「ゼロトラスト」なら境界型防御は不要？ バズワードになって発生した“勘違い”（1/2 ページ）

[谷井将人，ITmedia]

NRIセキュアテクノロジーズの山口雅史さん（コンサルティング第一事業本部長）

　情報セキュリティ業界には約10年前に提唱された「ゼロトラストセキュリティ」という概念がある。「従来の境界型セキュリティとは違い〜〜」という語り口で紹介されているのを聞いたこともあるだろう。

　ゼロトラストと境界型の考え方が違うのは間違いない。しかし、どうやら「ゼロトラスト関連製品を導入すれば、境界型セキュリティはいらない」と勘違いしている人もいるようだ。

　今回は、NRIセキュアテクノロジーズの山口雅史さん（コンサルティング第一事業本部長）に、ゼロトラストセキュリティに関する勘違いについて聞いた。

マスクと薬は両方必要

　ゼロトラストという概念の説明としてよくあるのは以下のような文章だ。

　「従来の境界型セキュリティは、システムの内外を区切り、境界の内側のみを信頼するという考え方を採用している。ゼロトラストでは攻撃を完璧に防ぐのは難しいという前提で、あらゆる通信を信頼せず、常に認証・認可を行う」──。

　ゼロトラストの方が上位かのように聞こえる。それが勘違いの一つだ。ゼロトラストと境界型は役割が違うだけで上下はない。情報セキュリティ戦略はシステムの要件や導入企業の実態によって柔軟に対応すればいい。従業員の勤務形態やクラウド活用の有無、掛けられるコストと相談して戦略を立てるのが一般的だ。

　「攻撃者はさまざまな経路で侵入を試みます。まずはそれをブロックできるよう脆弱性や不正な経路が開いていないかチェックしてなくしていくのが理想です。それでも侵入される可能性があるので、ゼロトラスト関連ツールなどで検知し対応する仕組みが必要です」（山口さん）

　病原菌やウイルスなどの侵入を防ぐマスク（境界型セキュリティ）と、侵入した異物を即座に見つけて無効化・排除する薬（ゼロトラストセキュリティ）は、どちらも重要だ。

　「ハッカーは、情報セキュリティ対策ができているところには攻撃しない傾向があります。数十分試行しても穴を見つけられない場合は別の攻撃対象に移るという、経済効率性を考慮したハッキング攻撃が主流になっています」（山口さん）

　攻撃者は、対象企業のシステムをスキャンして、情報セキュリティの“穴”を探している。穴があり侵入しやすいシステムは、低労力で攻撃できる“コストパフォーマンスがいいシステム”と見なされ、攻撃を受けてしまう。境界型セキュリティでできる限り穴のないバリアを張ることは、攻撃にかかるコストを上げる対策であり、そもそも狙われにくい状況を作れる。

　泥棒が入っても大丈夫なように、家の中に監視カメラを設置し、いつでもガードマンが突入できるように控えている（ゼロトラストセキュリティ）として、鍵を掛けずに外出するだろうか。侵入されても大丈夫な仕組みがあるとしても、侵入されないに越したことはない。それが境界型セキュリティの役割でもある。