複雑なものだと捉えられがちです。他の方がゼロトラストについて書いたドキュメントの中には、あまりに複雑で私にも理解できないものまであるくらいです(笑)

    マイクロセグメンテーションの導入、日本文化の根底にある「信頼」がハードルに?

    okabe5NRIセキュアテクノロジーズ 岡部 拓也

     

    岡部:次に、マイクロセグメンテーション導入に当たっての課題についてうかがいたいと思います。米国では2021年の大統領令の存在もあり主流な考え方になっていますが、日本では、マイクロセグメンテーションはまだそれほど普及していません。アーキテクチャーや組織の設計思想の違いによるところが大きいためと考えていますが、ジョンさんの視点ではどういった背景があると見ていますか?
    キンダーバーグ:昨夜、米国大使館で行われたイベントで、ある出席者の方から「日本には伝統的な文化がある」とうかがいました。それも理由の一つかもしれませんね。だからこそIllumioとしては、サイバーセキュリティと日本の文化の両方を知る御社のような企業とパートナーシップを結び、手助けを得ながらカルチャーを変えていければと考えています。
    岡部:日本の伝統的な文化として、人を信頼する延長で、境界を一つの壁として信頼している人は多いようです。このため、マイクロセグメンテーションの必要性や重要性があまり理解されていないように感じます。
    キンダーバーグ:私の理解では、日本の文化の根底には「信頼」があると思います。しかし今や、世界中の「敵」が、インターネットを介してダイレクトに繋がり、知的財産を盗み取ったり、システムに損害を与えようとしたりする時代となっています。そのことを理解しなければなりません。
    岡部:そうですね。それゆえにシステムも信頼してしまいがちなのかもしれません。
    キンダーバーグ:そうした時代の考え方に戻るべきかもしれませんね。暗殺を目的にした忍者が潜入してくるのと同じように、他国のサイバー攻撃者が侵入し、潜伏してくる可能性があります。きちんと鶯張りの廊下を作っていなければ、城に忍者が入ってきたかどうかもわからず、潜伏時間を許すことになってしまいます。それに備える必要があるでしょう。
    岡部:次に来日していただいた時には「二条城から学ぶゼロトラスト」と言うセミナーを開催すべきかもしれませんね(笑)

    ゼロトラスト実現に真に必要なのはリーダーシップ

    fig-8937NRIセキュアテクノロジーズ 篠原 隆

    岡部:もう一つ、日本の企業における課題として、守るべきアセットやデータ、アプリケーションが管理されていないどころか、特定されていない状況が多いことが挙げられます。そういった状態からマイクロセグメンテーションを実装するためには、どのような順序で導入を進めていくのがいいでしょうか。
    キンダーバーグ:そここそIllumioが支援できる部分です。ゼロトラストの構築においては、どんなデータやアセットがあり、そのうちどれが重要かを知る必要がありますが、Illumioのマイクロセグメンテーションのソリューションはそれらをすべて可視化できます。「ビジビリティモード」で使っていただくと自動的にデータや資産を発見でき、把握した内容に基づいてポリシーの「エンフォースモード」に移行していくことができます。
    篠原:アメリカでも、日本と同じように「どんなアセットがあるかわからない」と言う状態からスタートした事例はありますか?
    キンダーバーグ:実際のところ、ほとんどすべてのお客様がそうです。日本のお客様も同様ですね。
    岡部:では、IllumioのソリューションとEDR、NDR、SASEやSSEといった他のゼロトラストソリューションとは、どのように使い分けて全体を最適化していくべきでしょう? 

    (先ほど「既存の環境に影響や支障を与えることなく実現することがポイント」とありましたが、)すでにこうしたソリューションに投資済みの企業が、それらを無駄にすることなく包含できるアーキテクチャが理想的だと思いますが、実際は企業によって様々な正解があると考えています。
    キンダーバーグ:答えはプロテクトサーフェス次第です。何を守るのか、どのようなアーキテクチャなのかがわからなければ、私から「このテクノロジーをこう使うべき」とお伝えすることはできません。
    これは、Illumioのマイクロセグメンテーションが、あらゆるゼロトラスト環境の土台となる理由でもあります。皆さんが何を必要としており、プロテクトサーフェスを守るために何を底上げすべきかがIllumioによってわかります。他のさまざまなテクノロジーと協調し、より生かすことができるでしょう。

    ただし、プロテクトサーフェスを定義できていなければゼロトラストが実現できているとは言えません。ここで真に必要なのが、組織・企業のリーダーシップです。

    テクノロジーや戦術では個別の「戦闘」に勝つことはできるかもしれません。しかし「戦争」で勝つには戦略が不可欠です。戦略は、組織のリーダーが策定して推進することが非常に重要であり、そのためにも日本のリーダーの皆様には、今後もこれからのサイバーセキュリティ戦略の要であるゼロトラストのビジョンを理解していただきたいと思っています。

     

    AllIllumio、NRIセキュアテクノロジーズ 関係者一同

     

    ▼ジョン・キンダーバーグ氏へのインタビュー記事 前編

    「ゼロトラストの父」が語る、今ゼロトラストが求められる理由

     

    <関連ソリューション>

    マイクロセグメンテーションソリューション  Illumio(イルミオ)