「ゼロトラストセキュリティ」ってどこから始めればいいの? 最初に押さえたい“基本のき”を解説ITmedia Security Week 2020冬

近頃セキュリティ業界で流行る言葉と言えば「ゼロトラスト」だ。いろいろな説明が飛び交うが、そこで本当に求められていることとは何なのか。そしてゼロトラストに至る道はどこにあるのか。パロンゴの林達也氏が解説した。

» 2020年12月17日 14時00分 公開
[高橋睦美ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 昨今、サイバーセキュリティ業界のあちこちで耳にするようになったキーワードが「ゼロトラスト」だ。だが、そこで本当に求められるものは具体的に何なのだろうか。

 セキュリティに長年関わり、現在はセキュリティサービス企業パロンゴの最高技術責任者を務める林 達也氏は、アイティメディア主催のオンラインイベント「ITmedia Security Week 2020冬」において「精緻化するセキュリティ環境における認証管理の重要性―ゼロトラストの幻想を超えて―」と題するセッションを開催した。同氏は、「攻撃者優位の未成熟な世界」において安全を守るために何が必要か、今や必要不可欠なアイデンティティーマネジメントや認証といった技術にどう向き合うべきかを解説した。

ゼロトラストは「性善説から性悪説への移行」ではない

 あちらの記事でもこちらのセミナーでも「ゼロトラスト」という言葉が踊り、まるで「ゼロトラストがあればセキュリティのさまざまな課題が解決できる」と言わんばかりの勢いだ。だが林氏は「極端から極端に、つまり境界防御からゼロトラストにいきなり行くことは不可能だ」と指摘した。同氏によれば、ゼロトラストの実現には「自分たちで頭を使い、できること、やるべきことをやっていく」という、果てしない“坂”を上るような地道でつらい作業が必要だという。

パロンゴの林達也氏

 そもそもなぜゼロトラストという言葉が注目されているのだろうか。われわれは昔も今も、攻撃する側の動きに合わせて守る者が都度対応しなければならない、いわば“攻撃者優位”の世界にあり、後手に回っていることに変わりはない。

 「かつて(ネットワークがまだ小規模だった時代)、人や計算機資源といったリソースは今とは比べものにならないほど少なく、低コストで簡単かつ効果的に実施できるセキュリティ対策として、境界防御が選択されてきた。だが、今は状況が変わり、われわれはクラウドサービスをはじめとする大きな力を手に入れている。そこでようやくゼロトラストの話ができるようになった」(林氏)

 では改めて、ゼロトラストとは何だろうか。林氏は「ゼロトラストは、性善説から性悪説への移行だといわれることもあるが、これは誤解だ。自分の認識では、ゼロトラストとは『ゼロからトラストを構築する』という話にすぎない。その本質は『レベルとアセスメントの精緻化』『管理と制御の高精細化』だと思う」と話す。

 同氏は、ゼロトラストの理解に役立つ参考文献として、その考え方が世に広まるきっかけとなったGoogleの『Beyond Corp』や、オライリーが出版した『ゼロトラストネットワーク』、米国国立標準技術研究所(NIST)がゼロトラストのアーキテクチャについて発行した文書「NIST SP800-207 Zero Trust Architecture」などを挙げた。

ゼロトラストを構成する重要な4つの要素をおさらい

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ