次世代のセキュリティ戦略 ゼロトラスト・アーキテクチャ ビジネスゴールから逆算するパロアルトネットワークスのゼロトラスト【前編】

デジタルインフラと安全性の前提条件は崩壊している

神野：
パロアルトは、ゼロトラストがセキュリティの新たな概念として注目を集める以前から、その必要性を提唱していらっしゃいますね。なぜ、ゼロトラストが必要なのでしょうか。

染谷：
パロアルトは「信頼せず常に検証する」というコンセプトでゼロトラスト・アーキテクチャを構築することが重要だと考えています。その理由は3つあります。

1つ目はIT環境の変化です。従来のセキュリティ対策は、内部資産を外部攻撃から守ることを目的とした、内部／外部の境界部分にセキュリティを配置する「境界型」でした。なぜなら、企業で利用するビジネスアプリケーションや業務データは社内データセンターにあり、それを利用するユーザーも社内ネットワークからアクセスしていたからです。しかし、パブリッククラウドやSaaS（Software as a Service）、リモートワークなどの普及によって、アプリケーションもデータもユーザーも「外部」に存在する環境が生まれ、従来のように「外部」と「内部」の境界線を引くことはできなくなっています。

2つ目はサイバー攻撃の進化です。メールやウェブを経由した攻撃だけでなく、RDP（Remote Desktop Protocol）やクラウド、アプリケーションの管理機能やMSP（Managed Service Provider）を経由して標的型サイバー攻撃やランサムウェアを仕掛ける攻撃の台頭など、サイバー攻撃の侵入経路がオープンに多様化し続けています。

そして3つ目は企業のセキュリティ対策における大きな誤解です。IT環境やサイバー攻撃が大きく変化しているにも関わらず、「社員は必ず正しいことをする」「ビジネスアプリケーションやデバイスは想定通りに動作する」「従業員に付与したアカウントは必ず本人が使う」ことを前提にセキュリティ対策を講じているのです。

しかし残念なことに、従業員による故意か過失を問わずの内部不正や、アカウント盗取によるサイバー攻撃は後を絶ちません。また、アプリケーションやデバイスも、不具合や脆弱性、設定ミスが予期せぬサイバーリスクにつながります。

ですから「なぜ、ゼロトラストが必要なのか」に対する答えは、「企業のIT環境の変化やサイバー攻撃の高度化を背景として、これまで考えられていた安全性の前提条件が完全に崩壊したため」と言えるでしょう。林さんはどうお考えですか。

林：
私たちは、ゼロトラストが注目されるようになった背景には、企業が直面する3つの新たなリスクがあると考えています。1つ目はご説明いただいたクラウド化の急速な進展。2つ目は場所や時間に囚われないリモートワークの増加。そして3つ目がサプライチェーン攻撃の増加です。脆弱な部分から不正侵入し、サプライチェーンの内部でインシデントが広がるリスクが深刻化しています。内部／外部の隔てなく、あらゆる攻撃に備えなければならない以上、あらゆるアクセスを信頼せず都度認証を求めるというゼロトラストの概念の浸透は、必然に思えます。

高鳥：
企業を取り巻くリスク要因の増加という観点から考えると、IT（情報テクノロジー）システムとOT（制御テクノロジー）システムの融合も大きなリスク要因の1つです。

以前は技術やスキルセットの違いから、両者は意図的に分離されていました。しかし、最近は両者を融合して新たな製品・サービスを創造し、企業価値を高めるという気運が高まっています。新型コロナウイルス感染症（COVID-19）の影響で、「リモートで工場を監視したい」という相談も増加しています。

しかし、両者が相互接続することで、アタックサーフェイス（攻撃対象となり得るシステムの範囲）は拡大します。OTの領域では外部デバイスの持ち込みも多い。さらに異なる機器が複雑に接続されているので、マルウェアの侵入経路も多岐にわたることになります。こうした環境でセキュリティ侵害を許してしまえば、生産ラインの停止や誤作動による事故発生など、深刻なビジネスダメージを引き起こします。つまり、セキュリティ侵害が、企業の事業継続性までも脅かすのです。

染谷：
例えば2018年5月に施行されたEU一般データ保護規則（GDPR）ですが、公にされている制裁事例だけでも数百件に上ります。その制裁金額は平均すると数億円というレベルですが、制裁理由で最も多いのはセキュリティ対策の不備です。ですから、攻撃による情報漏えいといったインシデントにより中堅小規模企業に制裁金が課せられたら、それだけで企業の存続が左右されるのです。

また、海外ではランサムウェア被害に遭い、攻撃者側に身代金として数十億円を支払った企業の事例も報告されています。国内でも事業停止に追い込まれる事例も発生しており、セキュリティ侵害による会社存続の危機は、決して対岸の火事ではありません。システムの内外から攻撃が発生し得る昨今、事業継続性の観点からも、ゼロトラストはもはや必須と言えます。

4段階で考えるゼロトラストの設計方針

林：
先ほど染谷さんと高鳥さんのご発言にあった通り、パロアルトはゼロトラストを「戦略」と捉えられているのですね。

染谷：
はい、私はお客様から「ゼロトラストとはセキュリティ技術なのか、製品なのか」という質問をよく受けるのですが、「どちらでもありません。ゼロトラストとは『セキュリティ戦略』です」とお答えしています。先ほどのVPNの例で言うと、「リモートアクセスという戦術をもとにゼロトラストを実現する」のではなく、「ゼロトラストという戦略の一環としてリモートアクセスを構築する。その戦術として、導入を考えているリモートアクセスツールはゼロトラストに適合しているか」という視点で検討するというのが正解だと思います。パロアルトはゼロトラストの定義を「全ての場所の全てのユーザー・デバイス・アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで侵害を防ぐためにデザインされた、セキュリティ戦略である」としています。そして、私たちはこの戦略の設計方針を4段階に大別しています。

神野：
具体的に教えていただけますか。

染谷：
第1段階は「ビジネスゴールにフォーカスする」ことです。企業として実現したいゴールや目的を描き、事業継続を脅かす脅威による侵害を防ぐといった、ゼロトラストを通じて「何を目指すのか」を明確にすること。これがスタート地点であり、最重要項目です。

第2段階では、企業として侵害されたら事業継続を脅かしかねない情報やシステムを起点に「内から外に設計」します。ゼロトラストの設計方針を立てる際、守るべき資産が明確になっていなかったり、「個人情報全般を守る」といった抽象的なレベルで資産を定義していたりする企業が多くあります。しかし、これでは具体的なセキュリティ施策が立てられず、どのような形で技術・ソリューションを導入すべきかを判断できません。

そして第3段階では、第2段階で起点となる重要資産に対して「どのユーザー／どのアプリケーションがどの資産にアクセスすべきか」を決定します。重要資産に対しては不要なアクセス権限を与えない、つまり「最小特権の原則」の徹底が重要です。

これら全てを明確にしたら、第4段階としてトラフィックを全て検査してログを取得し、どのようなトランザクションが行われているかを検証します。アクセス権が与えられているアカウントであっても、そのトラフィックを監視し「どのアカウントが」「どの情報にアクセスしたのか」を可視化するのです。これにより、通信を可視化して脅威を排除することもでき、また有事の際にはログによるインシデント対応も可能になります。

林：
ゴールとビジョン、そしてコンセプトを明確にし、どのアクセスも信頼しないアーキテクチャを構築していくのですね。

後編はこちら