“ゼロトラスト”は死んだ？ ノークリサーチ岩上氏に聞く「セキュリティの現在地と現実解」：輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜（3）

最近、「ゼロトラスト」という語をあまり聞かなくなったと感じる読者もいるだろう。ノークリサーチ岩上氏にその理由と背景を聞いたところ、システムへの侵入という最悪の事態を防ぐために今すべきことが明らかになった。

[PR／ITmedia]

PR

　コロナ禍による非対面化の進行とSaaS（Software as a Service）の普及の影響で、企業内外のネットワークから重要データへのアクセスが増加した。その結果、企業の“内”と“外”で安全を定義するのではなく、基本的に誰も信用せず厳密な認証・認可によってシステムへのアクセスをコントロールする“ゼロトラストアーキテクチャ”構築の重要性が叫ばれて久しい。

　しかし、コロナ禍真っただ中でテレワークシフトが盛んだった頃と比較すると“ゼロトラスト”という語を聞かなくなったと感じる情報システム部門の担当者もいるはずだ。

　「輝ける情シスになるためには何が必要か〜求められる人材に変化しよう〜」は、情報システム部門担当者に寄り添い、変革のヒントを届ける連載企画だ。第3回となる本稿は、中堅・中小企業の情報システム事情に詳しいノークリサーチの岩上由高氏（シニアアナリスト）を招き、「ゼロトラストの現在地と、今こそ情報システム部門がやるべきこと」を聞いた。

耳にしなくなった「ゼロトラスト」　単なるバズワードだったのか？

　最近、“ゼロトラスト”という言葉を聞かなくなってきている。この言葉もあまたあるバズワードの一つにすぎず、このままフェードアウトするのか。岩上氏にこの疑問をぶつけたところ、次のような答えが返ってきた。

ノークリサーチの岩上由高氏

　「私は、ゼロトラストの取り組みが下火になったわけではなく具体論に入りつつあると認識しています。確かにこの言葉は一時期よりは見掛けなくなりました。その理由の一つはゼロトラストという語が抽象的であるため、よく理解されていない点です。もう一つは、“誰も信用しない”という概念や姿勢を表すゼロトラストという語が具体的なセキュリティ製品とどのように結び付くのかが分かりにくいという点でしょう」

　ノークリサーチが2022年2月21日に公表した「2021年版 中堅・中小企業のセキュリティ・運用管理・バックアップに関する今後のニーズとベンダ別導入意向レポート」（注1）によれば、サーバやネットワークを対象にしたセキュリティ対策方針で「ゼロトラストの考え方に沿って刷新／更新する」と回答した割合は4.0％（1300社中）だった。

　同社が2021年8月24日に公表した「2021年版中堅・中小向け5G/ネットワーク関連サービスの展望レポート」（注2）によれば、5G／ネットワーク関連サービスを活用する際の基本的方針において「社内ネットワークも安全ではないという前提に立つ」と回答した割合は14.9％（700社中）となった。

　岩上氏はこれらの結果に基づいて「『ゼロトラスト』という抽象的な言葉よりも『社内ネットワークも安全ではないという前提に立つ』のように具体的な取り組みを明記した方がイメージしやすいという傾向が見て取れる」と述べた。

　もう一つの「ゼロトラストが具体的にどのようなセキュリティ製品と結び付くのかが分かりにくい」について、岩上氏は以下のように推測する。

　「ゼロトラストの名を冠したセキュリティ製品やサービスが乱立していますが、ある立場からは『ゼロトラストとはVPN（Virtual Private Network）に代わるものだ』と発信される一方で、別の立場からは『ゼロトラストとはクラウドを統制するものだ』という主張もあります。多くの企業はゼロトラストに取り組みたいと考えているはずですが、具体的に取り組む段階で何から始めればいいのかが分からず、身動きが取れないのではないでしょうか」

　ゼロトラストの構成要素は多岐にわたるため、エンドポイントからクラウドまで全ての領域をカバーしなければならないと考えるのも無理はない。これらを全てカバーするには膨大な費用と運用の手間が掛かるため、「『ゼロトラスト疲れ』を招く可能性もあります」と岩上氏は推測する。

　一部の企業の間では「ゼロトラストとは、既存のセキュリティ対策を全否定して新たに製品を導入することだ」という誤解が広まっている。ゼロトラストに対する理解が浅いために余計なコストが掛かる可能性があるわけだ。

　ゼロトラストネットワークあるいはゼロトラストアーキテクチャの構築に当たっては、最初に緻密なグランドデザインを描くことが重要だといわれる。しかし、そのためには高度なセキュリティナレッジに基づいた設計能力が求められる。そもそもセキュリティ人材が不足している情報システム部門にとって、ゼロトラストの構築には高いハードルが存在する。

リソースやコストがないなら、セキュリティ強化対象を思い切って絞ろう

　ランサムウェア攻撃など高度化する外部脅威は、今や企業規模を問わず避けては通れない問題だ。対抗策としてゼロトラストを構築するときに何から始めるのが適切なのか。

　岩上氏は「情報システム部門はいろいろな情報に振り回されず、ゼロトラストをシンプルに考えましょう。社内外問わず、アクセス時には常に認証する（誰も信じない）原則を念頭に置いてください。『セキュリティ製品がたくさんあって混乱してしまう』という場合にはまずは対象領域を『業務システム』（サーバ側）と『エンドポイント』（PC／スマートデバイス側）の2つに絞って、これらのあるべき姿を考えてみることから始めると良いでしょう」

　では、あるべき姿とは具体的に何を指すのか。岩上氏によれば、ゼロトラストの原則に従って「業務システム」（サーバ側）と「エンドポイント」（PC／スマートデバイス側）は社内外で利用できるようにすることが理想だ。同氏は「コロナ禍の状況は変動しており、テレワークか出社かの判断もその都度変わるかもしれません。ただ、電力不足や自然災害など出社できない事態はいろいろあるため、テレワークを前提にしたセキュリティ対策を講じる必要性は依然高いと思います」と話す。

　業務システム（サーバ側）については、必要とする業務システムがSaaSで実現可能であるならば、SaaSを導入してエンドポイントから直接接続することが有効な解決策になると岩上氏は指摘する。SaaSと聞くと、全社で水平展開するグループウェアや電子メール基盤が思い浮かぶが、最近は業界特化型のSaaSも出てきた。「特殊な業務だからSaaSは存在しない」と思い込まず、まずは探してみることだ。コストやシステム運用を考えると、中堅・中小企業ほどSaaS選択が最善策になる。

　エンドポイント（PC／スマートデバイス側）については、会社が支給するPCやモバイルデバイスを社内外で利用できるようにするのが現実解だ。VDI（Virtual Desktop Infrastructure）やデータレスPCなどは情報漏えいを防ぐという意味では分があるが、これらで現在利用しているPC環境を忠実に再現できるかどうかは入念な検証が必要になるため、情報システム部門に高い業務負荷が掛かる。VDIやデータレスPCは一般的なPCに比べると割高感が高く、コストメリットも出しにくい。個人所有のPCではセキュリティ確保が難しい。従って、間を取って会社支給のPCが現実解となる。

　これらの推奨策を見ると、岩上氏は「シンプルに考えること」「現実解」「実現可能性」を重視しているようだ。リモートアクセスをやめてSaaSを導入すれば、境界防御の考えから脱してゼロトラストに近づく。ネットワーク出入り口の“混雑”が原因でエンドユーザーのパフォーマンスが落ちる事態を回避できるというメリットもある。支給PCを利用することでユーザーが慣れ親しんだ操作環境が継続し、余計なストレスを抑制できる。

何を置いても守るべきはユーザーID　体系の簡素化に着手せよ

　では、業務システム（サーバ側）とエンドポイント（PC／スマートデバイス側）のあるべき姿に沿ったセキュリティ対策として何が重要なのか。岩上氏は「ID管理、特にユーザーIDの管理が要になる」と話す。

　ユーザーIDはシステムにアクセスする正式な権限であり、詐取された場合、サイバー攻撃者にとってこれほど楽な侵入手口はない。攻撃者がシステム内部を自由に動き回り、データの改ざんや抜き取りなどが可能になってしまう。守る側としては絶対に避けたいところだ。

　ノークリサーチの調査によれば、ID管理ができていない企業はそうでない企業と比較して社外持ち出し端末のデータ漏えいを心配している。こうした点からも、ID管理はエンドポイント保護でなくてはならないソリューションだといえる。

エンドポイント管理／運用における課題。青い棒グラフが全体の調査結果、オレンジの棒グラフがID管理や認証処理が散在して管理できていない企業の調査結果（出典：ノークリサーチ「2022年版 サーバ＆エンドポイントにおけるITインフラ導入/運用の実態と展望レポート」）

　岩上氏は、ユーザーID管理はまずIDの棚卸しと簡素化から始めることが肝要だと言う。「システム利用が増加すると、その都度新しいユーザーIDを付与しがちです。同じ従業員に複数のユーザーIDを割り振っていないでしょうか。『ウチは従業員が100人程度だから心配はない』と思われるかもしれませんが、1人がユーザーIDを4つ保有していれば、従業員が400人いるのと同じことです。それだけ敵の攻撃チャンスを増やしてしまうわけです。ぜひID体系の簡素化に着手してください」

　休眠状態にあるユーザーIDを洗い出して削除することも重要だ。退職者のIDを残したり、管理者IDや共用IDをむやみに作ってそのまま放置したりすればそれだけ攻撃者に隙を与える。

　岩上氏によれば、IDの管理、統合によって従業員がどのようにシステムを利用しているかを把握できる。ゼロトラストのグランドデザインを描く上でスタート地点になるという意味でも非常に重要だ。

　ユーザーIDを整理できたら、次にすべきはID管理基盤の検討だ。これが中堅・中小企業におけるゼロトラスト適用の「仕上げ」となる。その詳細は次回詳しくお伝えする。

（注1）「2021年版 中堅・中小企業のセキュリティ・運用管理・バックアップに関する今後のニーズとベンダ別導入意向レポート」

（注2）「2021年版中堅・中小向け5G/ネットワーク関連サービスの展望レポート」