ゼロトラスト導入時に失敗しやすいポイントはこれだ

さまざまなサイバー攻撃に対抗する手段としてゼロトラストは優れている。だが、ベンダーの提供するソリューションをそのまま導入してもよいのだろうか。

[John Watts，Cybersecurity Dive]

　従来のセキュリティ対策は信頼できる社内と信頼できない社外を分けて、境界で防御する考え方が一般的だった。これは現在の働き方にはそぐわないため、「ゼロトラスト」のソリューションを導入する必要があるといわれている。

ゼロトラスト導入の落とし穴とは

　ゼロトラストをうたうソリューションは数多い。どれを選べばよいのか、それとも選択する前に考えるべきことがあるのだろうか。

　Gartnerのジョン・ワッツ氏（バイスプレジデントアナリスト）はこの疑問に対して、「CYBERSECURITY DIVE」に以下の内容を寄稿した。

　多くの企業は経営におけるリスクを低減する上で（注1）、「ゼロトラスト」を最優先事項だと捉えている（注2）。しかし、現状は、組織全体でゼロトラストベースのセキュリティ対策を実施するまでに至っていない。

　ゼロトラストとはユーザーとデバイスを常時、明示的に識別し、リスクを低減しながらも最小限の制約で運用できるようにアクセスを許可するセキュリティパラダイムだ。ゼロトラストを導入する企業は最小限の特権アクセスやリソースの機密性、データの機密性という観点でセキュリティを考える必要がある。

　これらの概念は個別に見ると実は新しいものではない。過去に最小特権アクセス制御の導入を試み、制御の範囲を拡大し、粒度を大きくしていく中で試行錯誤してきた企業は珍しくない。だがうまくいかなかった。

　ゼロトラストもこうした問題と無縁ではない。ゼロトラストを成功させるために事前に計画を立て、人材とリソースに投資する必要がある。さらにゼロトラストは一回導入すれば安全が確保されるものでもない（注3）。

　ゼロトラストの実装を開始する際、技術の実装に着手する前に戦略とベースラインを定義することから始めなければならない。これがなければ失敗する。

　ゼロトラストの戦略を個々の企業に合わせて調整し、マルウェアの横移動など、どのようなタイプの攻撃を軽減するのが最適なのかを考慮することが重要だ。

　ゼロトラストは1つの技術だけで実現できるものではなく、複数の異なるコンポーネントを統合することによってはじめて現実のものとなる。

セキュリティの出発点としてゼロトラストを導入する企業が増えた

　「2025年までに60％以上の企業がセキュリティの出発点としてゼロトラストを採用する」とGartnerは予測した。しかし、採用した半数以上がメリットを実感できないだろう。ゼロトラストを開始するには、技術以上のものが必要だからだ。

　ゼロトラストに関するマーケティングと誇大宣伝のために、セキュリティリーダーは疲弊しており（注4）、技術的な現実をビジネス上のメリットにつなげることに苦慮している。

　ゼロトラストとは、企業のIT資産を利用しようとする者を「誰も信用しない」ことだと誤解されがちだが、そうではない。ゼロトラストとは、「適切な」程度に信頼することであり、それ以上は信頼しないことを指す。セキュリティリーダーが理解すべきなのは、ゼロトラストによって起こり得る過失から自社を守れるということだ。

　ゼロトラストを成功させることについて、サイバーセキュリティリーダーは、技術によるコントロールだけで計画を進めてはならない。ゼロトラストは技術優先の取り組みではなく、考え方とセキュリティアプローチの転換が必要だからだ。

　これを理解できれば、サイバーセキュリティリーダーは、経営陣の支持とサポートを受ける必要があると分かるだろう。トップの支持があって初めて、ゼロトラストによる新しいビジネスアプローチと、レジリエントな環境における柔軟な対応が可能になる。

　逆に言えば支持を得られないと、ゼロトラスト計画はうまくいかない。

　サイバーセキュリティリーダーはゼロトラスト導入によって、複雑さと暫定的な冗長性が発生する可能性を受け入れなければならない。セキュリティチームは新しくきめ細かいアプローチの下で運用を続けることになる。だが、従来型の管理も依然として必要だ。従来の管理と新しい管理の間には、相反する目標が存在するかもしれない。これらを調整し、矛盾が生じないように継続的に見直す必要がある。

　ゼロトラストの実導入に至る際、セキュリティリーダーは技術やマーケティングメッセージに頼るのではなく、「企業文化を重視した」セキュリティプログラムへ焦点を移さなければならない。管理とセキュリティの両方に沿った現実的な目標を設定することで、成功への道筋を付けることができる。

　ゼロトラストプログラムをリスク削減やエンドユーザーエクスペリエンスの向上、柔軟性の向上など、望ましいビジネス成果の観点から位置付けて、ゼロトラストプログラムの範囲と影響について現実的な期待値を設定しなければならない。

継続に必要なのは「測定可能だということ」

　現在、大半の企業がゼロトラスト導入の初期段階にある。企業はゼロトラストの成果に期待しているが、実装後の現実に目を向けている企業はほとんどない。

　ゼロトラストの導入が進んでいる企業は、最小限の特権アクセスを実装し、維持するための障害に遭遇している。このような障害を回避するためには、実装済みのコントロールの最小特権アクセスポリシーを分離して、順守するための別のリソースに投資しなければならない。このようなリソースに投資することで、導入後もゼロトラストの態勢を維持できる。

　「2026年までに大企業の10％が成熟した測定可能なゼロトラストプログラムを導入する」とGartnerは予測しており、現在の1％未満から大幅に増加する。

　ゼロトラスト戦略は企業がサイバーセキュリティにどれだけの投資をするか、そしてその投資からどれだけの利益を得られるかというビジネス上の決定に従っていなければならない。企業がサイバーセキュリティをビジネス投資として説明できるようになれば、ゼロトラストを巡る社内の駆け引きは少なくなる。

　ゼロトラストの成熟度を測定するための普遍的な基準は今のところ存在しないが、既存の成熟度モデルから始めることには意味がある。

　例えば、米国連邦政府のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、米国連邦機関がゼロトラストに関する戦略と実施計画を策定する際に支援するための「ゼロトラスト成熟度モデル設計」（zero-trust maturity model design）を発表した（注5）。

　この戦略を活用すれば、企業内部のゼロトラストの目標や目的に対する進捗（しんちょく）を追跡できる。ベンチマーク評価を採用するよりも、この行動計画を優先すべきだ。なぜなら、ベンチマークでは、測定範囲や望ましい成果の違いによって、企業間で進捗を比較できない場合があるからだ。

　ゼロトラストの理論から実践への移行は困難だ。一番はまりやすい「わな」は、戦略を練ることなく、何らかのゼロトラストのソリューションを導入するというものだ。そうではなく、強固な戦略がまず必要だ。これがマーケティングノイズを抑えてゼロトラストの実装を成功させる唯一の方法だ。

出典：Zero trust is moving from hype to reality（Cybersecurity Dive）

注1：2023 Leadership Vision for Security and Risk Management Leaders

注2：New to Zero Trust Security? Start Here

注3：Gartner Security & Risk Management Summit

注4：Four Facets of Effective CISO Leadership

注5：Zero Trust Maturity Model