ゼロトラストセキュリティはあらゆるサイバー脅威に対応できる銀の弾丸ではない。セキュリティの補完として他の手段も必要だという――大企業の中でも十分に成熟した測定・評価可能なゼロトラストプログラムのある企業は1%にも満たず、現在のそうした状況下ではなおさらだ。米調査会社ガートナーが述べている。

「ゼロトラストへの期待は膨らみ、ピークに達しています。派手な宣伝がされてきましたが、今年はいくらか合理的な説明になっていくと見ています」。ガートナーのバイスプレジデント・アナリスト、ジョン・ワッツ（John Watts）氏が米SDxCentralの取材で語った。

「ゼロトラストばかりを重視して、コンプライアンスやデータセキュリティ、ID管理、セキュリティ運用、その他さまざまな重要部分をおろそかにすれば、期待外れの結果が待っているでしょう。ゼロトラストが自社のセキュリティ問題をすべて解決してくれる魔法のソリューションであるかのように考えてしまうとそうした事態に陥る可能性があります」

ワッツ氏の説明によると、ゼロトラストのスコープは限定的なもので、請負業者やサプライヤー、自社の従業員など、広い意味での働き手をカバーするというのが一般的だ。外部に公開しているアプリケーションや市民的消費者は企業の外部サービスにアクセスできるもののID機能が弱いことがあり、対象外となっている。「ID保証が弱いとゼロトラストの実現は非常に難しくなります」と氏は言う。

場合によってはゼロトラストの範囲を広げて管理対象デバイス、管理外デバイス、そのユーザーまでカバーすることは可能だが、IoTデバイスやOTデバイス、その他のビジネス領域までは入らないという。

ガートナーの予測では、今後数年間、サイバー攻撃の半数以上がゼロトラストでカバーできないあるいは軽減できない領域をターゲットとしたものになるとしている。

「ゼロトラストは攻撃の影響を軽減することはできますが、攻撃を排除することはできません」と氏。「ゼロトラストで軽減できる主なリスクには、ラテラルムーブメントやマルウェアがあります」

例としてフィッシング攻撃を挙げた。ゼロトラスト戦略を取っていれば高いレベルの信頼やアクセスを要求することで被害を最小限に抑えることができるものの、「フィッシングのリスク自体に対応できるわけではない」とした。攻撃者が被害者をフィッシングしたり、認証情報を盗んだりするのをゼロトラストで防ぐことはできない。

「ゼロトラストアーキテクチャを導入しても残るリスクは大まかに2種類あります。内部脅威とアカウント乗っ取り攻撃にはその後も遭うことがあるでしょう」。攻撃者がデータへの正当なアクセス権を持っていれば攻撃は起こりうるとした。

氏が勧めるゼロトラストセキュリティの補完方法は、多層防御モデルを構築し、異常行動やデータ転送がないかを監視して検知アラートを出せるようなセキュリティ運用・分析を実施することだ。

ガートナーの予測には複数のセキュリティベンダーが賛同しており、ゼロトラストやシフトレフトのアプローチを取るだけではソーシャルエンジニアリングやAPIの不正利用に対して不十分だと警告する。

「ゼロトラストが苦手とするのはAPIを利用したマシン間通信やクラウド間通信です。APIのアクセス許可は非常に寛容なことが多く、APIトークンやAPIキーが盗難されれば大量のデータ盗難につながる可能性があります」。米タニウム（Tanium）のCISO（最高情報セキュリティ責任者）、クリストファー・ホーレンベック（Christopher Hallenbeck）氏がSDxCentralのメール取材で語った。

十分に成熟した測定・評価可能なゼロトラストプログラムの必要性

また、ガートナーでは大規模な企業等の組織では一般にゼロトラストの成熟度と可測性が不足していることも明らかにしている。ゼロトラストはセキュリティ業界で最も注目されているテーマの1つでありながら、自社の成熟した測定可能なゼロトラストプログラムについて公に説明や紹介をしている企業はガートナーが把握する限りではこれまでに数社しか現れていないという。ゼロトラスト製品を販売しているITベンダーや資金力のある大手金融機関などだ。

「めったに見つかりません」とワッツ氏。

ゼロトラストプログラムの大半は完全に実装したものではないという。「そうしたプログラムでは、ゼロトラストに基づいて最適化したリスクポスチャを持っていたとしても、正確にどのようなリスクポスチャなのかを説明することができません」

「成熟したプログラムとは、アーキテクチャが整っていて、ゼロトラスト制御については運用上管理可能な適切なセットを備えているものです。こうしたプログラムのある企業ではリスクをどの程度軽減できたのかを把握していますし、ゼロトラストアーキテクチャの検証を行い、今後さらに実装したい部分があるかを説明できるものです」。ワッツ氏はそう論じている。

また、ゼロトラストへの取り組みは何年もかかるもので、ゼロトラストへの投資によってリスクや侵害による影響をどの程度軽減できたのかを測定するのに多くの大企業は苦労しているという。

「成果主導型の評価指標という考え方が関係してきます。企業の取締役会や経営陣であれば、自社に何が得られるのか、資金に対するリターンはどのようなものかを知りたいはずです」と氏。各社はセキュリティプログラムの事業上の価値を評価指標に基づいて伝えるようにする必要があるとした。

ガートナー、ゼロトラストは現実のものになると予想

ガートナーは2026年までに大企業の10％が成熟した測定・評価可能なゼロトラストプログラムを導入すると予測している。現在の1%からは大幅な増加だ。

「当社としては、これは改善するだろうと考えています。大企業の経営陣はリスクポスチャを最適化できているかどうかを知りたい、データを見たいと考えるであろうことが主な理由です」と氏。セキュリティを強化しリスクを低減したいという要望によってゼロトラストの導入は進み、強い傾向として続いていくだろうと付け加えた。

Gartner: Zero Trust Is Not a Security Panacea