「ゼロ・トラスト」の考え方が、同じビルにいて社員証を付けているからといって、信用しきっちゃだめよ、から始まったことは分かった。ビルの入り口という境界が守れないなら、個々のシステムや人の密結合を無くし(Micro Segmentation)て、一部が侵略されても他の部分が守られ、全体として回復力(Regiliency)を高めるしかない。陸戦にあてはめれば「縦深防御」とでもいうべきだろうか。
じゃあユーザ企業としてはどうすればいいのか?事例を話してくれたのはあるグローバル製造業、まだ1年ほどやっているだけでほんの入り口ですとおっしゃる。「COVID-19」以前から一部部署でテレワークを実施していて、拡大したいと思っていた。これを含めてシステムの課題は、
・社内の複数のシステムが密結合、更新などでも手間がかかる。
・外部からの接続をVPNでするのだが、数が増えると通信容量が不足。
・外部クラウドサービスも増えてくるが、境界型の防御が難しくなる。
仮に自宅から接続していたPCを通勤途上などで紛失したとすると、そのPCから侵入されて全社システムに被害が及ぶ可能性がある。また合理化を図って自前で作って保守してきたシステム機能の一部をクラウドに切り替えたとしても、そこから侵入されるリスクがある。
これらを改善するには「ゼロ・トラスト」しかないと結論づけたのが1年前、経営層の理解はあったのだが、それでも現場に浸透させるには苦労したし、今もしているとのことだった。どんな認証手段をどう組み合わせているかは教えてもらえなかったが、テレワークで会社のシステムに接続するのは、慣れればそれほど負荷ではないという。
多分「ゼロ・トラスト」化に重要なのは、前編で述べた6つの構成要素の整理なのだろう。例えばDataの例で言うと、ある種の認証を受けた人(デバイス)が見ることのできるデータはどの範囲、訂正できるのはどの範囲ということを整理する必要がある。これら6要素の整理をしていないと、実際問題として「構築すれども運用できず」になりかねない。
ましてや一部ベンダーが言うように「ウチのソリューションを導入してもらえば・・・」で完成するようなものではありませんね。今回、ちゃんとゼロから勉強できて良かったです。
