全3089文字
PR

 「ゼロトラスト」を巡る商戦がますます過熱している。2020年10月14日には米Google(グーグル)が、ゼロトラストに関連するベンダーのアライアンス(同盟)「BeyondCorp Alliance」の参加企業が増えたと発表した。同様の取り組みは競合である米Microsoft(マイクロソフト)など競合も進める。ゼロトラストを取り巻くベンダー間のアライアンスがなぜそれほど重要なのか。順を追って解説しよう。

 ゼロトラストが2020年を代表するIT業界のヒット商品の1つであるのは間違いないだろう。世界中の企業が新型コロナウイルス対策として大規模なリモートワークに移行する中で、VPN(仮想私設網)など従来型のセキュリティー対策の使いにくさや脆弱さに気づき、これらの問題を解決する手法としてゼロトラストに飛びついた。

 2020年におけるゼロトラストの市場規模はまだ分からないが、代表的なゼロトラスト銘柄である米Zscaler(ゼットスケーラー)の株価は年初の47ドルが今では154ドル(2020年10月13日時点)と3倍に上昇した。2020年における最大のヒット商品であるWeb会議システムを手がける米Zoom Video Communications(ズーム・ビデオ・コミュニケーションズ)の株価が年初の68ドルから518ドル(同)と7倍以上に伸びたのには及ばないものの、なかなかの勢いである。

ゼロトラストは1製品にして成らず

 その一方でゼロトラストは多くの企業にとって、まだまだ“難しい”存在である。単一の技術や製品を導入すれば実現できる、といった類いのものではないからだ。米国の調査会社Forrester Research(フォレスター・リサーチ)在籍時の2010年にゼロトラストという概念を初めて提唱し、現在は米Palo Alto Networks(パロアルトネットワークス)に務めるJohn Kindervag(ジョン・キンダーバグ)氏は「ゼロトラスト製品はまだ存在しない。ベンダーの多くはゼロトラストを連呼するだけで、その意味を理解していない」と警鐘を鳴らす。

 ゼロトラストとは「セキュリティー対策において信頼できるものは存在しない」という考え方である。従来の境界型セキュリティーの世界においては、ファイアウオールなどで守られた企業内ネットワークは安全と見なし、アプリケーションやデータに対する安全なネットワークからのアクセスを信頼するという考え方が採られていた。それに対してゼロトラストは、企業内ネットワークも安全とは見なさない。

 ではこのようなゼロトラストの考え方に立った場合に、どのようなセキュリティー対策が必要となるのか。キンダーバグ氏はそのキーワードとして「DAAS」を挙げる。従来のように外部からの攻撃を受けるネットワーク境界だけを守るのではなく、データ(Data)、資産(Asset)、アプリケーション(Application)、サービス(Service)からなる「DAAS」を個別に守るのが、ゼロトラスト時代のセキュリティー対策なのだという。DAASに対して“誰”がアクセスできるのかを細かく制御し、アクセス履歴は分析して、不正が起きていないかチェックする。

 従来の守る対象だったネットワーク境界は、基本的にはLANに対して1つしか存在しない。それに対してゼロトラスト時代において守るべきDAASは、企業によっては数百から数千個は存在するだろう。このように膨大な数の防御対象を単一の製品でカバーするのは不可能なので、キンダーバグ氏は「ゼロトラスト製品はまだない」と主張しているわけだ。

 ゼロトラストを実現するには、複数の製品を組み合わせる。ユーザー認証を担う「アイデンティティー&アクセス管理(IAM)」、アプリケーションやデータへのアクセスをチェックする「アイデンティティー認識型プロキシー(IAP)」や「セキュアWebゲートウエイ(SWG)」、ユーザーによるアプリケーションなどへのアクセスを分析して不正を見つけ出す「セキュリティー情報イベント管理(SIEM)」や「クラウド・アクセス・セキュリティー・ブローカー(CASB)」が製品の代表格だ。ユーザーが利用するデバイスの安全性を確保するためには「モバイルデバイス管理(MDM)」や「エンドポイント・ディテクション&レスポンス(EDR)」が必要だし、データの防御には「情報漏洩防止(DLP)」も必要だ。

 これらの製品は相互に連携する必要もある。例えばユーザーによるアプリケーションへのアクセスを認可する際には、単にIDとパスワードが真正であれば良しとするのではなく、ユーザーがアクセスしてきた時の状況(コンテキスト)によって判断するのが望ましいためだ。そうするにはアクセスの認可をつかさどるIAMやIAPが、MDMやEDRで集めたデバイスのセキュリティー情報や、SIEMやCASBが見つけ出したユーザーの不審行動の情報などを把握できるようになっていなければならない。