ゼロトラストは誤解だらけ？キンダーバーグ氏が語るその本質とは

キンダーバーグ：

ゼロトラストを理解する上で、この写真が参考になると思います。2009年、バラク・オバマ氏が大統領に就任した際のパレードの写真です。

 

＜Illumio 提供資料より＞

写真には多くのシークレットサービスが写っていますが、彼らが知っておくべきことは三つあります。一つ目は「米国大統領は誰か」です。この場合、わざわざスキャンして誰が大統領かを洗い出す必要はありません。ですが私たちの環境ではしばしば、「守るべきデータや資産が何か」を把握できていませんね。

二つ目は「大統領がどこにいるか」を常に把握することです。そして三つ目は、時間ごとに「誰が大統領にアクセスできるべきか」を理解することです。

大統領の車と人々の間には柵、つまり「境界」が設けられていますが、そこで警備や監視に当たる人々は防御の準備ができていません。本当に防御をしているのは車の周囲にいるシークレットサービスで、彼らは、大統領一家が乗る車を「プロテクトサーフェス（保護対象領域）」として守っています。これこそ、根本的なゼロトラストの戦術です。

セキュリティの世界ではしばしば「アタックサーフェス（攻撃対象領域）」という言葉が使われます。これはサイバー攻撃の対象となりうるIT資産や攻撃点ならびに攻撃経路を指す言葉ですが、アタックサーフェスの範囲はそのままでは守るのに非常に広すぎます。そこで、アタックサーフェスをぐっと縮め、すぐに認知して保護することのできる範囲にまで縮小します。それがプロテクトサーフェス（保護対象領域）です。この場合、プロテクトサーフェスにいるのは大統領一家の四人だけで、一家が一日無事であることがシークレットサービスのミッションとなります。ゼロトラストの実装フレームワークであるZTX（Forrester Zero Trust eXtended）はこのプロテクトサーフェスの中で、どのようなテクノロジーを使うべきかを決めるために用いられます。

シークレットサービスは、プロテクトサーフェスを最小化して「マイクロペリメータ」と定義した上で、ポリシーに基づいて保護していきます。これがマイクロセグメンテーションです。もし誰かが大統領にアクセスしようと入ってきた場合、シークレットサービスは「deny」ルールを執行して、立ち入らせないようにします。マイクロペリメータに入っていける人は誰もおらず、出ていけるのはリムジンを運転している二人だけ、という具合です。

 

＜Illumio 提供資料より＞

キンダーバーグ：それだけではありません。シークレットサービスは同時に、継続的なモニタリングを行い、ポリシーをリアルタイムにアップデートしています。車列から離れたところにいる人物は情報を一元管理しており、もし不審な人物が近くにいれば――つまり脅威インテリジェンスから情報があれば、注意するようシークレットサービスに伝えます。逆に、緊急の連絡などで大統領にコンタクトする必要が生じれば、車に近づくことを許可することもあります。つまり、インバウンドのポリシーを変更するようなものです。

これが要人警護におけるゼロトラストモデルですが、この考え方は米国大統領だけでなく、データやアセットなど、何を守る場合にも適用できます。ですが、現時点では、サイバーセキュリティの世界で実現できているとは言えません。

従来の境界防御のシステムでは、主要な保護（防御）のコントロールポイントは、実際に守るべきものからは遠く離れたエッジやエンドポイントにあります。この結果、攻撃者が身を隠すことのできる「内部ネットワーク」という二次的なアタックサーフェスが生じ、数日から数ヶ月、時には年単位の滞留時間（dwell time）が生じます。崩壊したトラストモデルが、滞留時間を引き起こしているのです。

ゼロトラストモデルはこの滞留時間を削減します。ポリシーに基づいて具体的な許可ルールを定義することによって、ゼロトラストを実施します。

キンダーバーグ：

もう一つお見せしたいのは、ゼロトラストの方法論を実施するための5つのステップです。長年に渡り、ゼロトラスト環境を構築すべきと提唱してきた経験の中から、私はゼロトラストを成功させるための5つのステップを見出しました。

＜Illumio 提供資料より＞

 

最初にやるべきステップは「プロテクトサーフェス（保護面）の定義」です。保護を必要としているものは何かがわからなければ、守ることはできません。

また、そのプロテクトサーフェスの中に含まれるものは何かも定義します。その答えが、大統領向けレポートでも言及した「DAAS」です。機密データのD、機密情報を扱うアプリケーションのA、ITやOT、IoTも含めたアセットのA、DNSやActive Directoryといった重要なサービスのSの頭文字をとったもので、こうしたDAASの各要素を、守るべき各プロテクトサーフェスの中に入れたうえで、それぞれのプロテクトサーフェスにおいてゼロトラスト環境を構築していきます。

キンダーバーグ：ゼロトラストに取り組む上では、三つのことが重要です。一つ目は徐々に、少しずつ進めること。二つ目は、あれもこれも一気にやるのではなく、一つずつ順番に進めていくこと。そして三つ目は、既存の環境に影響や支障を与えることなく実現することです。こうしたやり方を取ることで、ゼロトラストの実践を恐れなくても済むでしょう。

キンダーバーグ：ゼロトラスト構築の二つ目のステップは、トランザクションやデータフローのマッピングです。これこそ、私がIllumioに入社した主な理由です。Illumioは、トラフィックを可視化し、すべてのフローをマッピングする機能を提供します。複数のシステムが全体としてどのように協調して動作しているかを把握できてはじめて、どのようにゼロトラストのアーキテクチャを設計していくかを決められます。

それに基づいて三つ目のステップとして、ゼロトラスト環境を構築します。各プロテクトサーフェスに合わせ、カスタマイズした制御を実装します。

四つ目のステップは「誰が、どのリソースに対してアクセスを許可されるべきか」を制御するため、きめ細かいセキュリティポリシーを作成することです。そして五つ目のステップはネットワークの監視と保守で、テレメトリやさまざまなシグナルを収集、分析し、その結果に基づいて反脆弱性を備えたシステムを作っていきます。

こう考えると、ゼロトラスト環境の構築は、実はどんな組織にとってもシンプルなことであることがおわかりいただけると思います。
センシティブなデータ、センシティブなアセットを保有する組織であれば、どんな組織であっても取り組むべきでしょう。つまり、あらゆる企業・組織がゼロトラスト環境を構築する必要があると思います。

キンダーバーグ：ゼロトラスト実装の道のりはIDから始めるものではないと考えます。そう主張するのはおそらく、ID関連のベンダーが作ったお話でしょう。まずやるべきなのは「何を守るべきか」を理解することです。何を守るべきかがわからなければ、たとえID管理ができていても何の意味もありません。

キンダーバーグ：そう思います。ポリシーを実行するテクノロジーがなければ、いくらIAMやMFAといった技術があっても何の役にも立ちません。

まずステップ1で可視性を手に入れることが重要です。可視化できれば、プロテクトサーフェスに対し、誰がアクセスしているかがわかります。その上でどのようにゼロトラストを構築すべきかが明らかになり、それに沿ってアーキテクチャとしてIAMポリシーを実行し、保護していくことができるでしょう。

ゼロトラストを巡っては、非常に多くの誤解が存在します。特に、ゼロトラストは、本当はとてもシンプルな考え方なのに、とても複雑なものだと捉えられがちです。他の方がゼロトラストについて書いたドキュメントの中には、あまりに複雑で私にも理解できないものまであるくらいです（笑）

キンダーバーグ：昨夜、米国大使館で行われたイベントで、ある出席者の方から「日本には伝統的な文化がある」とうかがいました。それも理由の一つかもしれませんね。だからこそIllumioとしては、サイバーセキュリティと日本の文化の両方を知る御社のような企業とパートナーシップを結び、手助けを得ながらカルチャーを変えていければと考えています。

キンダーバーグ：私の理解では、日本の文化の根底には「信頼」があると思います。しかし今や、世界中の「敵」が、インターネットを介してダイレクトに繋がり、知的財産を盗み取ったり、システムに損害を与えようとしたりする時代となっています。そのことを理解しなければなりません。

キンダーバーグ：そうした時代の考え方に戻るべきかもしれませんね。暗殺を目的にした忍者が潜入してくるのと同じように、他国のサイバー攻撃者が侵入し、潜伏してくる可能性があります。きちんと鶯張りの廊下を作っていなければ、城に忍者が入ってきたかどうかもわからず、潜伏時間を許すことになってしまいます。それに備える必要があるでしょう。

キンダーバーグ：そここそIllumioが支援できる部分です。ゼロトラストの構築においては、どんなデータやアセットがあり、そのうちどれが重要かを知る必要がありますが、Illumioのマイクロセグメンテーションのソリューションはそれらをすべて可視化できます。「ビジビリティモード」で使っていただくと自動的にデータや資産を発見でき、把握した内容に基づいてポリシーの「エンフォースモード」に移行していくことができます。

キンダーバーグ：実際のところ、ほとんどすべてのお客様がそうです。日本のお客様も同様ですね。

キンダーバーグ：答えはプロテクトサーフェス次第です。何を守るのか、どのようなアーキテクチャなのかがわからなければ、私から「このテクノロジーをこう使うべき」とお伝えすることはできません。
これは、Illumioのマイクロセグメンテーションが、あらゆるゼロトラスト環境の土台となる理由でもあります。皆さんが何を必要としており、プロテクトサーフェスを守るために何を底上げすべきかがIllumioによってわかります。他のさまざまなテクノロジーと協調し、より生かすことができるでしょう。

ただし、プロテクトサーフェスを定義できていなければゼロトラストが実現できているとは言えません。ここで真に必要なのが、組織・企業のリーダーシップです。

テクノロジーや戦術では個別の「戦闘」に勝つことはできるかもしれません。しかし「戦争」で勝つには戦略が不可欠です。戦略は、組織のリーダーが策定して推進することが非常に重要であり、そのためにも日本のリーダーの皆様には、今後もこれからのサイバーセキュリティ戦略の要であるゼロトラストのビジョンを理解していただきたいと思っています。