画像出典:Five Million Stock/stock.adobe.com; AIで生成
現代のような、あらゆるものがネットワークでつながっている時代において、セキュリティは情報技術(IT)やネットワークの専門家だけの問題ではなく、さまざまな分野や職務に共通する課題となっています。
従来、サイバーセキュリティは、強固なネットワーク境界の構築に重点を置いていました。ユーザーやデバイスがネットワークにアクセスすると、それらは信頼できるものとみなされていました。しかし、このモデルはもはや十分ではありません。
現代の製造施設を例にとってみましょう。何百ものモノのインターネット(IoT)センサが、クラウド分析プラットフォームにデータを送信しているかもしれません。エンジニアは、自宅のオフィスから診断情報をリモートで監視しているかもしれません。サードパーティベンダーは、定期的なメンテナンスのために機器にアクセスすることができます。これらの接続は、そのすべてが潜在的な脆弱性となります。このような環境では、ネットワークの「内部」と「外部」という概念はもはや意味を成しません。
例えて言えば、従来のアプローチは「城と堀」の哲学を体現していました。城の外、つまりセキュリティ境界の外にいる人は誰でも潜在的な脅威として扱われ、城壁の内側の人々は信頼できるとみなされていました。
今日のデジタル環境は、その城の周りに広大な都市が築かれたような構造に似ています。防御用の堀は、もはやすべてのシステム、デバイス、ユーザーを囲い込むことはできません。その代わりに、各リソースを個別に保護する必要があります。例えば、各建物の入口で ID チェックを行うなどです。
これが、「決して信頼せず、常に検証する」という原則に基づくサイバーセキュリティモデルであるゼロトラストアーキテクチャ(ZTA)の前提です。ZTA では、ネットワーク上の位置に関係なく、ユーザーやデバイスはデフォルトでは信頼されません。その代わりに、リソースへのアクセス要求はリアルタイムで評価されます。[1]
このアーキテクチャの変化は、従来の IT チームだけにとどまりません。コネクテッドカーを設計する自動車エンジニア、発電所を保護する産業用制御の専門家、IoT 医療機器を開発する医療従事者など、あらゆる分野の人々が、最新の脅威からシステムを保護するために ZTA の原則を必要としています。
この記事では、この新しいアプローチの実装には、技術の進化と、ますますつながっていく世界におけるデジタルインタラクションのセキュリティ確保方法に関する根本的な見直し、の両方が必要となる理由について探ります。
従来のセキュリティモデルでは、アクセスは通常、ユーザーやデバイスが企業ネットワーク内にいるかどうかというネットワークの場所に基づいて許可されていました。ファイアウォールと仮想プライベートネットワーク(VPN)は境界にバリアを構築しましたが、ユーザーがこれらの防御を突破すると、多くの場合、内部システムに広範なアクセス権を取得していました。
このアプローチの重大な弱点は、攻撃者が境界を突破すると、ネットワーク全体を移動できることです。この横移動は、システムが物理的なプロセスを制御する運用技術 (OT) 環境では特に危険です。たとえば発電所では、1 つのシステムを侵害した攻撃者は、重要な制御システムにアクセスし、データだけでなく物理的なインフラや公共の安全も脅かす可能性があります。
ZTA は、セキュリティの決定の基盤を「場所」ではなく「アイデンティティ」に置き換えることで、このモデルを覆します。すべてのアクセス要求は、要求者、要求内容、および要求を取り巻く状況に基づいて評価されます。このアーキテクチャは、以下の 4 つの重要な原則に基づいています。[2]
すべてのユーザーおよびデバイスは、その身元を証明する必要があります。この認証は 1 回限りのものではなく、セッション全体を通じて継続されます。異常な場所からのログインやセキュリティパッチの古いバージョンなど、リスクの兆候が見られた場合は、アクセスを即座に無効化することができます。
ネットワークは、小規模で安全なゾーンに分割されています。攻撃者が 1 つのゾーンを侵害しても、他のゾーンに簡単に移動することはできません。たとえば、スマートファクトリーでは、マイクロセグメンテーションにより、品質管理システムの侵害が生産機械や安全上重要な制御に影響を与えることを防ぐことができます。
ユーザーおよびデバイスには、タスクを完了するために必要な最小限の権限のみが付与されます。たとえば、経理担当者はエンジニアリングサーバーにアクセスする必要はありません。その逆も同様です。この制限により、認証情報の漏洩や内部脅威によって生じる損害を最小限に抑えることができます。
アクセス制御は、ユーザーの行動、デバイスの状態、システムの健全性を継続的に分析して、動的に行われます。モニタリングツールは、状況の変化に応じてリアルタイムで権限を調整するリスクモデルに情報を提供します。
都市の比喩をさらに拡張して、ZTA を、研究者が高セキュリティ施設で従う手順と比較してみましょう。
図 1:アクセスは ID から始まります。ゼロトラストでは、すべてのバッジ、デバイス、ユーザーが、アクセス前に認証されます。(出典:spyrakot/stock.adobe.com、AI により生成)
ZTA の目標は、単に不正アクセスをブロックすることではなく、状況の変化に合わせて、きめ細やかでコンテキストに配慮した制御を実施することです。
この目標を達成するために、ZTA 環境は、ID の確立、アクセスの強制、およびリスクの継続的な監視という 3 つの機能的柱を中心に構築されています(図 2)。[3]
図 2:ゼロトラストは単一のソリューションで構築されるものではありません。3 つの基盤となる柱が連携して、ID の保護、アクセス制御、継続的な監視を実現しています。(出典:マウザー・エレクトロニクス/著者)
ゼロトラストは、ユーザーとデバイスの両方を検証することから始まります。このプロセスは、ID プロバイダー (IdP) が、多要素認証 (MFA) などのよく知られたツールを使用して処理します。この役割は、多くの場合、組織全体のアクセスを管理するエンタープライズ ID およびアクセス管理 (IAM) プラットフォームが担っています。
ただし、信頼できるユーザーであっても、そのデバイスに脆弱性がある場合、リスクになる可能性があります。この問題に対処するため、デバイスポストチェックにより、最新のオペレーティングシステム (OS) パッチや最新のウイルス対策ソフトウェアなど、システムがセキュリティ要件を満たしているかどうかを確認します。これらのチェックは、IdP に組み込むか、エンドポイントセキュリティプラットフォームで管理することができます。
ID が確認されると、システムは許可するアクセスレベルを決定する必要があります。ポリシー決定ポイント (PDP) は、事前に定義されたルールを使用して各リクエストを評価します。ポリシー実施ポイント (PEP) は、アクセスを許可またはブロックするゲートとして、その決定に基づいて動作します。実施は、アプリ、ネットワークデバイス、または専用のゲートウェイ内で実行できます。
制御システムの更新を行う技術者を考えてみましょう。この技術者は、勤務時間中は会社のノートパソコンからアクセスは許可されていますが、午前 3 時に個人のデバイスからアクセスすることは許可されていません。
重要な実施ツールは、ソフトウェア定義の境界 (SDP) です。ネットワーク全体を公開する VPN とは異なり、SDP は特定のリソースへの安全な暗号化トンネルを作成します。たとえば、技術者は産業用制御システムのみを見ることができ、工場ネットワークの他の部分は表示もアクセスもできません。
ZTA はアクセス決定だけで終わりではありません。継続的な評価が必要です。セキュリティ情報およびイベント管理 (SIEM) プラットフォームやユーザーおよびエンティティ行動分析 (UEBA) などのシステムは、ユーザー、デバイス、およびアクティビティを継続的に監視し、リスクの兆候を検知します。
これらのツールは、異常を検出し、追加の検証手順を起動し、必要に応じてアクセスポリシーを適応させます。たとえば、営業時間外に大きなファイルをダウンロードするなどの異常な行動を示したユーザーには、再認証を求めたり、一時的にアクセスを制限したりすることができます。
理論的にはすべて素晴らしいですが、ZTA を導入する組織は、実際にはいくつかの大きな障害に直面することが多いです。
まず、目に見えないものは保護できません。工場、病院、鉄道システムなど、多くの環境には、接続が普及する前に導入されたレガシー機器が導入されています。これらのシステムの存在は文書化されていない場合が多く、その脆弱性も文書化されていません。
次に、組織はこれらのシステムのセキュリティを確保する方法を決定する必要があります。多くのレガシーシステムは、数十年前のソフトウェアを実行しているか、セキュリティ機能が限られた専用機器を使用しています。これらのシステムを ZTA に改造するには、機器自体に変更を加えることなくレガシー機器へのアクセスを仲介するセキュリティゲートウェイを導入するなど、創造的なアプローチが必要になる場合が多くあります。
セグメンテーションもよくある課題のひとつです。マイクロセグメンテーションは ZTA の基本原則ですが、過度なセグメンテーションはパフォーマンスのボトルネックや管理上のオーバーヘッドの原因となります。[4] セキュリティ上のメリットは、特に時間的制約のある制御システムでは、運用への影響とバランスをとって検討する必要があります。
おそらく最も大きな課題は文化的なものです。ZTA は、確立された慣行を混乱させる可能性のある異なるワークフローを必要とします。比較的自由なアクセスに慣れているユーザーは、新しいセキュリティ対策に抵抗を示す可能性があります。
採用を促進するには、組織は実装をできるだけユーザーフレンドリーにし、セキュリティの強化によってユーザーにどのようなメリットがあるかを明確に説明する必要があります。これには、これまで物理的な存在が必要だったリソースへの安全なリモートアクセスを可能にし、ZTA がユーザーエクスペリエンスをどのように改善できるかを実証することも含まれます。
ZTA を組織全体に一度に導入することは、ほとんどの場合不可能です。その代わりに、段階的に導入することでリスクを軽減し、制御された環境でポリシーの検証を行うことができます。
たとえば、電力会社は、強力な認証とアクセス権の制限により、監視制御およびデータ収集 (SCADA) システムへのリモートアクセスを保護することから始めることができます。その後、ZTA の原則を社内業務にも拡大し、制御システム間にマイクロセグメンテーションを導入し、異常な動作を継続的に監視する体制を構築することができます。
この慎重なアプローチにより、組織はセキュリティのメリットを享受しながら、変革に伴う実際的な課題に対処することができます。目標は完璧なセキュリティではなく、進化する脅威に継続的に対応し、改善を続けるセキュリティ体制の構築です。
ZTA は、最新のシステムを保護するための強力なフレームワークを提供しますが、効果的に実装するには、慎重な計画、チーム間の連携、および組織が信頼、アクセス、セキュリティについて考える方法の変化が必要です。
今日の接続された環境を保護する責任を負うエンジニアや建築家にとって、今こそ既存のシステムを評価し、リスクの高い資産を特定し、ZTA の基盤構築を開始すべき時です。すべての関係者は、セキュリティを自らの核心的な責任の一部として認識しなければなりません。
[1] https://www.crowdstrike.com/en-us/cybersecurity-101/zero-trust-security/ [2] https://learn.microsoft.com/en-us/security/zero-trust/zero-trust-overview [3] https://www.intersecinc.com/blogs/the-logical-components-of-zero-trust [4] https://arxiv.org/pdf/2501.06281