次世代のセキュリティ戦略ゼロトラスト・アーキテクチャビジネスゴールから逆算するパロアルトネットワークスのゼロトラスト【後編】

ゼロトラストを前提にしたセキュリティ構成のソリューションを提供する企業を迎え、顧客から寄せられる課題や製品導入のアプローチなどを伺う本シリーズ。パロアルトネットワークス株式会社（以下、パロアルト）でチーフサイバーセキュリティストラテジストを務める染谷征良氏と、同社シニアSEマネージャーの高鳥正彦氏に、ゼロトラスト・アーキテクチャを具体化するためのアプローチを中心にお話を伺いました。

対談者

パロアルトネットワークス株式会社チーフサイバーセキュリティストラテジスト
染谷征良氏

パロアルトネットワークス株式会社シニアSEマネージャー
高鳥正彦氏

PwCコンサルティング合同会社パートナー
林和洋

PwCコンサルティング合同会社テクノロジーコンサルティングシニアマネージャー
神野光祐

（左から）神野光祐、林和洋、高鳥正彦氏、染谷征良氏

ステークホルダーを巻き込み段階的な導入を

神野：
ゼロトラストを具体化する際、「ネットワーク全体を抜本的に見直す必要はないか」との相談がよく聞かれます。他部門を巻き込みながら進めることになるため、心理的な負担も少なくないというのが私の印象です。何に留意して進めるべきでしょうか。

高鳥：
セキュリティを各要素ごとに個別課題として処理せず、組織が将来得たい姿、すなわちゴールを意識することです。ただし、全てを同時に実装することは難しいので、ゴール達成に向けた実装の方針となる一貫したアーキテクチャが必要だと思います。「対局的な戦略を描く」上ではネットワークとセキュリティ全体のアーキテクチャの構築に着手することが必要だと考えます。

ゼロトラストを実践するプロセスの途中では、これまで表面化していなかった社内の課題や、本来は対策を講じておくべき脆弱性が露呈することがあります。企業のセキュリティ担当者はこうした課題を、関係部署と密にコミュニケーションを取りながら解決していかなければなりません。ここで失敗をすると、社内のステークホルダーからの信頼を失ったり、関係部署の協力を得られなくなったりして、プロジェクト自体が頓挫してしまうからです。

染谷：
技術やソリューションを実装する際には、「その製品はゴール達成に必要なものか」を常に確認する必要があります。当たり前に聞こえますが、最初のゴール設定が曖昧だと、いつの間にか導入を検討しているツールの機能面に関心が移ってしまう。そして、最も機能がよく見える製品を選択した結果、ゴールから遠ざかってしまうというケースは少なくありません。ツールの導入はゴール達成の「手段」です。それ自体が目的化してしまっては、本末転倒です。

高鳥：
ゼロトラスト戦略を軌道に乗せるためには、経営層を巻き込みながらグランドデザインを描くことが大切です。そして、ゼロトラストのアプローチがビジネスゴール達成に向けて進んでいるのかを、継続的に評価する視点も求められます。従来のセキュリティ対策を主導してきたIT部門のみならず、経営層やビジネス部門がコミュニケーションをしながら、ゼロトラスト戦略を立案することが重要です。

パロアルトネットワークス株式会社チーフサイバーセキュリティストラテジスト染谷征良氏

パロアルトネットワークス株式会社シニアSEマネージャー高鳥正彦氏

セキュリティ対策に今こそ「シフトレフト」の導入を

神野：
経営層を巻き込みながらグランドデザインを描くことの大切さにはすごく共感します。ただし現実には、IT部門と経営層の間に、セキュリティへの理解度や重要度に対する意識のギャップがあるとの指摘も聞こえてきます。ゼロトラスト・アーキテクチャを構築するにあたり、この課題をどのように克服すべきでしょうか。

染谷：
興味深い調査があります。2019年10月、パロアルトは年商500億円以上かつ従業員500人以上の国内企業を対象に「デジタル時代の企業経営とサイバーセキュリティに関する実態調査」を実施しました*1。そこで明らかになったのは、ビジネスにおいてセキュリティが土俵に上がるタイミングの遅さです。

理想的なセキュリティ設計は、ビジネスの企画段階からセキュリティを組み込むことです。しかし、同調査によると、法的、技術的の両観点でサイバーセキュリティが検討されるタイミングは、「企画段階」が約20％、「テクノロジーの導入段階または導入後」が約50％でした。つまり半数以上の企業が、セキュリティ評価や対策を「後付け」にしているのです。仕様が確定して製品を導入し、運用段階になって初めてセキュリティを検討しているのが現実です。

林：
経営層と現場のセキュリティへの理解度の違いや人材・スキル不足などが相まって、こうした事態を引き起こしていると言えるのではないでしょうか。しかしながら、クラウド化の急速な進行やサイバー攻撃の増加といった社会的背景に鑑みると、セキュリティ対策は待ったなしの状態です。

高鳥：
はい、企業は「シフトレフト」の発想でセキュリティ対策を実装していくことが求められていると思います。つまり、サービス設計の初期段階からセキュリティ機能を組み込み、手戻りを防ぐことでサービス運営サイクルを効率化・高速化するのです。そのためには、企画・設計・開発といったプロセス全般にセキュリティ専門家がコミットし、各段階で適切なセキュリティ対策が実施されているかを確認する必要があります。これには経営層やビジネス部門の理解が不可欠です。

林：
ビジネスの企画立案や製品のコンセプトを決める段階でまず大枠での脅威分析をし、どのようなセキュリティ対策が必要なのかを把握した上で具体的な開発に進む。そして、開発段階では詳細な脅威分析をもとにセキュリティ実装に落とし込んでいくというのが理想ですね。各フェーズに応じて「粒度」の異なるリスク・脅威分析を実施し、必要なセキュリティ対策を組み込んでいくことが重要ということですね。

染谷：
残念ながら、シフトレフトでセキュリティ設計をしている企業は、私が知る限りほとんどないのが実情です。多くの企業ではセキュリティ侵害を経験した後で、あわてて穴を塞ぐようなセキュリティ対策を講じています。これでは部分最適の対策製品ばかりが増加し、それらをバラバラに運用した結果、セキュリティ担当者の負荷が増加し、サイロ化を招いてしまいます。運用コストが継続して増加するという悪循環にも陥ってしまいます。

ゼロトラスト・アーキテクチャ確立のアプローチ

神野：
ではここからは、実際にゼロトラスト・アーキテクチャを構築する上でのアプローチをお伺いします。

染谷：
パロアルトは、ゼロトラスト・アーキテクチャを確立するために3つのポイントでのアプローチを提唱しています。「End-to-Endでの全ての通信と状態の完全な可視化」「ポリシーとコンテキストに基づいた監視、制御、ログ」「AI/機械学習を活用した自律化、自動化された運用」です。

パブリッククラウド、SaaS（Software as a Service）、リモートワーク環境を含め、境界線なきデジタルインフラの通信と状態を、ユーザー、エンドポイント、ワークロード、アプリケーション、コンテンツの視点で可視化することがゼロトラスト実現に向けた絶対条件です。可視化された通信と状態を監視し、そのコンテキストをポリシーに照らし合わせて許可、拒否などの制御を行い、全てログとして記録する。その上で、迅速な対応と継続した改善に向けて、人工知能（AI）や機械学習を活用してセキュリティオペレーションを自動化させる。この3つがゼロトラストを実装する上での肝になると考えています。

高鳥：
ゼロトラスト・アーキテクチャを構築する上で最も留意してほしいのが「スコーピング（検討範囲の特定）」です。しつこいようですが、ゼロトラストは企業全体の戦略です。ですから、エンドポイント、ネットワーク、クラウドと個別に対策を講じるのではなく、パブリッククラウドやSaaSまで、自社が利用している全てのITリソースを検討範囲と捉えて、包括的なゼロトラスト・ネットワークの構築やポリシーの策定を進めることです。そしてトラフィックと状態の可視化、認証認可などにより、コンテキストに則ったポリシー（アクセス制御）がきちんと守られているかを監視し、運用を継続します。これが、パロアルトが考えるゼロトラスト・アーキテクチャ確立のためのアプローチです。

PwCコンサルティング合同会社パートナー林和洋

PwCコンサルティング合同会社テクノロジーコンサルティングシニアマネージャー神野光祐

「自動化」から「自律化」へ進化するソリューション

神野：
ネットワークの監視・運用で全てのトラフィックを可視化するとなると、SOC（Security Operation Center）の負担が大きくなり過ぎるということはないでしょうか。

染谷：
確かに、膨大なアラートが上がることを懸念する向きもあるでしょう。全てのアラートに人海戦術で対応することは、人的リソースやコストの観点からも現実的ではありません。重要なアラートを見落とす危険性もあります。こうした課題に対して、パロアルトは、技術を強化して運用効率を高めていくアプローチを採っています。セキュリティの世界ではかねてから機械学習（ML）や人工知能（AI）技術を活用し、運用の自動化（Automation）を推進してきました。パロアルトは、さらにその先を見据えて、自律化（Autonomous）した監視・運用ができるソリューションを提供しています。

多くのSOCが抱える課題は、スキルを持つ人材の不足です。そのため、少数のスキルの高いエンジニアに依存し、属人的なセキュリティ対策になってしまうケースが多いのです。また、SOCの仕事は本来、脅威分析やインシデント対応、ログ監視など包括的なセキュリティ対策ですが、現実はセキュリティ製品の運用に終始しています。こうした課題を解決するためにも、自律化技術を活用して効率的な運用をしていくことが有用だと考えます。

神野：
以前と比較し、テクノロジーでカバーできる分野は飛躍的に拡大しています。「技術に任せる部分」と「人がやるべき部分」を明確に切り分け、必要なところに人的リソースを配置することが大切ということですね。

高鳥：
セキュリティ対策は、ソリューションを「買って・入れて・終わり」ではありません。継続的な運用と共に、インシデントが発生した場合には全社レベルで連携し、迅速に対処することが求められます。そのためには、自動化・自律化したインシデント対応はたいへん効果的です。初動対応に手間取ってしまえば、被害発生から復旧までに膨大な時間を要し、莫大なビジネスロスを発生させてしまいます。テクノロジーに任せられるところは任せ、人間は人間だからこそできること、やるべきことに注力するべきだと思っています。

林：
ビジネスの変化と共に、それを支えるテクノロジーも進化し続けています。同時にサイバー攻撃も高度化している。だからこそ、あらゆるアクセスを信頼しないリスクマネジメントは有益であり、持続可能なセキュリティ運用にも資することをあらためて実感しました。

染谷：
完璧なゼロトラスト・ネットワークを構築し、理想的なポリシーを策定しても、それを適正に運用できなければ「絵に描いた餅」になってしまいます。継続的な運用を実現できるゼロトラスト・アーキテクチャを通じて、今後もお客様の安全に貢献していきたいと思います。

前編はこちら

*1：パロアルトネットワークス, 2019年. 「パロアルトネットワークス、テクノロジー主導のビジネスにおけるサイバーセキュリティに関する調査結果を発表」

主要メンバー

林和洋

パートナー, PwCコンサルティング合同会社

Email

神野光祐

ディレクター, PwCコンサルティング合同会社

Email

特別対談：次世代のITインフラ‐ゼロトラスト・アーキテクチャ

5 results

2021-01-14

【特別対談】次世代のセキュリティ戦略ゼロトラスト・アーキテクチャ情報漏えい防止こそゼロトラスト実現の要―Netskope

Netskope Japan株式会社から大黒甚一郎氏と白石庸祐氏を迎え、クラウド全盛時代におけるゼロトラスト実現のアプローチを伺いました。

2020-12-24

【特別対談】次世代のセキュリティ戦略ゼロトラスト・アーキテクチャ IDaaSの利用はゼロトラスト実現の第1歩 ― Auth0

Auth0のDuncan Godfrey氏を迎え、次世代型のID認証基盤であるIDaaSの概要やゼロトラストの実現に果たす役割を伺いました。

2020-12-10

【特別対談】次世代のセキュリティ戦略ゼロトラスト・アーキテクチャビジネスゴールから逆算するパロアルトネットワークスのゼロトラスト【後編】

パロアルトネットワークス株式会社の染谷征良氏と高鳥正彦氏に、ゼロトラスト・アーキテクチャを具体化するためのアプローチを伺いました。

2020-12-03

【特別対談】次世代のセキュリティ戦略ゼロトラスト・アーキテクチャビジネスゴールから逆算するパロアルトネットワークスのゼロトラスト【前編】

パロアルトネットワークス株式会社の染谷征良氏と高鳥正彦氏に、ゼロトラストが求められる背景や、パロアルトが描くゼロトラストのデザインコンセプトを伺いました。