ゼロトラストについて知っておかなければならないこと
サイバーセキュリティの分野ではかつて、データとは堀、アルゴリズムによる炎のドラゴン、輝く鎧で守られた城であるというアプローチをとっていました。データはすべてそこに存在し、城壁の中で山積みになっている黄金の戦利品と同様、分散していませんでした。しかし、侵入者がその城壁を破った場合どうなるのでしょう。そこにあるすべてのものが奪われてしまいます。
数十年前に、サイバーセキュリティの専門家は新しいアプローチを生み出しました。このアプローチではアクセスを分け、新しい内部壁、多くのトンネル、チェックポイントを設けてユーザーに本人確認を要求し、それによりユーザーのアクセスレベルを決定します。
一見矛盾しているように聞こえるかもしれませんが、サイバーセキュリティに対するこの新しいアプローチ (最大級の流行語にもなっています) は、実はとても理にかなっています。ゼロトラストアプローチでは、単一のチェックポイントを備えた光り輝く門でアクセス権を付与されるのではなく、アクセスレベルに紐付けられた身分を次々に証明できない限り誰も信頼されず、空間に入ったり、トンネルを通過したり、壁を突破したりできないという前提に立ちます。
Salesforce はこのアプローチを積極的に採用し、最大の価値である信頼を維持しています。しかし、これは Salesforce のお客様にとってどのような意味を持つのでしょうか。Salesforce のセキュリティアシュアランスチームのシニアバイスプレジデントである Saša Zdjelar に、ゼロトラストがお客様、お客様の顧客、Salesforce に与える影響について話を聞きました。
Bailey: Saša、少しおさらいをさせてください。ゼロトラストの由来は何でしょうか。
Saša Zdjelar: はい、そこから説明するのがよいでしょう。未来を理解するには、過去を理解することが大切です。城と堀の例で言えば、サイバーセキュリティの分野では、境界侵入という考え方でデータにアプローチしていました。一度中に入ってしまえば、すべてにアクセスできました。以前は物理的な拠点、オンプレミスサーバー、単一ネットワークでの運用だったため、このアプローチは有効でした。そのため、単純な境界の設定とセキュリティの確保にフォーカスすることは理にかなっていました。
しかし、Salesforce などの SaaS (Software as a Service) プロバイダが登場して、プロバイダ間でデータを移動するようになり、リモートワークやモバイルワークが進むと、かつての単一の境界は非常にあいまいになってきました。G-Suite、Salesforce CRM、その他のビジネスソリューションなどの製品を導入した時点で、境界はいつの間にか完全に消滅していました。もはや、すべてのデータを内に抱えた 1 つの城は存在しません。代わりに、多くの小さなデータの村が広がっていて、大きな城壁のある城の中にはないのです。
こうした新しいグローバルなテクノロジーが発展するにつれ、サイバーセキュリティの脅威もより巧妙になり、高度な国家レベルの侵入、マルウェア、ランサムウェアの問題が発生するようになりました。近年、このような脅威は多くの場合、城の堀の設計に内在する弱点を利用することがわかってきました。そこで登場したのがゼロトラストです。侵入による不正アクセスで、あらゆるものにアクセスできるようになってはいけないと気が付き、本人確認、デバイスへのアクセス許可、多要素認証などに特化したトンネルに分けました。ゼロトラストは信頼できることが証明されるまで誰も信用しないことを求めており、それにより、私たち全員がより安全になるのです。
Bailey: そのたとえはとてもわかりやすいですね。Salesforce のような組織でゼロトラストがどのように機能するのか、詳しく教えてください。一見すると、最大の価値である「信頼 (トラスト)」と矛盾しているように思われますが、どうでしょう。
Saša: 重要な質問です。「ゼロトラスト」という用語からはその内容がよくわからないため、混乱を招く可能性があります。Salesforce のような組織に所属し、最大の価値が「信頼」である場合、お客様に「ゼロトラスト」 (信頼ゼロ) と伝えることは問題だと思われかねません。
この用語が実際に意味するのは、接続での「暗黙の信頼」がゼロであるということです。つまり、接続できたからといって、そのまま信頼を得られるわけではなく、アクセスするすべてのリソースに対して信頼を得る必要があります。ユーザーはまず ID 認証、デバイスポスチャ証明などを用いて信頼を獲得します。Salesforce は信頼できるユーザーであると判断すると、リクエストごとにその信頼性を再確認し、そのユーザーのアクセス対象を決定します。アクセスの仲介をする際は、特定のアプリケーション内にある特定の情報に対する特定のトンネル、さらに特定のポートやサービスのように細かく指定できます。
Bailey: 実際には最大の価値の実現に役立っているのですね。
Saša: そのとおりです。Salesforce の企業側では、ゼロトラストにより、持続的標的型攻撃や国家主体による攻撃などに対する防御を強化し、全体でレジリエンスを高めることができます。一方、製品のお客様はデータがより安全に保護されているという安心感を得ることができます。ゼロトラストが私たちの組織にもたらすメリットは、お客様にもたらすメリットと同じなのです。
さらに、Salesforce では、お客様が自身のデータにアクセスする方法にもゼロトラストの概念を導入する戦略を検討しています。組織の従業員が自社のデータにアクセスする場合、権限を持ち、正しいデバイスと場所からアクセスしている、組織の認証済みの従業員のみが対象データにアクセスできるようにするために、ゼロトラストはどのように役立つのでしょうか。
お客様の組織にとって「適切な」ものは何かを、想定する ID、デバイス、場所という点から教えていただければ、「フロントドアアクセス」と呼ばれる、自社のデータへのアクセスを許可するかどうかを判断する機能の設定を支援できます。これにより、自社環境の不正な従業員、リスク、不正アクセスへの対応を支援し、Salesforce で保存されているデータへのアクセスを防止できます。
Bailey: とても理にかなっていますね。サイバーセキュリティの専門家や Salesforce のような組織によるゼロトラストへの取り組みやその理由を知ることは、非常に役に立ちます。この用語は今日、流行語のようになっていますが、10 年ほど前から存在していました。ゼロトラストへの転換を加速させた要因について、詳しく教えてください。
Saša: テクノロジーの歴史を振り返ると、通常、転換のきっかけや変化の要因となる機会が存在します。ゼロトラストは 2010 年に John Kindervag によって作られた用語ですが、新型コロナウイルス感染症がこの転換を推進する大きな機会となりました。新型コロナウイルスのまん延以前は、ネットワークセキュリティ業界とごく一部の最先端のクラウドネイティブ企業がゼロトラストの実践に注目していました。
新型コロナウイルス感染症が発生すると、世界中のあらゆる業種の人々が、自宅に留まることになりました。多くの人が気付いていない可能性がありますが、社内 VPN 接続で仕事を行う場合、組織のネットワーク全体がその仕事場所まで拡張されます。当然、これには多くのリスクが伴います。世界中の何十万人もの従業員が各自の仕事場所やコーヒーショップで会社のネットワークを拡張していると想像してみてください。組織は非常に多くの脆弱性にさらされています。
ゼロトラストでは、アプリケーションやサービスの承認ユーザーであることが確認できると、テクノロジーはユーザーを城全体に招き入れるのではなく、特定の資産用の非常に限定されたマイクロトンネルへと仲介します。これにより、データをより安全に保護できます。
Bailey: 特に新型コロナウイルス感染症の流行以降、働き方やネットワークとの関わり方は大きく変化したため、今の話はとても参考になります。ゼロトラストが日常生活のどのような場面で使用されているのかについて、興味があります。より身近な場面でゼロトラストのアプローチや実践に触れる方法について教えてください。
Saša: ゼロトラストは、日常生活では消費者向けに多く実践されています。たとえば、銀行のアプリや Web サイトにログインする場面で、銀行側はユーザーにサインインをさせ、メールやテキストで送られてくるコードを入力してログインを完了させることがあります。デバイスが認識されていない場合は、消費者が許可できるデバイスポスチャ機能が、自身のデバイスであることを追加で確認したり、追加の質問に答えたりするよう求めたり、対象のデバイスを「信頼できるデバイス」として追加するかどうかを尋ねたりします。Salesforce では、すべての従業員とお客様に多要素認証 (MFA) を義務付けており、セキュリティチェックの要素を増やすことで、フィッシング攻撃、クレデンシャルスタッフィング、アカウント乗っ取りに対する保護を強化しています。たとえユーザー名とパスワードが盗まれてしまった場合でも、セキュリティチェックのレイヤが増えることで、重要なデータへのアクセスを防ぐことができます。これは当社の重要なゼロトラストの実践であり、他の多くの企業も採用しています。
学校、病院、銀行、政府機関、そして小売業者も独自のゼロトラストを実践し始め、消費者や市民の安全を守ろうとしています。皆さんに知っていただきたい点として、パスワードが思い出せないときに自身のパスワードが記載されたメールが送られてきた場合、それは相手があなたのパスワードを知っていて、プレーンテキストで確認できるということを意味します。これは絶対にやってはいけないことです。パスワードは常に暗号化して保存してください。
自社のデータや顧客のデータを保護する最善の方法を検討されている場合には、Salesforce がお役に立ちます。セキュリティを考慮して設計された製品およびソリューションの詳細について確認し、組織の信頼の維持と顧客の保護に活用してください。また、無料のサイバーセキュリティ学習ハブ (世界経済フォーラムとのパートナーシップによるサイバーセキュリティのイニシアチブ) を利用して、最新のセキュリティ知識を習得してください。最終的に、信頼の維持は全員の責任なのです。