アメリカ発・最新ITニュースをお届け!無料メルマガ登録はコチラ

FOLLOW US ON

セキュリティ
文:Nancy Liu

ゼロトラストがかつてないほど重要に=セキュリティ専門家らが呼びかけ

ゼロトラストがかつてないほど重要に=セキュリティ専門家らが呼びかけ

サイバー攻撃が増加の一途をたどり、大きく報じられる事件も増えるなか、ゼロトラスト戦略の実装がこれまで以上に重要になっている。複数のサイバーセキュリティ専門家が警告した。

2021年にマルウェア攻撃、フィッシング攻撃が爆発的に増加、ゼロトラスト戦略の必要性を浮き彫りにすることとなった。米SecurIDCPO(最高プロダクト責任者)、Jim Taylor氏がSDxCentralに語った。

前年にSolarWinds製品の大規模なハッキング事件が起きたことを受け、サイバーセキュリティ専門家の2021年は鎮火活動で始まった。年末にはLog4jの脆弱性が開示されている。

「どちらもの事件も、私たちの知る(セキュリティ対策という)課題の性質が変化していることを示しています。保護しなければならない環境は10年前とはまったく異なるものになっています」。Taylor氏は質問に答えて述べている。「これを保護するには新しいアーキテクチャが必要です」

ゼロトラストが「目指すべき適切なアーキテクチャ」だと氏は言う。働き方が変わり、サイバー攻撃が進化して、ほとんどの企業が依存している従来型の境界ベースのアクセス制御を回避できるようになっている状況ではなおさらだ。

CloudflareField CTOを務めるJohn Engates氏も、「ゼロトラストは今年、企業にとって何はともあれ選ばざるを得ないものになるでしょう」と予想している。また、「あらゆる規模の企業でネットワークやアプリケーションの保護手段としてゼロトラストを採用するところが増えるでしょうし、IT部門では人員やサプライチェーンの不足に対応するためにSaaS(セキュリティ・アズ・ア・サービス)モデルに対応した機器の導入・管理が行われるようになると思います」と述べている。

こうした予測は米調査会社Dell’Oro Groupのレポートで明らかにされた最近のセキュリティ投資の傾向とも一致する。エンタープライズ企業はランサムウェアへの対策としてゼロトラストを実現する技術に多額の投資を行っているのだ。

「最近は数々のサイバー攻撃が注目を集め、従来の境界型ネットワークアーキテクチャの力不足が明らかになったため、ゼロトラストへの関心が急激に高まることになりました。特にリモートユーザー向けのケースで顕著です」。DellOro Groupでネットワークセキュリティのリサーチディレクターを務めるMauricio Sanchez氏が以前、SDxCentralの取材に対して語った。

とはいえ、ゼロトラストの採用率は今もまだ低い。オンラインコミュニティのCybersecurity Insidersと米Forcepoint傘下の米Bitglassが最近共同で発表したレポートによると、ランサムウェアに対する防御をどのように行っているかという質問に対し、ゼロトラストアーキテクチャの実装を行ったと答えたセキュリティチームはわずか29%だったという。

 

ゼロトラストはツールではなく戦略だ

採用率が低いのは、ゼロトラストの意味や実装方法が多くの組織ではまだ十分に理解されていないということなのかもしれない。

「ゼロトラストという言葉は、自社のソリューションをさらに魅力的で説得力のあるものにしたいベンダーによって誤用や誤解をされがちです」。パロアルトネットワークスのサイバーセキュリティアドバイザー、Riccardo Galbiati氏が昨年末のブログ記事に書いている。

サービス事業者によってはゼロトラストアーキテクチャを実現する銀の弾丸であるとしてZTNAZero Trust Network Access)やSDPSoftware-Defined Perimeter)、IDPIdentify Provider)といった製品リストを挙げ、企業全体のゼロトラスト戦略を追求することをしないということがあるかもしれない。そのため、「ITシステムから暗黙の信頼を無くす作業は戦略的に行う必要がありますし、その工程では全てのデジタルインタラクションを絶えず検証する必要があるのです」と氏は書いている。

「ゼロトラストはマーケティング担当者が好んで使う言葉であり、中身のないものである可能性もあります。ですからゼロトラストであると約束されたとしても、企業が懐疑的になるのは当然なことです」。Taylor氏も言う。ゼロトラストとは、「製品ではありませんし、何らかの方法の実践というわけでもありません。考え方なのです」。また、その核心は「決して信頼せず、常に検証する」ことだという。

氏によると、組織はまずユーザーを検証し、どの範囲へのアクセスを持たせるべきか把握する仕方を考えることから始めるべきだという。一方、Galbiati氏は組織に対し、「技術を採用するのではなく、戦略的な考えを持って」ゼロトラストに取り組むことを勧めている。

そうすれば、「ゼロトラストがどういうものかをめぐる問題や誤解はすべて消え去るでしょうし、サイバー攻撃があろうとも事業の継続性を確保するというサイバーセキュリティの最終目標は現実的かつ達成可能な目標となるでしょう」とGalbiati氏は結んだ。

https://www.sdxcentral.com/articles/news/zero-trust-is-crucial-now-more-than-ever-security-practitioners-warns/2022/01/

Nancy Liu
Nancy Liu Editor

Nancy Chenyizhi Liu is an Editor at SDxCentral covering security, data center/networking, and cloud native technologies. She is a bilingual communications professional and journalist with a Bachelor of Engineering in Optical Information Science and Technology, and a Master of Science in Applied Communication. She has nearly 10 years of experience reporting, researching, organizing, and editing for print and online media companies. Nancy can be reached at nliu@sdxcentral.com.

Nancy Liu
Nancy Liu Editor

Nancy Chenyizhi Liu is an Editor at SDxCentral covering security, data center/networking, and cloud native technologies. She is a bilingual communications professional and journalist with a Bachelor of Engineering in Optical Information Science and Technology, and a Master of Science in Applied Communication. She has nearly 10 years of experience reporting, researching, organizing, and editing for print and online media companies. Nancy can be reached at nliu@sdxcentral.com.

RELATED ARTICLE 関連記事

記事一覧へ

HOT TAG 注目タグ

RANKING 閲覧ランキング