複雑化・巧妙化するサイバー攻撃に対抗するうえで欠かせない戦略として提唱されてきたゼロトラスト。しかし完全実装できているのは大企業でも1%に満たないのが実態だという。また、ゼロトラストがもてはやされるあまり、過剰投資になっている企業もあると専門家は指摘する。攻撃側がゼロトラストを警戒して手口をシフトさせる傾向も浮上している。
調査会社である米Gartnerが1月に発表したレポートによると、現時点で成熟した実効性のあるゼロトラストプログラムを実装できているのは、大企業でもわずか1%未満。2026年までに実装できる大企業も10%にとどまる見通しだという。
ゼロトラストとは、ユーザーやデバイスを常に検証し、必要とする範囲のみのアクセス権を与えることで、リスクの低減と攻撃の影響の抑制を図るセキュリティ対策。コロナ禍で在宅勤務が増える中、分散したユーザーを会社のネットワークにセキュアにアクセスさせる手段として注目が高まった。
今、ゼロトラストは誇大宣伝から現実へと移行しつつあるとGartnerは言う。Cloud Security Allianceが22年に行った調査では、調査対象とした組織の94%がゼロトラスト戦略を導入しているか、導入の途上にあると答え、77%は今後1年で投資を増やすと回答した。
Gartnerの予想でも、25年までに60%を超える組織でセキュリティ対策の出発点としてゼロトラストの採用が見込まれる。ただしその半数以上は、有効活用できないだろうと同社アナリストは指摘する。
「ゼロトラストを巡るマーケティング圧力や誇大宣伝の影響で、セキュリティ担当者が圧倒され、テクニカルな現実をビジネス上の恩恵に結び付けようとして苦慮している」(Gartnerアナリストのジョン・ワッツさん)
また、ゼロトラストがもてはやされるあまり、一部の企業の間では「過剰投資、過剰重視」の傾向がみられるという。
ゼロトラストの導入規模は、個々の組織のニーズや目標によって異なる。ワッツさんはITニュースサイトCRNの取材に対し、ほとんどの企業はIT大手のようにゼロトラストに多額を投じる必要はないかもしれないと説明。ゼロトラストで守るべき重点リスクを見極めて、段階的な対策を講じるようアドバイスした。必ずしもゼロトラストプラットフォームの一部ではないスタンドアロンツールで対応できることもあるとしている。
さらに、ゼロトラストでは対応できない問題への対策がおろそかになるリスクもある。ゼロトラストは万能ではなく、あらゆる種類の攻撃に対応できるわけではない。対応できるのは、ユーザーやデバイスに対する暗黙の信頼を悪用してマルウェアに感染させ、ネットワーク内部を移動しながら攻撃を展開する手口だ。
しかしGartnerによれば、ゼロトラストによって侵入が難しくなり、ネットワーク内部で動き回ることが難しくなっていることを受け、攻撃者の挙動が変化しはじめているという。26年までにはサイバー攻撃の半数以上が手口を切り替え、ゼロトラストの守備範囲外の分野に狙いを定めてくるとGartnerは予想する。
具体的には、一般に公開されているAPIをスキャンして悪用したり、ソーシャルエンジニアリングの手口で従業員をだましたり、従業員がゼロトラストの厳格なポリシーを迂回(うかい)するために自ら作り出した弱点を突くといった手口が想定される。
また20年に発生した、政府機関や大企業が使っている米SolarWinds製の管理ソフトが狙われたサプライチェーン攻撃のような手口にも警戒が必要だ。SolarWinds攻撃のように、更新プログラムを通じてアプリケーションを侵害するような手口は、ゼロトラストでは解決できない。Gartnerは実際にサプライチェーン攻撃やAPIベース攻撃に切り替える攻撃者は増えていると指摘する。
「ゼロトラストは全てのセキュリティニーズを解決できるわけではない。最高情報セキュリティ責任者やリスク管理者は、継続的な脅威露出管理(CTEM)プログラムを実行し、ゼロトラストの範囲を越えた脅威への態勢を整える必要がある」(Gartner)
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR