セキュリティの未来が「どこ」ではなく「誰」から始まる理由

長い間、サイバーセキュリティはとてもシンプルでした。境界を守れば、内側は安全であるはずだ――。ファイアウォール、DMZ、VPN。これらが定番のツールでした。当時はそれで機能していました。アプリはデータセンターにあり、誰もがオフィスに出社していたからです。しかし、その世界は多くの企業が気づく前に消えてしまいました。

リモートワーク、クラウド導入、分散アプリケーションが、ネットワークの境界を少しずつ溶かしていきました。そして攻撃者は、防御側が適応するよりずっと前から、その隙を突いていました。Verizonの年次Data Breach Investigations Reportは、現代の侵害の大部分――しばしば80%超――がネットワークの欠陥ではなく、侵害された認証情報に関係していることを繰り返し示しています。

この数字は多くを物語っています。境界は単に移動したのではなく、アイデンティティを中心に崩壊したのです。

旧来の境界：強固な壁、脆い前提

従来のセキュリティは、ある前提を置いていました。「ネットワークの内側にいるなら信頼できる」。

その前提は、オフィスが閉じた環境で、システムが単一の管理されたゲートウェイの背後にあった時代には成り立ちました。しかしMicrosoftがDigital Defense Reportで強調しているように、攻撃者はほぼ完全にアイデンティティベースの攻撃へ移行しました。認証情報を盗むほうが、ファイアウォールを攻略するよりはるかに大きなアクセスを得られるからです。

言い換えれば、攻撃者は侵入を試みるのをやめました。単にログインするようになったのです。

クラウド＋リモートワーク＝境界なし

いまやリモートワークとクラウドによって、実質的な境界は存在しません。人々は自宅のWi‑Fi、個人のノートPC、空港、カフェ――あらゆる場所から接続します。同時に、企業のデータやワークロードはAWS、Azure、Google Cloud、そしてさまざまなSaaSプラットフォームに分散しています。古いルールは、もはや当てはまりません。

もはや単一の「内側」はありません。あるのはアイデンティティ――リクエストの背後にいるユーザーだけです。

そのため、NISTのZero Trust Architecture guidelines (SP 800-207)を含む現代のセキュリティフレームワークは、ネットワークではなくアイデンティティを主要な制御点として重視しています。

アイデンティティはいまや主要な攻撃対象領域

アイデンティティは利便性をもたらしますが、同時に複雑さももたらします。そして複雑さは攻撃者を引き寄せます。

• 人はパスワードを使い回します。
• MFA疲労攻撃は、驚くほど頻繁に成功します。
• 特権アカウントは過剰に付与されがちです。請負業者がプロジェクト終了後も長くアクセス権を持ち続けることがあります。
• サービスアカウントが、所有者不在のまま増殖します。

Oktaの最新State of Identity Security reportは、アイデンティティの悪用が企業における最も急速に増加している攻撃ベクトルの1つになっていると指摘しています。

アイデンティティは、もはや単なるログイン手順ではありません。いまや攻撃者の最初の標的です。

ゼロトラストは、最初に施錠すべき扉をアイデンティティにした

ゼロトラストは偏執ではありません。検証です。「決して信頼せず、常に検証する」が成り立つのは、あらゆるアクセス判断の中心にアイデンティティがある場合だけです。

だからこそCISAのzero trust maturity modelは、アイデンティティを、ネットワークセグメンテーション、データセキュリティ、デバイスポスチャ、オートメーションを含む他のすべてのゼロトラストの柱が依拠する基盤として位置づけています。

強固なアイデンティティベースの境界には、次の要素が含まれます。

• あらゆる場所でのMFA
• パスワード疲労を減らすためのSSO
• ロールベースのアクセス制御
• 特権アクセス管理（PAM）
• ユーザーのアイデンティティに紐づいたデバイストラスト
• ユーザー行動の継続的な監視
• 適応型のリスクベースアクセス・ポリシー

これは未来の話ではありません――今日求められていることです。

アイデンティティを正しく運用するには、本物の規律が必要

アイデンティティが境界になるなら、それは後回しにはできません。中核インフラとして扱う必要があります。つまり、次のことを意味します。

• アイデンティティは、寄せ集めではなく設計されなければならない。 ライフサイクルのプロセスは合理化され、入社・異動・退職（Joiners/Movers/Leavers）は厳格に管理される必要があります。
• 特権は、最初から与えるものではなく、獲得するものであるべきだ。 過剰なアクセスは、依然として侵害の主要因の1つです。
• 認証方式は毎年進化させる必要がある。 固定的なMFAポリシーでは、動的な脅威に耐えられません。
• 監視はネットワークではなく行動を追うべきだ。 不審な活動は、トラフィックの流れではなくユーザーのパターンに隠れることがよくあります。
• アイデンティティのオーナーシップは、セキュリティ、IT、事業部門で共有されなければならない。 誰も責任を負わなければ、アイデンティティは成功しません。

Gartnerはこの変化を何年も強調しており、CISOやエンタープライズアーキテクト向けの複数の調査出版物で、アイデンティティを「新しいセキュリティ境界」と呼んでいます

次に向かう先

アイデンティティはすでに現代のサイバーセキュリティの中心にありますが、その役割は今後さらに強まっていきます。今後数年で：

• パスワードは、パスキーや生体認証へと置き換わり、徐々に姿を消していくでしょう。
• 機械のアイデンティティは、人間のアイデンティティと同じくらい重要になります。
• アクセス判断は、行動に基づいてリアルタイムに適応するようになります。
• アイデンティティ基盤は、企業セキュリティの中枢神経系になります。
• ゼロトラストは、アーキテクチャ図から日常の実践へと成熟します。

強固なアイデンティティ基盤に投資する組織は、セキュリティを改善するだけではありません。運用、コンプライアンス、レジリエンス、そして信頼も向上させます。なぜなら、アイデンティティが堅牢であれば、他のすべてがより明確になるからです。誰が何にアクセスできるのか、誰が何に責任を持つのか、そしてリスクが実際にどこに存在するのか。

苦戦する企業は、もはや存在しない世界――何年も前に消えた境界――を守ろうとしている企業でしょう。

アイデンティティは、単に新しい境界ではありません。

それは、新しい始まりです。

いま、すべてはここから始まります。

この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加したいですか？