「ゼロトラスト」3つの“誤解” どのように考え、企業内で検討していくべきか：ニューノーマル時代のセキュリティ（2/3 ページ）

[神野光祐（PwCコンサルティング合同会社），ITmedia]

2.ゼロトラスト化は、製品導入だけで成し遂げられるものではない

　冒頭でも述べたが、ゼロトラストは、正確には「ゼロトラスト・アーキテクチャ」と呼ばれる通り、特定の製品を指すのでなく「アーキテクチャ」、つまり概念だ。参考までに、ゼロトラストを実現し得る製品の組み合わせの例を示す（図1）。

（図1）ゼロトラスト・アーキテクチャを構成する製品の組み合わせの例（出所: PwC）

　「端末における検知・対応能力を上げるためにEDRを導入する」「クラウドコンプライアンスを強化するためにCASBを導入する」などのように、「ゼロトラスト化したいから何かを導入する」といった製品とのひも付きがあるわけではない。どのような製品を組み合わせ、どこまで厳密にこの概念を実現するかの検討が必要なのだ。最終的には製品の導入によって達成されることは間違いないが、それにあたり自社で考えるべき・決めるべき事項が多岐にわたり存在している。

（図2）ゼロトラスト化を検討する際の視点（出所: PwC）

　ゼロトラスト化を検討する際の視点（図2）を説明していく。まず（1）実現方法・対象については、現状、自社にどのような製品・機能が存在し、継続利用が可能かどうか、逆に足りていない製品・機能がないかを明確にし、何を、いつ、どのように実現するかを決定する。

　ゼロトラスト対応をうたう製品には、複数機能を製品群（スイート）として提供可能なものもある。そうした製品では、各機能のレベルが専業／専用製品に大きく劣らないかどうか、既存製品との互換性は十分か、といった視点で検証することも必要だ。

　また、ゼロトラストでは、ネットワークベースでの認証・認可が基本的になくなるため、（2）のユーザー、（3）のデバイスを認証・認可のよりどころとする。そのため、十分強固な認証方法（多要素認証やコンテキスト・リスクベース認証）、認証情報やデバイスの保護、そして一連のプロセスの信頼性を確保する仕組みなども検討が必要だ。

　（4）の監視・運用については、ゼロトラスト化により大きく変わる可能性に留意すべきだ。現状インターネットゲートウェイに設置している製品がクラウドベースのものに置き換わる場合、監視・運用がどう変わるかを考えておく。例えば、IDやデバイスの維持管理、アノマリー検出時の対応、あるいは相関分析を含むログの監視などが該当する。加えて、ネットワークベースの監視が機能しなくなる可能性を踏まえ、不正検出の方法を要員や費用を含めて検討する必要がある。

　重要なのは、各企業の現有資産やリスク許容度、解決したい課題等を踏まえてゼロトラスト化を考えていくことだ。深い検討無しに製品導入を進めてしまうと、後々解決したい課題が出てきた際に対応ができなかったり、思わぬ追加コストを強いられたりする可能性がある。