ゼロトラストが失敗しているのではなく、ゼロトラストの導入がまだ完了していないのです。
ゼロトラストの導入はサイバーセキュリティに不可欠ですが、15年経った今でも完全には実現していません。導入状況は「キュレートの卵」のようなもので、部分的には良いのです。
ゼロトラストは2025年9月14日で15周年を迎えました。その発明は、2010年のこの日にフォレスター社がジョン・キンダーバグの論文No More Chewy Centers: Introducing The Zero Trust Model of Information Security(アーカイブはこちら)を発表したことで知られています。
ゼロトラストは、サイバーセキュリティをM&M(ハッカーには侵入できない硬い殻で、内部は従業員が自由かつ安全に働ける柔らかい中心部)として扱うことが機能しないことを認識しています。「情報セキュリティの専門家は、境界だけでなくネットワーク全体にセキュリティを浸透させることで、柔らかい中心部を排除しなければならない」とキンダーバグは述べています。
これがゼロトラスト(ZT)の基本です。2つの異なるネットワーク(信頼できないインターネットと信頼できる企業ネットワーク)間の障壁という古い概念を捨て、出所や宛先に関係なく、何も信頼せずすべてを検証するという考え方です。このコンセプトは堅実で急速に支持を集め、最終的には大統領令EO14028によって連邦機関がゼロトラストアーキテクチャへの移行を義務付けられ、民間企業も同様の対応を推奨されましたが、その実現方法は定義されていません。
ここが問題です。ゼロトラストは本質的にコンセプトであり、導入方法は各企業のエコシステムによって異なります。すべての組織に共通する要件リストはなく、どの国の規制もゼロトラストを義務付ける可能性は低く、ゼロトラストを実現する製品も存在しません。その代わり、ゼロトラストは広く受け入れられた「ベストプラクティス」となっており(連邦機関を除き)規制では推奨されるにとどまっています。
例えば、欧州のNIS2指令は「重要かつ主要な事業体は、ゼロトラストの原則など、幅広い基本的なサイバーハイジーンの実践を採用すべきである」と述べています。しかしこれは指令(加盟国が独自に実施すべき要件)であり、規則(EU全体に逐語的に適用される法律)ではありません。また、その定義もありません。
その結果、広く認知され賞賛されているサイバーセキュリティのアプローチ(おそらく唯一のベストプラクティス)が「キュレートの卵」となり、導入は部分的に良好な状態となっています。
ゼロトラストが有効な場面
ZTの基本原則は、どこからどこへでも、あらゆる場所でデータに適用されなければならないということです。人から人、機械から機械、またはその変種を区別せず、データは出所と宛先が両方とも検証されるまで信頼されるべきではありません。
広告。スクロールして続きをお読みください。
これは通常、ZTを想定して設計されていない既存ネットワークに後付けする必要があり、ネットワークはTopsyのように絶えず拡張し続けています(「私は勝手に大きくなったの。誰も私を作った覚えはないわ」)。したがって、Topsyの行き当たりばったりな拡張が抑制されている環境では、ZTはより容易に導入・維持できます。
「ゼロトラストは、インフラのあらゆる層でセキュリティを強制するよう意図的に設計された、モダンなクラウドネイティブのエンタープライズアーキテクチャで最も効果的です」とSuresh Katukam(Nile共同創業者兼CPO)はコメントします。「こうした環境では、ゼロトラストの中核原則―デフォルト拒否、アイデンティティベースのアクセス、最小権限、継続的な検証―が後付けではなくネイティブに実装されています。」
効果的なZTでもすべての侵害を防ぐことはできません。ネットワークへの侵入経路は多すぎるからです。しかし、盗まれた認証情報(最も一般的な初期アクセス手段)の有効性を確実に制限し、侵入者のラテラルムーブメントや内部関係者による悪意ある活動を抑制します。
「多くの人が見落としがちなのは、ゼロトラストは外部脅威を防ぐのと同じくらい、内部リスクを減らすことにも重要だという点です」とChad Cragle(Deepwatch CISO)はコメントします。「ゼロトラストは外部脅威を防ぐのと同じくらい、内部リスクを減らすのに重要です。」
「外部からの侵害を完全に防げなくても、内部で誰が何にアクセスできるかを厳密に制御できます」とJohn DiLullo(Deepwatch CEO)は付け加えます。「全データ損失の70%は内部関係者によるものであり、悪意か過失かを問わず、ゼロトラストは企業の最も機密性の高い資産の攻撃対象領域を大幅に減らします。ゼロトラストは何よりもアクセス権限技術です。」
「内部関係者はしばしば“王国の鍵”をすでに持っています」とCragleは続けます。「ここでセグメンテーション、最小権限、継続的な検証が本当に重要です。ゼロトラストフレームワークが内部不正の可視化や制御に役立っていないなら、それはゼロトラストではなく、ただの願望です。」
この「願望」という考え方は、ZTの一つのデメリットを示唆します。このコンセプトはネットワーク全体のすべてのアクセスドアを監視することを要求します。もしZT原則で95%のドアしか閉じられていなければ、企業は偽りの安心感を持つことになります。そのたった一つの開いたドアがある限り、それはZTではなく願望です。そしてそのドアはやがて悪意ある攻撃者に見つかり、利用されるでしょう。
現実には、ZTは完全に実装されている場合のみゼロトラストであり、そうでなければゼロトラストではありません。問題はZTそのものではなく、なぜ実装がこれほど難しいのかという点です。
ゼロトラストがうまくいかない場面
「ゼロトラストの導入が不十分だと、かえってリスクプロファイルが高まることもあります」とDana Simberkoff(AvePoint最高リスク・プライバシー・情報セキュリティ責任者)は言います。「従業員が共有ファイルにアクセスするたびに複数の承認が必要だったり、ワークフローを中断する再認証が頻繁に発生したりすると、従業員は代替手段を探します。」
ゼロトラストの難しさは、検証を減らさずに摩擦を減らす必要がある点です。これは技術の問題ではなく心理学の問題であり、私たちは人を技術より優先し、人間の感情に配慮しがちです。キンダーバグは、これは人と技術の関係に対する基本的な誤解が原因、あるいは少なくともそれによって悪化していると指摘します。
「人・プロセス・技術。これが私たちのマントラですが、これは間違いです」と彼は言います。最初に考える「人」はセキュリティにとっては補助的なものです。「人は、たとえプロセスを理解していても、リアルタイムで適切なセキュリティ判断を下す計算能力を持ちません。“ヒューマンファイアウォール”は神話です。正しくは技術・プロセス・人です。」
人を優先するのは良い人材管理やPRにはなりますが、セキュリティとしては良くありません。人間の3つの基本的特性―見た目で信じやすい、怠けやすい、強い好奇心―に過度な自由を与えてしまうからです。私たちは本能的にまず信じてから疑問を持ち、セキュリティ対策が煩わしければ回避し、また好奇心も旺盛です。「好奇心は猫を殺す主因かもしれませんが、人がしてはいけないことをしてしまうデータ漏洩の主因でもあります」とキンダーバグは述べます。これらはZTで防げますが、人を技術より優先する限り不可能です。
技術優先は、AIによるディープフェイクが台頭する現代ではより重要になっています。もはや人が人を見分けられるとは限りません。私たちは簡単に「この存在は知っている・信頼できる」と思い込まされます。信頼はもはや人に頼れず、技術だけが真実を示せます。ディープフェイク検知だけでなく、データパケットを分析し、誰が誰に何をどこから送っているかを確認して初めて信頼できるのです。
信頼は人にとって最も重要な関心事であり、ZTの根幹でもあります。キンダーバグはこの人間中心の信頼を例える話をします。「私はリビングで妻とテレビを見ていて、見知らぬ男が冷蔵庫からビールを取り出しているのを見ました。『ねえ、あのビールを取ってる男知ってる?』と妻に聞くと、『知らないわ』と。私は『まあ、冷蔵庫からビールを取れるんだから、ここにいていい人なんだろう』と答えました。」これが私たちの基準です。そこにいるから、いる権利があるはずだと。
「それで私は新しいシーツを用意してゲストルームを整えました。私たちは毎日、攻撃者に対しても同じことをしています。ネットワークに入れたからといって、そこにいて当然だと仮定してゲストルームを用意してしまうのです。『あなたはネットワークにいるべき人ですか?』と問いません。」これは自宅の守り方ではなく、ネットワークも同じであるべきです。信頼せず、必ず検証しましょう。疑わしければ110番しましょう。
過信の結果は、最小権限の原則で打ち消せます。たとえ(内部者でも盗まれた認証情報を持つ侵入者でも)ネットワークにいる権限があっても、その部分にいるべきではないかもしれませんし、冷蔵庫からビールを取る権限もないかもしれません。
私たちはその影響を見てきました。スノーデンによる情報漏洩は、NSAがBooz Allenの契約社員を過信し、管理者権限を与えたために起きました。彼は行く権限があったからそこに行け、行った先でやったことも権限があったからできたのです。これは人優先のセキュリティです。しかしゼロトラストの技術優先アプローチなら、人よりデータを重視します。そうすれば、この権限を持つ人物が不正をしていることが分かったはずです。要するに、NSAが完全なゼロトラスト環境を実装していれば、スノーデン漏洩事件は起きなかったでしょう。
キンダーバグ自身もこれを経験しています。連邦政府の仕事を依頼され、クリアランス取得が必要でした。これは標準的ですが、よく見るとクリアランスにはデータへのアクセスも含まれていました。しかし彼の作業にはデータアクセスは不要でした。「これは最小権限の第一原則に違反している。必要ないアクセス権は持つべきでない」と考え、実際にそのアクセスを与えられないように戦わなければなりませんでした。自動的に与えられそうになったからです。
「人優先」はまた、人間の怠惰な特性にも迎合します。私たちは「セキュリティが業務効率を妨げるなら、従業員は回避してしまう」と自分に言い聞かせます。しかしこれは、実は両者の怠惰です。導入側は、摩擦のない適切なゼロトラスト制御を探したり開発したりする努力を惜しみ、利用者側は「仕事を進めたいだけ」と自分の怠惰を正当化します。導入側にはシステム設計のさらなる努力が、利用者側には怠惰の危険性を認識させるセキュリティ教育(場合によっては違反時の制裁)が必要です。
ZTに対応した技術の準備も困難です。多くのアプリケーションはZTを想定して作られていないからです。「多くの古いプログラムは現代のセキュリティと相性が悪い」とJ Stephen Kowski(SlashNextフィールドCTO)はコメントします。「そのため企業は、セキュリティを保つか業務効率を保つかの板挟みになります。」セキュリティリーダーは、利用可能なソフトウェアが選択肢を与えないため、バランスを取らざるを得ません。「厳しくしすぎると自分たちの業務も妨げますが、緩すぎるとリスクが高まります。」しかしその「バランス」を取ること自体がZTの本質―何も信頼せず、すべてを検証する―を損ないます。
問題は古いソフトウェアに限りません。今や新しいアプリケーションがAIを謳うのと同様、ゼロトラストの概念も製品マーケティングに組み込まれています。「多くのベンダーが組織を誤解させてきました」とNegin Aminian(Menlo Securityサイバーセキュリティ戦略シニアマネージャー)は言います。「長年、ゼロトラストは『AI』のようなサイバーセキュリティのバズワードでした。ベンダーは製品名にゼロトラストを加えましたが、実際の技術構成はゼロトラストの実装を困難にしたり、原則に従っていなかったりしました。」
ブラウザも追加の問題です。「現在、ほとんどの業務はブラウザ上で行われ、重要な業務アプリケーションへのアクセスも含まれます」とAminianは続けます。「しかし多くの組織はブラウザにゼロトラスト原則を適用しておらず、これが継続的な侵害につながっています。」これは、技術よりも人やブラウザへの容易なアクセスの欲求を優先した典型例です。
難しいのです。ゼロトラストのために一歩余分に踏み出すのは、誰にとっても非常に困難です。しかしキンダーバグはセキュリティ専門家に向けて別の話をします。「私はDan Kaminskyの『これが難しいと言う人の話はもう聞かない。サイバーセキュリティは難しいし、私たちはその道を選んだ。だからこの仕事をしているなら、難しいことを崇拝すべきだ。もしその覚悟がないなら、別の仕事に就くべきだ』という言葉を覚えています。」
「ゼロトラストは単なる予防策ではなく、何か問題が起きた時(起きないのではなく、起きた時)に被害範囲を限定するためのものです」とCragleは提案します。「玉ねぎのように、アイデンティティ、デバイス、ワークロード、データの周りに多層の制御を施すほど、攻撃者の侵入は困難になります。しかし、1層でも怠れば、攻撃者は自由に動き回れます。だからこそゼロトラストは、境界やアイデンティティ層だけでなく、すべての層に適用して初めて機能するのです。」
これらの層は、過信(最小権限ルールの徹底で抑制)、ユーザーの怠惰(セキュリティ意識向上教育で対策)といった人間的要素を打ち消す必要があります。「ゼロトラストへの転換には、ユーザーの受け入れと継続的な教育、そして継続的な監視が必要です。一度設定して終わり、というものではありません」とNick Emanuel(Panaseerプロダクトマネジメントディレクター)は警告します。
「ゼロトラストは、正しい人間が、正しいアカウントで、正しい場所から、正しいハードウェアやシステムで、正しいサービスにアクセスしていることを確実にする機会をもたらしました」とTrey Ford(Bugcrowd CISO)は述べます。
「簡単そうに聞こえますが、実際に導入するのは見た目以上にずっと大変です。正しくやるには多くの人手、時間、資金が必要です」とKowskiは付け加えます。
ゼロトラスト15周年を迎えて
キンダーバグはゼロトラストの核心原則を放棄せず、導入しやすくするために妥協もしません。ゼロトラストに妥協はありません。しかし彼は、実際の導入率は一般に思われているより高いと考えています。「ゼロトラスト市場規模は300億ドルと算出されています」と彼はコメントします。「私は、かつてフィリップ王配も利用したロンドンの名門クラブでゼロトラストについて講演を依頼されたこともあります(私はネブラスカの農家出身で、こんなことが起きるとは思いませんでした)。経営層全体に、技術者だけでなく大きな熱意があります。」
普及が遅いように見える理由は2つあると彼は推測します。ゼロトラストを迅速かつ完全に導入するリソースがない企業が何百万もあること、そしてメディアは失敗した攻撃しか報道せず、阻止された攻撃は報道しないことです。そのため、部分的・不十分・未導入で失敗した事例しか耳に入らず、ゼロトラストで防げた攻撃は知られません。「これは規模の問題です」と彼は付け加えます。「率直に言って、大多数の組織はいまだに20世紀型の境界ベースネットワークを運用し、セキュリティ制御のポリシーも不十分です。例えば、ファイアウォールを検証なしで全許可にしてしまうような状態です。」
ゼロトラストが失敗しているのではなく、ゼロトラストの導入がまだ完了していないだけです。しかしキンダーバグは全く悲観していません。「ポリシーはパケットに基づいて強制すべきです。パケットは人ではありません。私たちは、デジタル世界に持ち込んだ人間的なバイアスを時間をかけて変え、排除していく必要があります。それには長い時間がかかります。私は最初から早く進むとは思っていませんでした。むしろ、これまでの普及の速さには驚いています。」
デジタル世界を変えようとするとき、15年は決して長い時間ではありません。
翻訳元: https://www.securityweek.com/zero-trust-is-15-years-old-why-full-adoption-is-worth-the-struggle/