「ゼロトラスト」って結局どうしている？ 導入済みのセキュリティ対策を進化させるポイント

[PR／ITmedia]

PR

　「ゼロトラストセキュリティ」（以下、ゼロトラスト）という考え方が一定の市民権を得た。コロナ禍でテレワークを実現するために、場所やデバイスを問わず安全に社内システムを利用する方法として情報システム部門を中心に認知が広がった考え方だ。ハイブリッドワークが主流になった今でも、ゼロトラストには関心が集まっている。

ソフトバンクの澤入俊和氏（セキュリティエバンジェリスト）

　「セキュアなリモートアクセスを実現する手段として需要が高まった“バズ期”は過ぎました。しかし、ゼロトラストという考え方はテレワークのためだけの仕組みではありません。ITシステムをセキュアなアーキテクチャに進化させる目的で、ゼロトラストの重要性は引き続き高いままです」――こう分析するのは、ソフトバンクの澤入俊和氏（セキュリティエバンジェリスト）だ。

　クラウド時代の今こそ、ゼロトラストが力を発揮する。コロナ禍に突貫工事で導入したセキュリティ対策を見直し、さらに進化させるためにもゼロトラストが重要だと澤入氏は話す。

　企業にとって今必要なセキュリティ対策は何か。対策を進化させるポイントは何か。澤入氏に解説してもらった。

生成AIやSaaSの利用が増加　リスク対策としてのゼロトラスト

　最近のトレンドとして、澤入氏は企業のクラウド利用が増えていることを挙げる。業務アプリケーションはもちろん、「ChatGPT」に代表される生成AIサービスを利用することが当たり前になった。

　クラウドは導入しやすいので、情報システム部門が許可していないサービスを利用する「シャドーIT」のリスクもある。クラウドサービスの利用状況を把握して機密情報が外部に流出する可能性がないかどうかを判断し、リスクがあれば通信をブロックするなどの対応が必要だ。その手段としてゼロトラストを構成する「SASE」（Secure Access Service Edge）が効果的だ。また、社外ネットワークとの接点が多くなったことで、サイバー攻撃の入り口が広がるなどセキュリティリスクが増大。社内と社外の境界があいまいになる状況への対応策としても引き続きSASEをはじめとしたゼロトラストが有効だ。

ゼロトラスト導入で得られた教訓　対策を成熟させるには？

　「どのようにゼロトラストを実現すべきか」「導入済みのゼロトラストを成熟させるにはどうすればいいのか」という“答え”を求める声は多い。コロナ禍前後の数年間で得られたゼロトラスト導入の教訓を振り返ることで、注意点や正攻法が見えてくる。

　「コロナ禍では目の前にある課題を解決するためにゼロトラストセキュリティの構築を掲げて、SASEやIDaaS、EDRなどのソリューションを付け焼き刃的に導入するケースが目立ちました。これでは短期的には効果があっても、後から新たな課題が浮上してしまいます。部分的な導入にとどまっていると他のセキュリティ対策とのバランスが取れず、企業全体のセキュリティレベルの向上にどこまで寄与できているのか疑問です」

　場当たり的な取り組みでは、投資に見合った効果は得られないということだ。ゼロトラスト導入の王道は、境界型防御だけに頼るのではなく、どのような通信も信用しないという前提でアクセス権限を制御するアプローチだ。その上で、企業の事情に合わせてアップデートすることで対策が成熟する。目指すべき姿はゼロトラストのガイドラインである「NIST SP800-207」やCISAの「ゼロトラスト成熟度モデル」で示されている。

「成熟度モデルは登山のようなもの」

　情報システム部の担当者が考えるべきは、この道筋を自社の状況に合わせてどう具体化し、ソリューションに落とし込んでいくかだ。

　セキュリティベンダーが積極的に情報を発信しているが、「これだけ導入すれば万全です」など、ベンダーによってメッセージが異なっているのも導入企業の担当者が混乱する要因だ。ベンダーの都合ありきになっていないか注意する必要があると澤入氏はアドバイスする。

　ゼロトラストとは何か1つの製品やソリューションを導入すれば実現できるというものではない。セキュリティアーキテクチャ全体にまたがる話で、自社のセキュリティ対策をどのように構築するか、成熟させるかを考えることが重要だ。澤入氏は「唯一の正解」は存在しないと言い切る。

　「ゼロトラストの成熟度モデルは登山に例えられます。富士山に登るときは静岡側から登っても山梨側からでも頂上に着けます。どの登山道から登り始めるにしても、目指すゴールとして頂上を見据え、登山計画を練ることは変わりません。ここでいう頂上が、対策が成熟した状態です」

　ゼロトラスト導入の目的は企業によって異なる。目標を立てて、そこに向けたステップを定義し、優先順位を付けて取り組むことが肝心だ。こうすることで目標に対する達成度が把握しやすくなり、次に打つ手を考えやすくなる。

ゼロトラストの成熟　鍵はXDRによるソリューションの連携、統合

　登山のルートは複数あるが、ゼロトラストの成熟度を高める上で避けては通れないポイントもある。それが各ソリューションの連携、統合だ。

　「初期段階では部分最適での導入でもいいでしょう。しかし、対策を成熟させるには全体構成を踏まえたセキュリティ製品やソリューションの連携が不可欠です。個々の対策のレベルを高めつつ、連携や統合にも取り組むことが対策の成熟だと捉えることができます。複数ある登山道も頂上で1つになりますから」

　セキュリティ製品やソリューションの連携、統合を実現する鍵が「XDR」だ。ネットワークやエンドポイント、ユーザー認証などあらゆる領域のセキュリティ対策を統合して、リスクや対策状況を可視化、分析できる。

　セキュリティ対策は製品を導入して終わりではない。運用が重要であり、横断的に対策状況を分析できるXDRの考え方が今後のセキュリティ対策の中核になると澤入氏は強く訴える。個社内での統合の延長線上には、グループ企業やサプライチェーンにまたがるセキュリティ対策の統合やコントロールも考えることになる可能性がある。

現在の成熟度は？　無料の「ゼロトラスト達成度診断」でチェック

　新たにゼロトラストに取り組むにせよ、既存の対策の成熟度を上げるにせよ、目標の設定と取り組みの優先順位付けが不可欠だ。そのためには現状を把握して、セキュリティリスクがある領域を明らかにする必要がある。

　客観的な判断を後押しすべく、ソフトバンクは無料の「ゼロトラスト達成度診断」を提供している。NIST SP800-207やCISAの成熟度モデルなどを参考にした全40問の設問を通して、達成度をAからDの4段階で評価する。

　設問はマルバツの二択ではなく、四択で選択肢は設問ごとに用意している。設問は対策の具体的な内容に踏み込んでいるので、各項目でどのような取り組みが必要なのかを見直すのにも役立つという。

ゼロトラスト達成度診断の概要（提供：ソフトバンク）

　診断時にはソフトバンクの担当者が同席して選択肢の説明やフォローをするので、不明点を確認しながら進めることができる。

　即日発行される診断結果はレーダーチャートで示され、5領域の達成度が高いほど大きな正五角形に近づく。全体のバランスやへこんでいる領域がどこかを確認することで、優先順位付けをスムーズにできる。

　「A評価はハイレベルなので該当する企業はほとんどないと想定しています。『ここまでやらなければAにはならない』という認識を持ってもらい、そこを目指して少しずつ達成度を上げていくための第一歩目として、ゼロトラスト達成度診断をご活用ください」

診断のイメージ（提供：ソフトバンク）

　これからゼロトラストを導入する企業も、既存の対策を進化させたいと考えている企業も、まずは現状を把握するためにゼロトラスト達成度診断を利用してみるのはいかがだろうか。今後の対策プロセスを考えるヒントを得られるはずだ。

無料診断のお申し込みはこちら（エンドユーザー限定）