DX(デジタルトランスフォーメーション)、リモートワーク、複雑化するビジネスパートナーとのエコシステムなど昨今の急速なビジネス環境の変化はサイバー攻撃の新たな機会を生み、世界中の企業はサイバーセキュリティの課題に直面しています。

「境界防御」に依存する従来のアプローチは、データとその利用者が明確に定義された特定の場所にのみ存在する世界では十分に機能しました。しかし、物理的な境界がなくなり、ランサムウェアやその他の破壊的なマルウェアで攻撃対象を狙う巧妙なサイバー犯罪者が増えるなか、従来のアプローチはもはや時代遅れであり、重要な資産や情報を保護する最新のソリューションが必要になってきています。サイバー上の守りの観点でより多くの企業がゼロトラスト(誰も信用しない)のマインドセットを採用する背景にはこういった事情があります。

ゼロトラストとは?

ゼロトラスト・アプローチは、利用者のアイデンティティ、アクセス管理、データをサイバーセキュリティの中核に据えるというものです。拡大し続ける脅威の状況に対応し、発展してきたサイバーセキュリティのアプローチです。ゼロトラストは技術的な解決策ではなく、(1)何も仮定しない(2)すべてをチェックする(3)アクセスを制限する、という3つの主要原則に基づく、従来の考え方からの転換を必要とするモデルでありアプローチです。
ゼロトラストは、サイバーセキュリティの戦略と運用において、アイデンティティを認識し、コンテキストを重視し、データを中心としたアプローチに依存しています。

ゼロトラストは、利用者のアイデンティティとデータの価値を重要な要素として、強力なアイデンティティ管理、最新のソフトウェア定義ネットワーク、継続的な監視、高度な分析によって、データとリソースへの安全なアクセスを可能にします。
企業ネットワークの内外を問わず、利用者が自動で信頼されることはありません。すべてのユーザーは、アクセスを得るために自らの身元を証明する必要があります。ゼロトラストの枠組みでは、有効なユーザー名とパスワードがあったとしても、デバイスが認証されていなかったり、必要な信頼レベルに達していなかったりする場合、システムへのアクセスが拒否されます。

ゼロトラストは、従来のITセキュリティのアプローチとは異なります。「極度に接続された世界」がこれまでの境界線を打ち破ったと言えるでしょう。
複数の関係者やデバイスが世界のどこからでもビジネスデータやシステムにアクセスできるようになり、組織の境界を越えたデータの流動的な移動が可能になりました。このダイナミックな環境に、5G技術、エッジコンピューティング、数億台のIoTデバイスが加わることで、従来のセキュリティアプローチは急速に時代遅れ、かつ不十分なものになってきたことが明らかになりつつあります。

新たなサイバー脅威の現実に直面する企業

多くの企業は昨今のサイバー脅威にどの程度さらされているかを認識していないかもしれません。その一方で、新たな危機の到来を捉え、ゼロトラスト・モデルを採用する企業が増えています。
2025年までに、国際的なサイバー犯罪による被害額は年間1兆米ドル程度に達すると予想されています※1。セキュリティ強化のためにゼロトラスト・モデルの追求を促す主な要因として、ビジネスモデルと従業員を変革するDXの進行、クラウド型サービスの普及、複雑化するサプライチェーンネットワークが挙げられます。

※1 “The Hidden Costs of Cybercrime,” The Center for Strategic and International Studies. (December 9, 2020)

【目的、考慮事項およびトレンド】

なぜゼロトラストが進むべき道なのか_図表1

地政学的な不安定さが増していることもゼロトラストの採用を加速させています。地政学的な状況が変化し、緊張が高まるにつれ、組織からの迅速な離脱が必要となる場合には、組織はより強力かつ柔軟なアクセス制御が求められるようになります。地政学的に不安定な状況は、サプライチェーンの混乱を悪化させ、企業は急遽サプライヤーを変更しなくてはいけなくなる可能性があり、ゼロトラストのように、柔軟で適応性の高いモデルが必要となるのです。
さらに、2021年5月12日に公表された、連邦政府と関連機関にゼロトラスト・アーキテクチャの採用を義務付ける米国大統領令※2 の第3項がもたらす影響も見逃せません。

※2 “Executive Order 14028, Improving the Nation’s Cybersecurity”, NIST. (November 8, 2021)

ゼロトラスト・フレームワークの追求が勢いを増す中、CISOとCIOは、業務の優先順位、リスク管理のニーズ、テクノロジー能力に見合った組織全体のゼロトラスト・アーキテクチャの導入に向けて取り組むことを強く求められています。
昨今の継続的なサイバー脅威を認識しマネージするための競争において、ゼロトラストは、企業を予測的かつプロアクティブなモードに移行させ、潜在的な攻撃に対するコンテキストベースの分析、洞察、自動応答をタイムリーに提供します。ゼロトラストのアプローチにより、企業は「境界レス」、つまりエンドツーエンドでのサイバーセキュリティアプローチを構築し、資産、ワークロード、その他のリソースを含むエコシステムのあらゆる側面からの保護を提供することができます。
ゼロトラストの主な要件は、(1)企業が一貫してエコシステム全体のトラフィックを収集、検査、分析し、ユーザーがアクセスするデータやその他のリソースをリアルタイムで最大限に可視化すること、(2)ユーザーがアクセスできるデータと悪意のある活動の可能性について、リアルタイムで最大限の可視性を確保することです。

ゼロトラストに加え、企業はセキュア・アクセス・サービス・エッジ(SASE)アプローチによるセキュリティ強化を目指しています。これは、データセンターをマルチプロトコル・ラベルスイッチング(MPLS)などの従来技術に依存するのではなく、インターネット重視のネットワークセキュリティに置き換えることにより、リモートユーザーの複雑性を最小限に抑えるというものです。SASEは、ゼロトラストと同様に、従来のネットワークインフラ上にセキュリティ対策の階層化および統一されたシステムとSoftware-Defined Network(SDN)を通じて、サイバーセキュリティを最大化することを目的としています。
ゼロトラストとSASEを併用することで、組織のサイバーセキュリティ体制を大幅に強化でき、多くの企業がこのアプローチを取ろうとしています。

ゼロトラストは進化し続ける旅

企業はもはや、ユーザーIDやデバイス、ワークロード、ネットワーク、データなどを盲目的に信頼することはできません。ゼロトラストとは、データがどこにあるかを把握すること、強力なID管理、高度な分析および資産管理を通じたアクセスを制御することです。KPMGのゼロトラスト・モデルは、NIST 800-207(ゼロトラスト・アーキテクチャ -5つの柱)に基づき、アーキテクチャ、リスク認識・管理、ガバナンス、コンプライアンスに関する各クライアント組織固有のサイバーセキュリティ機能とニーズに全社的に重点を置いています。これを導入することで、組織は異常な行動を検知し、承認されていないアプリケーション、サーバ、アカウントとの通信を防止するための体制を整えることができます。

【KPMGのゼロトラスト・モデル】

なぜゼロトラストが進むべき道なのか_図表3

前述したように、ゼロトラストは考え方であり、技術、機能、標準ではありません。これはセキュリティに対するIDベースのアプローチであり、従来のサイバーセキュリティモデルからの発想の転換を必要とするものです。
KPMGのモデルは、進化するサイバー脅威の状況にCISOが対応するうえで、多くの責任のバランスをとる必要性を慣例にとらわれない形で強調しています。これは、強制する立場からインフルエンサーへの転換、セキュリティ意識の育成、ユーザー全体との重要な関係の構築を意味します。リスクへの絶対的な対処方法が存在する白黒の二元的な世界から、リスク回避と隔離を主要な目的とする、結果が確実ではない「グレー」の世界へとシフトしていくため、「グレー」の領域で対処する方法を学ぶことは重要な学習項目の1つとなるでしょう。

KPMGは、包括的かつ構造的なアプローチ(下図)を用いて、ゼロトラストに対するクライアント企業の理解、ビジネス目標とサイバーセキュリティ成果の整合、これらを達成するための必要な対策を評価し、導入を成功させるための必要な対策を含む戦略的ロードマップの策定を支援します。

【ゼロトラストロードマップ】

なぜゼロトラストが進むべき道なのか_図表2

ID認識とデータを中心とする未来へ

セキュリティに対するゼロトラスト・アプローチは、進化の過程における重要なステップです。KPMGの目標は、顧客企業がゼロトラストの考え方を実現するため、戦略ロードマップと実装計画を定義し、ゼロトラストの能力、強み、利点を継続的に構築し、最終的にサイバーセキュリティに対してID認識とデータ中心のアプローチを追求することを支援することです。

ゼロトラストは現時点での適切なアプローチですが、脅威の状況が不確実であり続ける中、次はどうなっていくのでしょうか。
KPMGは将来を見据え、サイバーセキュリティモデルの次の進化形である「Adaptive Security(適応型セキュリティ)」を開発しました。適応型セキュリティとは、アメリカ国立標準技術研究所のサイバーセキュリティフレームワークを用いてゼロトラストのケイパビリティをグループ化することで、ゼロトラストの潜在的なメリットを具体化します。脅威をエンドツーエンドで視覚化し、主要な自動化機能とオーケストレーション機能を活用して脆弱性を自動修復し、資産を保護します。

【KPMGのアダプティブ・サイバー・モデル】

なぜゼロトラストが進むべき道なのか_図表4

また、CISOは、効果の低いサイロ化したサイバーセキュリティ能力のアプローチを使用するのではなく、脅威主導のリスクベースのアプローチで投資の特定と優先順位付けを行い、セキュリティ投資に対するリターンを向上させることができます。

本レポートは、KPMGインターナショナルが、2022年8月に発表した「Assume nothing, verify everything」を翻訳したものです。翻訳と英語原文間に齟齬がある場合には、当該英語原文が優先するものとします。

原文はこちらから(英語)
Assume nothing, verify everything

関連リンク

「ゼロトラストを企業成長の切り札に」と題してZscaler社と行った対談を紹介します(全3回)。
ゼロトラストの真の意義や価値は何か、いかにして企業の成長に貢献するのか、対談を通して解説しています。

第1回:ゼロトラストを考える上で、経営層に必要な視点とは
第2回:ゼロトラストがDXやM&Aにも相乗効果をもたらす可能性
第3回:ゼロトラスト化の成功に不可欠な要素とは

お問合せ