ITの世界ではいわゆる“バズワード”的な、マーケティング用語としてのキーワードがたくさんあふれています。セキュリティの世界においても幾つもの(これまでとほんの数文字変えただけの)キーワードが生まれ、そして消えていきました。
しかし、その中でも「ゼロトラストアーキテクチャ」というキーワードはバズワードを脱却し、多くの人がその根本的な重要性に気が付き始めてきたのではないかと思います。
今やクラウドサービス利用は当たり前になりました。特にSaaSは設定ミスや意図しない仕様変更などの課題も残りますが、すぐに利用できるかつ、OSやアプリ層のアップデートを事業者に任せられるので大きなメリットがあります。
クラウドサービス利用が進むことで、セキュリティの考え方は変化し始めました。脆弱性に対する終わりのないアップデートから一部解放され、クラウド時代のセキュリティ対応への移行が必要となっています。それが認証の強化であり、ポリシーの設定と言えます。これは正にゼロトラストアーキテクチャの重要な要素です。
NCSCは「オンプレミス製品の安全性を証明できなければ、SaaSを利用せよ」と提案しつつ、SaaSに対しても「特にIDプロバイダーのような重要なソリューションについては、セキュア・バイ・デザインと同レベルの安全が認められているかどうかをしっかり要求せよ」と書いています。
ここで注目したいのは、単純にオンプレミスよりもクラウドの方が安全だと断定しているわけではなく、あくまで「より安全な選択をせよ」としている点です。
この他、NCSCはオンプレミスのセルフホストサービスから移行できない場合でも、「脆弱性はコアサービスではなく、Webポータルや管理インタフェースなどの付加サービスにあることが多い」と指摘し、これらがインターネットからアクセスできないように設定を変更し、「必要がなければオフにする」「ファイアウォールでブロックする」などの対策を推奨しています。
この対策の重要性については、「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」に見つかった脆弱性が広く悪用された事例が話題になっていることからも分かります。
さて、ユーザーにとって最も重要なのは「セキュア・バイ・デザインをベンダーに強く迫る」とともに「自社の開発者に同じ基準を課す」ことです。
セキュア・バイ・デザインを目指しており、かつその進捗(しんちょく)がはっきりしているベンダーの製品を選択するだけでなく、ユーザー側からベンダーに対して繰り返しそれを要求していくことが大事でしょう。
脆弱性が報告されたときのベンダーの対応策がはっきりしなかったり、説明書にパッチや設定変更の方法がある一方で“パッチ適用前に侵害されていたかどうか”の判定方法が書かれていなかったりしたら問題です。その際、泣き寝入りするのではなく、ベンダーやシステムインテグレーターに積極的に問い合わせることは、今後の対応がより正確になる可能性もあります。
「自社の開発者に同じ基準を課す」という意味では、PSIRT(Product Security Incident Response Team)のような、自社の製品セキュリティに責任を持って対処する組織を構築する必要があるでしょう。
ほんの少し前はクラウドを利用するためにはさまざまなデータを集めて、経営層を説得する資料を作っていたかもしれません。しかし今後は「オンプレミス」を今から採用するには理由を考えなければならない時代になります。
オンプレミスはこれまでの知見をそのまま利用できるかもしれませんが、安全を確保するための最新の運用手法を取り入れ続ける必要がある他、ベンダー自身がオンプレミスへの優先度を下げていくことも想定しておくべきです。
それよりは、今からゼロトラストアーキテクチャに移行する準備を始めつつ、いかに安全なSaaSを選ぶか、SaaSベンダーを安全にしていくかに考えをシフトした方が建設的な気がします。
もしあなたがシステム管理者で、新たなシステムを構築しようとしているタイミングであれば、非常に短くまとまっているので、ぜひこのブログを一読してください。一部の大企業だけでなく、全ての企業がゼロトラストアーキテクチャの導入を検討すべきフェーズが来ているのです。
Copyright © ITmedia, Inc. All Rights Reserved.