第1話 ゼロトラストFTAとは

情報漏洩事故を予測する

ゼロトラストFTAとは「その企業で情報漏洩事故が起きるのはどこか」を予測し、事前に対策する手法である。

もし経営者やIT責任者が「自社で次に起きる情報漏洩事故はここだ」と推定することが出来たなら、もっと効率良く対策をすることが出来るであろう。
ゼロトラストFTAはその「次の情報漏洩事故」を予測するために生みだされた。

そして起きやすいセキュリティ事故（情報漏洩事故）には次の２つの傾向がある。
・世の中で発生件数が多い事故は自社でも起きやすい。
・セキュリティ担当者が対策想定外な事故は起きやすい。

統計データが教えてくれる

やはり世の中で頻繁に起きている事故（＝発生頻度の高い事故）は自社でも発生する可能性が高いと考えた方が良い。世の中で多く発生している事故というのはそれなりに理由があるからだ。

そこで自社のセキュリティ対策として必要なことは「世の中でどういう情報漏洩事故が多く起きているか」を知ることだ。

想定外を洗い出す信頼性工学手法

次にセキュリティ対策で重要なポイントは「想定外」を見逃さないということだ。セキュリティ事故は全て「想定外」から発生しているといっても良いからだ。

「想定外」を洗い出すには、実は FTA (Fault Tree Analisys＝故障の木解析）という方法が有効である。これは1960年代に米軍がミサイル製造の信頼性向上のためにベル研究所に設計方法を委託し、その後ボーイング社が完成させたものだ。今では航空宇宙から原子力プラントに至るまで、様々な分野の信頼性設計手法として利用されている。

このFTAの手法をセキュリティ分野に応用したのがゼロトラストFTAだ。。情報漏洩の原因となる事象を樹形図として分解して行くことで、思い込みを排除した「想定外の脆弱性」を洗い出す。

ゼロトラスト＝思い込みをリセット

ゼロトラストとは「信用しないを前提にする」という意味である。
ゼロトラストFTAは、情報漏洩に関わる端末・ネットワーク・プログラム・人これらを全て「信用しない前提」で、情報漏洩事故の可能性を洗い出し数値化する手法だ。

ゼロトラストFTAは、統計データとFTA解析を組み合わせて、脆弱性チャートで図示化する。

見逃していた脆弱性はここだ

脆弱性チャートはゼロトラストFTAによって、その企業のセキュリティ対策を数値化（見える化）したものだ。

たとえば、VDI （仮想デスクトップ）を利用して社員に在宅ワークを許可している企業を考える。この企業はPCも社員が会社で使用しているノートパソコンの持ち帰りを使わせ、ウイルス対策ソフトも万全。USBメモリーなどの使用も禁止しているとする。
これらの環境条件だけ聞くと情報漏洩の穴はないように思える。しかしゼロトラストFTAから脆弱性チャートで図示化すると

PC端末の紛失に情報漏洩の脆弱性があることがわかる。
最新のWindowsであればOSの設定でディスクの暗号化を施すことが可能だ。これだけでもその企業の情報漏洩のリスクは大きく改善されると言える。

このようにゼロトラストFTAは、情報漏洩事故の可能性（＝情報漏洩脆弱性）の要因を客観的に数値化することにより、企業が次に行うべきセキュリティ対策を判断することが出来る。

まとめ

・起こり得る情報漏洩事故は予測対策することが出来る。
・統計データ。世の中で頻度高い事故は起きやすい。
・FTA。セキュリティ事故は想定外から起きやすい。
・ゼロトラストFTAは上記２つの予測要因から脆弱性をチャートで図示化する。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。