「ゼロトラスト」という言葉は、今日ではセキュリティニュースでその言葉を見ない日がないほど浸透している。この連載では、ゼロトラストのおさらい、ゼロトラストを基にした「SASE」、クラウドネイティブ保護の「CNAPP」について解説していく。
 
　ゼロトラストについての説明は昨今Web上に溢れているが、“信頼が0”、すなわち“何も信頼しない”という意味合いからか、「性悪説」や「人を見たら泥棒と思え」のメタファーで説明している記事をよく目にする。

　性悪説を「人間の本来の性質は悪であるが努力しだいで性悪は克服できるため、たゆまぬ努力が重要である」という本来の意味で使っているのであれば正しいと思うが、「誰もが悪人（どのアクセスも悪意のあるユーザーからのもの）の可能性があるので疑いましょう」という意味で使われているのであれば建設的でない。


　ゼロトラストはあくまでも建設的な考え方である。ユーザーの信頼度を判定し信頼度に応じたポリシーを付与することでサイバーリスクをヘッジする、継続的な仕組みである。信頼度を要素毎に積み上げ俯瞰することで判定精度を引き上げる方法はクリティカルシンキングと同じ。前提や主観を疑うことで物事の本質を見極め、論理的に思考することである。

　そこで、従業員がテレワーク環境から社内N/W経由でインターネットにアクセスすることを例にして、セキュアな環境なのかをクリティカルシンキングしてみたい。なお本来、ゼロトラストの範囲はネットワークアクセスに限定されない。直接インターネットやパブリッククラウドにアクセスする場合や、エンドポイント側のみでゼロトラストを構築することも範囲に含まれるが、ここでは簡易な例としてネットワークアクセスに限定する。

　ロジカルシンキング同様、事象を要素に分解することから始める。一般的には5W1Hなどのフレームワークを利用してMECE（「Mutually Exclusive and Collectively Exhaustive」の頭文字を取った造語で、“ミーシー”または“ミッシー”と読む。漏れもダブりもなく整理された状態を指す）に近づけるが、ここでは若干変則的に分解する。
 
　続いて、各要素で前提を疑っていく。

【誰が】本当にAさんなのか？

　PCログイン時に生体認証（指紋認証）ができるPCもあるが、それがなくてもPC/ポータル/Webサービスへのログイン時に会社支給のスマホや登録されているメールアドレスからワンタイム認証を行ったりすることで、Aさんとしての信頼度を上げることができる。

【いつ】Aさんが普段アクセスしている時間帯か？

　Aさんが普段アクセスしていない深夜の時間帯のアクセスなど、行動特性に合致しているかを検証し、合致していない場合は再認証する必要がある。

【どこから】自宅N/Wからのアクセスが安全な経路になっているか？

　ジオロケーション（地理的属性）を見て海外のグローバルIPアドレスからのアクセスになっていないか、ソースIPを見て踏み台アクセスに利用されていないか、通信経路がきちんと暗号化されているかなどを都度検証する必要がある。

【どこへ】Aさんに許可して良いアクセス先か？ 

　Aさんからのアクセスと認定できても、アクセス先を自由にして良いわけではない。アクセス先のシステムに対して必要最小限の権限設定になっているか、別セッションが張られた際に再認証をするなど、暗黙のトラストゾーンは局所化しなければならない。

【何で】業務端末のノートPCはどんな状態か？

　クライアント証明書を用いた多要素認証で、アクセスできる端末を限定することも重要であるが、その端末の状態チェックも必要である。OSやアプリの最新パッチがあたっているか、アンチウイルスのパターンファイルは最新か、エンドポイントセキュリティ製品のメジャーバージョンが最新かなど、資産構成も確認しなければならない。

【何をする】その行動はAさんの業務に必要なものか？ 

　トラストゾーンはサービスの機能単位でも制御すべきである。例えば広報やマーケティング業務を担う部署以外ではSNSの投稿権限は不要である。

　このようにゼロトラストは1要素を満たせば完成というわけではなく、各要素で信頼度を積み上げ、その信頼度に応じて与えるポリシーを動的に制御し、ポリシーを継続的に改善することで判定精度は向上していく。従って、悪人をあぶり出すために行っているわけではなく、どのアクセスに対してもフラットに信頼度を計測しているだけである。

　最後に、ゼロトラストの仕組みを簡単に構築することができるのか否かについてだが、ゼロトラスト対応をうたっている製品は数多くあるものの、残念ながら1製品でこの広範囲な領域を全てカバーできている製品は現状まだない。そのため、実現したい理想像に向けてどんなフェーズで進めていくかの棚卸しや、どの製品がどの領域に対応しており充分な機能があるか、どの製品と組合せることで2重投資なくカバーできるかなど、製品の目利きも必要になる。