ゼロトラストとは何か？

ゼロトラストが注目される背景としては、従来の境界型セキュリティ・モデルの限界が挙げられます。従来の静的で暗黙的な信頼モデルである境界型セキュリティの主要な考え方には次のような点があります。

• 社内ネットワークの中と外を明確に分ける
• ファイアウォールで外部からの攻撃を防ぐ
• 内部にいれば「信頼できる」と暗黙的に仮定

つまり、従来の境界型セキュリティ・モデルでは、社内IPアドレスを持つデバイスは信頼され、一度認証されたユーザーは、その後のアクセスを自由に許可されます。そして、内部システム間の通信は基本的に制限しません。このようなセキュリティでの下では、次のようなセキュリティ・リスクが存在することになります。

•   内部ネットワークを信頼する前提が攻撃者に悪用される
•   攻撃者が内部に侵入後、ネットワークを横断的に移動し、脆弱性を見つけ権限を昇格することが可能

また、サイバー攻撃の深刻化もゼロトラストが注目される要因となっています。ランサムウェア攻撃は2008年にほとんど見られなかったのにもかかわらず、2021年には全侵害の25%を占めるようになっています。今でも、データ破壊やデータ窃盗を含む攻撃が増加しています。

従来の境界型セキュリティ・モデルと比較して、新しい「動的で明示的な信頼モデル」であるゼロトラスト・モデルには、以下のような特徴があります。

• 「内部だから安全」という前提を持たない
•  全てのアクセスを疑わしいものとして扱う
•  複数の要素を継続的に評価して、その時々で適切なアクセス制御を行う

つまりゼロトラストという考え方では、「信頼は付与するものではなく、常に検証するもの」という考え方に基づいて、アクセスの都度、様々な要素を確認し、状況の変化に応じて信頼レベルを動的に変更します。そのため、ゼロトラストは、現代のビジネス環境（リモートワーク、クラウドサービス、モバイルデバイスの普及など）により適した、より柔軟で堅牢なセキュリティ・モデルとなっています。

ゼロトラストのアプローチは、場所に基づいて自動的に付与される暗黙的なアクセス権を排除しながら、サイバーリスクを軽減するレジリエンス、最新のビジネス機能とハイブリッド・ワークフォース、適切なアクセス方法を可能にする柔軟性をもたらします。

ゼロトラストは、サイバー脅威のリスクと影響を軽減するための最新のアプローチではありますが、だからといって、組織が抱えるすべてのセキュリティ上の課題を解決できるというわけではありません。

ゼロトラストには次のような技術的な強みと弱みがあります。

• 暗黙的な信頼を、アイデンティティとコンテキストに基づく明示的な信頼に置き換える
• アクセス可否の判断をリソースの近くで行うことで、組織内での攻撃者やマルウェアの横方向の移動を制限する
• 移動中のデータのすべてに暗号化を適用することにより、システムの機密性を強化する
• ユーザー、デバイス、場所に関係なく、一貫性のあるセキュリティ・ポスチャおよびアクセス・ポリシーの適用を推進する。それと同時に、認証レベルをリスク・レベルに見合ったものにすることで、ユーザー・フリクション (ユーザーが経験する摩擦や手間) を最小限に抑える
• エンティティをリソースに安全に接続する。これにより、安全にユーザーをアプリケーションに接続し、非ユーザーのデバイスからの接続を「許可されたリソース」のみに制限できる
• リソースを保護するための一貫性のある動的なアプローチを適用する
• どのユーザーがどのアプリケーションにアクセスしているかを可視化する。これにより、「ジャストインタイム (JIT)」と「ジャストイナフアクセス (JEA)」の原則の遵守が促進される

• 従業員が抵抗する。つまり、従業員のなかには、過度に制限されるアプローチと感じる人もいる
• 導入作業の期間が長い
• 状況判断にミスが起き、ユーザー接続が誤って切断され、ランダムまたは都合の悪いタイミングでアクセスが失われる可能性がある
• ソフトウェア・サプライチェーン攻撃の阻止、公開アプリケーションの保護、アカウント背後に正しいユーザーがいると100%保証すること、SaaSアプリケーションへのアクセスの全般的な保護、不十分なアクセス・ポリシーに対する修正／補償などには対応しない
• 自動化と適切なプロセスが根付いていないと、急速に複雑化する可能性がある
• 重要なアクセスに対して迅速に実行できるように適切に開発された例外プロセスが必要
• PDP（Policy Decision Point） が単一の制御点であり、侵害される恐れがある
• 技術的負債が、ゼロトラストの組織全体への導入を妨げる可能性がある

ゼロトラストとは簡単に言い換えると、安易に信用 (トラスト) すべきではないという考え方です。そのために、継続的に可視化、検証する必要がありますが、それを実現する手法やテクノロジは多岐にわたります。

ゼロトラストを狭い視野のまま進めようとすると、個別視点 (サイロ) に偏り、合理性に欠く取り組みにつながるため、セキュリティを管理するリーダーは常に視野を広げ、最新トレンドを押さえる必要があります。

ゼロトラストの名目を掲げ検討を開始したものの、いつの間にかソリューション導入が目的化してしまう組織も少なくないため、「誰の何が良くなるのか」を念頭に置き、セキュリティの取り組みを進める必要があります。

ゼロトラスト導入には、全体最適や運用効率の最大化の視点が欠かせないため、戦略的なゼロトラストのためのアーキテクチャ（ゼロトラスト・アーキテクチャ）の議論が重要になります (例：サイバーセキュリティ・メッシュ)。そうした全体最適の実現のためには、市場変化を踏まえた実践的な議論として、ベンダーの整理統合の議論や動向もつかんでおく必要があります。

ゼロトラストは、孤立した環境で実装されるべきではないことを念頭におく必要があります。ゼロトラストは、アイデンティティ／アクセス管理 (IAM)、フィッシング防止と意識向上、データセキュリティ、コンプライアンス、セキュリティ運用などのプログラム要素を含む強固なセキュリティ・プログラムを排除する必要もありません。特定のベンダーの実装を評価するのではなく、ゼロトラストを戦略的なプログラム実装の観点からどのように取り組むか、また、ゼロトラストを実現するための将来的な目標に達成するために必要なステップについて理解する必要があります。

ゼロトラスト・アーキテクチャへの移行は、すべての既存テクノロジを置き換えることを意味するわけではなく、多くの既存テクノロジは新たな構成によって、ゼロトラスト・アーキテクチャへの移行をサポートすることができます。

企業がゼロトラスト戦略を策定する際には、プロセスを検証し、導くための一連の原則が必要です。しかし世界では、さまざまなゼロトラストの原則が存在する一方で、シンプルで一般的に合意されたゼロトラストの原則がないことに対する不満の声もあります。

ガートナーではセキュリティとリスク管理のリーダーが、組織のゼロトラスト戦略を前進させるために役立つゼロトラストの5つの基本原則を提唱します。

ゼロトラストの基本原則

1. ゼロトラストはパラダイムである
2. 敵対的な行為者の存在を想定する
3. アイデンティティを確立する
4. アクセス制限
5. リスク・ベースのアダプティブなアクセス

以下に、それぞれの原則についての目的と考慮点について説明します。企業や組織がゼロトラストのイニシアティブを推進する際には、これらの基本原則を意思決定プロセスに組み込み、ビジネスの安全性を高めるための基盤として活用できます。

目的：

ゼロトラストは、アイデンティティとコンテキスト基づいて、暗黙の信頼を、継続的に評価されるリスクと信頼レベルに置き換える。

考慮点：

• ゼロトラストは、フィッシングやデータセキュリティなどに対応する強固なセキュリティ・プログラムの必要性を排除するものではありません。
• ビジネスで使用するテクノロジを選択する際には、必要に応じてゼロトラストの原則を適用する必要があります。

目的：

サイバーセキュリティ・プログラムは、悪意のある行為者がシステムを侵害している、または侵害する可能性があることを想定して計画実行するべきである。これは、受動的な防御から能動的な防御への考え方の転換を意味する。

考慮点：

• 暗号化の成熟度を高める（暗号化すべき対象とキー管理について考慮する）

• 顧客管理の暗号鍵 (ユーザーが作成して所有する暗号鍵) を使用して、パブリック・クラウド上のすべての静止データと移動データを暗号化する

• Windowsユーザーのほとんどから管理者権限を削除する

• リソースの可視性を高めるための監視ツールを導入する
  

目的：

リソースへのアクセスは、ユーザーおよび/またはデバイスのアイデンティティによってのみ決定される。

考慮点：

• 特権アクセス管理（または最低でも多要素認証）をすべての管理者に実施する

• 「誰が、いつ、なぜ、何にアクセスすべきか」に関する組織の方針を確立する

• 入社、異動、退職、アクセス例外処理に関するアイデンティティ・ポリシーを改善する

• テクノロジを活用し、多要素認証を導入する
  

目的：

ユーザーまたはシステムは、必要な機能を実行する必要性に基づいてのみリソースにアクセスできるべきである。 リソースの価値に関連するコンテキストに基づいてアクセスを拡張する。

考慮点：

• アカウントおよびデバイスへのアクセスに必要な標準コンテキストを確立する

• ワークロードの通信について「デフォルトでは拒否、明示的に許可」モードから移行する

• 暗黙的な信頼ゾーンとユーザー・アカウントに付与された権利を削減する
  

目的：

コンテキストから導き出されるリスクに基づいて、ほぼリアルタイムでアクセスを調整する。

考慮点：

• 複数のテクノロジにわたって、リスクベースのコンテキスト情報を収集する際には、複数のベンダーとの統合が問題となる場合がある

• コンテキストの増加に基づくリスクの算出には、複数のテクノロジとの統合が必要となる

• セッション中のリスクを、1回限りのゲートチェックから継続的な評価に変更する

• ブラックボックス型のリスク分析とアクセスに関する意思決定により、誤検出とトラブルシューティングのリスクが高まるということを理解する
  

明確な戦略と入念な計画なしにゼロトラストを導入した場合、不完全な導入に時間とリソースを浪費し、誤った安心感を生み出す可能性があります。例えば、一般的な障害として、レガシー・テクノロジ、スケーラビリティ、ゼロトラスト・テクノロジの実装における統合と能力のギャップ、組織の抵抗、ビジネス・プロセスへの影響についての考慮が不十分、などが想定されます。特に、組織が「誰が何にアクセスすべきか」の正式な定義を欠き、動的な環境に適応する技術的コントロールを統合していない場合、ゼロトラスト・テクノロジの導入は、運用に多大な負荷をもたらします。

このようなゼロトラスト導入についての課題に取り組むために、ガートナーは、企業や組織の情報セキュリティの最高責任者とそのチームの皆様が、企業や組織が実行可能なゼロトラスト戦略を策定するために必要な知見をご提供いたします。ガートナーの深い専門知識によるガイダンスやツールによって、企業や組織が、重点的なユースケースにわたってリスクに対処するためのゼロトラスト戦略と要件を確立できるようにご支援いたします。