DXの進展でアイデンティティの保護が最優先課題に【第1回】

「信頼せずに常に検証する」が基本のゼロトラストが前提に

　一方、政府機関や業界団体などが最近、強く推奨しているセキュリティ対策に、「ゼロトラストアーキテクチャー（ZTA：Zero Trust Architecture）」がある。「信頼せずに常に検証する」という概念を基本に、業界アナリストのJohn Kindervag（ジョン・キンダーバーグ）氏が2010年に提唱した。

　ゼロトラストとは「たとえ企業・組織体に所属しているユーザーや、それらが管理しているデバイスであっても、外部に存在しているものと同様に、原則検証するまでは何も信頼しない（暗黙の信頼を排除）」という意味だ。

　この原則に基づきゼロトラストを実現するためのガイドラインとして、米国立標準技術研究所（NIST）は2020年8月、『NIST SP800 207 Zero Trust Architecture』を発行している。

　同ガイドラインは、ゼロトラストのアプローチとして、「主にデータとサービスの保護に重点を置いているが、全ての企業資産（デバイス、インフラ設備、アプリケーション、仮想環境、クラウド環境）と主体（ユーザー、アプリケーショ ン、リソースから情報を要求する人に紐づいていない存在）に拡大することが可能であり、拡大すべきである」と提唱している。つまり、データ侵害を防止し、内部での横の動きを制限するように設計されている。

　ZTAでは、主体（ユーザー、アプリケーション、または、その他の人間以外のエンティティ）が、企業資産（システム、データ、アプリケーション）にアクセスしようとした際に、認証および許可をリアルタイムで実行する。

　具体的には、ポリシー施行ポイントにおいて、ポリシー決定ポイントが維持・実行するビジネスルールに基づき、企業資産へのアクセスを厳密に制御する。ポリシーの決定と施行を機能として分離することで、企業・組織体は、集中管理を維持しつつ、企業資産の近くで厳格なアクセス制御を実現できることになる（図1）。

図1：ゼロトラストアーキテクチャー（ZTA）の概念モデル

利用システムの急増がアイデンティティ保護の重要性を高める

　DXの促進に伴い、企業・組織体が採用してきたシステム数は、ここ数年間で相当数に膨れ上がっていると推察できる。それらシステムを利用するためには、資格情報が必要になるが、個人を識別するアイデンティティと共に、各システムで独立して存在している。

　独立したシステムへのアクセス時の認証については、SSO（Single Sign On）を利用することで、一元的に管理できる。だが、各システム上に独立して存在しているアイデンティティの数は減少しない。つまり、システム数の増加に伴い、管理対象になるアイデンティティも増加の一途を辿っているのが現状だ。

　米CyberArk Softwareが、グローバル企業に在籍するCISO（Chief Information Security Officer：最高情報セキュリティ責任者）を含むセキュリティに関する意思決定者、約2000人に対して毎年実施している調査によれば、アイデンティティの数は2023年に、前年の2.4倍に増加した。その半数は、企業の貴重な情報資産へのアクセス権を持っている。

　同調査では、回答者の63％が「自社の従業員による機密性の高い情報へのアクセスが適切に保護されていない」と認めている。つまり、アイデンティティの爆発的な増加と共に、貴重な情報資産にアクセスできるアイデンティティも急激に増加し、もはや管理が行き届いていないと推察される。攻撃者によるアイデンティティへの侵害が、貴重な情報資産や、機密性の高い情報へのアクセスにつながるリスクが非常に高い状況にあると言える。

　上述したアイデンティティは主に人のアイデンティティを想定している。人のアイデンティティとは、その名の通り、実際に利用する人に紐づくもので、特権と非特権、双方のアイデンティティを含む。これに対し、より重要性が高まってくるのがモノ（マシン）のアイデンティティである。

　マシンアイデンティティ、あるいは人に紐づかないアイデンティティは、人が介在せずに利用できるアイデンティティを示している。例えば、システム間連携、ボット、自動化ツールなどで幅広く利用されており、その多くは貴重な情報資産へのアクセスが可能になっている。

　次回からは、マシンアイデンティティの特徴について深掘りして解説していく。