解説「ゼロトラスト」シフト：脱“境界セキュリティ”が進む2つの動き

セキュリティの考え方が「信頼し、必要な検証だけする」から「信頼せず、全て検証する」という「ゼロトラスト」に移りつつある状況を解説した。今回は、このゼロトラストの必要性を感じ、既に実践している組織の例を紹介する。

尚、ゼロトラストの原理・原則についてはこちらをご覧ください。

ゼロトラストの開拓者--21世紀フォックス

米21st Century Fox（21世紀フォックス）は、ゼロトラストの先進的な開拓者だ。ロサンゼルスにフィルムスタジオを持ち、映画、ライブ、スポーツ、ニュースなどさまざまなコンテンツを作り出すメディア企業として世界中に知られる。同社の最高情報セキュリティ責任者（CISO）を務めるMelody Hildebrandt氏は、2018年にカリフォルニア州サンタクララで行われたカンファレンス「Enigma」で講演し、セキュリティは経営上非常に重要な課題であると語った。なぜなら「メディア企業は、非常に価値のあるデータを持ち、攻撃者から“おいしい”ターゲットに見られている」とのことだ。

　例えば、2017年に公開された「猿の惑星」は1億5000万ドル（約150億円）の予算を使い、2年間の時間を費やして制作された。このような価値の高い資産がデータとして保管されている以上、それを守るためのセキュリティは重要な経営課題だ。もし、彼らの貴重な映像データが盗まれ、身代金やゆすりの対象になってしまったり、海賊版として流出してしまったりすれば、膨大な損失を被り、企業評価を著しくおとしめるリスクになり得る。

　ゼロトラストの話では、VPNの話が良く出てくる。それはデータセンター経由での通信、つまりハブ＆スポーク型のネットワークを前提として広まったVPNが、昨今の分散型のネットワークには合わなくなってきているからだ。より率直に言うと、不用意なVPNの利用はリスクと見なされる。

　リモートアクセス技術として最も長く多く使われているVPNは、企業のプライベートネットワークに外部から手軽に接続することを可能にした。20年以上使われている安定した技術だが、今の分散した世界にはリスクが高過ぎる。ゼロトラストで言うような認証と認可の制御が弱い上に、ネットワークへの外部からの接続を許可してしまうからだ。

200以上の協力会社とその先にいる数千超の関係者をネットワークに接続させれば、その脅威は巨大になる。そのため、VPNと組み合わせてユーザー認証、アプリケーション認可の機能が必要になる。堀と城の時代にはそれが可能だった。堀、つまりデータセンターの境界に接続が集中するからだ。しかし、この分散の時代にはそれが不可能であり、物理的にどこから接続しても、認証と認可を求めるゼロトラストモデルにするための新たな仕組みが必要となる。

また、同氏の講演内ではフィッシング攻撃への対策の重要性も語られていた。万一従業員や協力会社の社員がフィッシング攻撃に遭い、エクスプロイトやマルウェアに晒されれば、端末が攻撃者によって不正に操作されてしまう。ここでVPNが利用されていれば、一気に自社のネットワークに入られてしまうだろう。そこから攻撃者は、さまざまな端末を移動して目的とするデータを狙う行動「ラテラルムーブメント（水平移動）」に入る。ネットワークへのリモート接続を手軽に構築できるVPNは広く利用されているが、ゼロトラストの考え方との親和性は極めて低い。

Melody氏は、最後に「（端末の）権限をできるだけ少なくしてリスクを減らしたい」と語っている。これは認可の手法で使われる「最小権限」というアプローチだが、ゼロトラストのコンセプトである「信頼せず、全て検証する」と合致する。これまで広く使われてきた信頼されたネットワークから、ゼロトラストへ移行する同社の取り組みは今後も注目される。

より詳細なゼロトラストの原理・原則についてはこちらをご覧ください。