元ホワイトハウス最高情報責任者が語る、ゼロトラストは人々の実際の働き方に合わせて設計されるべき理由

ホワイトハウスでは、音楽プレイリストのような単純なものでさえ、セキュリティ上のリスクになり得る。

先日配信されたポッドキャスト番組「ザ・セグメント」で、元ホワイトハウス最高情報責任者（CIO）のテレサ・ペイトン氏と対談した際、彼女はジョージ・W・ブッシュ大統領がiPod Shuffleを使って娘たちと音楽を共有していたというエピソードを語ってくれました。問題は、プレイリストを更新すると自動的に公開されてしまうことだった。  

一見無害に見える機能が、潜在的な危険要因を生み出した。

解決策は、デバイスをロックダウンしたり、使用方法を制限したりすることではなかった。その代わりに、テレサのチームはユーザーを取り巻く目に見えない保護機能を設計した。彼女の説明によると、彼らは「彼が自分の人生を生きられるようにしながら、ほとんど目に見えない安全網を彼の周りに構築しなければならなかった」とのことだ。

その話は、今日のサイバーセキュリティにおける根本的な何かを捉えている。

私たちは長年にわたり、システム、制御、およびコンプライアンス要件に基づいたセキュリティ設計に取り組んできました。一方、攻撃者たちは人間を標的にしている。彼らは行動を研究し、摩擦を利用する。彼らは、セキュリティの設計方法と実際の使用方法との間のギャップを探し出す。

ゼロトラストが真の成果をもたらすためには、まず人間のユーザー体験を基盤として構築する必要がある。

計算が合わない。それが問題なのです。

テレサは、今日のサイバーセキュリティの現状に重大な問題があると認識している。

彼女は、著しい不均衡を指摘した。サイバーセキュリティに約2400億ドルを費やしている一方で、サイバー犯罪による損失は今年10兆5000億ドルに達すると予想されている。

彼女の反応は単純だった。「計算が合わないわ」。

そのギャップは、より根深い問題を浮き彫りにしている。業界には、ツール、フレームワーク、資金が不足しているわけではない。成果が乏しい。

その大きな要因の一つは、私たちがコンプライアンスにどのように取り組んできたかにある。枠組みは必要であり、規制は重要である。しかし、それらは意図せずして、組織のセキュリティに対する考え方を形作ってきた。

テレサが述べたように、これらの枠組みは「非常に善意に基づいているが、私たちにとってこれまでで最悪の事態になるかもしれない」。

なぜ？なぜなら、それらはチェックリスト思考を助長するからだ。

組織はリスクを軽減するよりも、要件を満たすことに重点を置いている。そして攻撃者はそれを悪用する。彼らは制御システムを理解しており、どこに問題があるかを把握している。その結果、彼らは簡単にシステムをリバースエンジニアリングできるのだ。

ゼロトラストが誤解されているのはまさにこの点だ。

重要なのは基準を満たすことではなく、信頼を継続的に検証し、リスクを最小限に抑えることだ。コンプライアンスは必要なことを教えてくれるかもしれないが、ゼロトラストは実際に何が効果的なのかを問い直すことを促す。

セキュリティは依然としてユーザーではなく購入者向けに設計されている

テレサはまた、見過ごされがちな業界のもう一つの問題にも言及した。それは、ほとんどのセキュリティソリューションは、ユーザーではなく購入者向けに作られているという点だ。

テレサは、ベンダーがしばしば購入者を主要な顧客と見なし、実際に日々その技術を使用する人々を軽視している現状について説明した。

その区別は極めて重要である。セキュリティが利用ではなく調達を中心に設計されると、摩擦が生じる。そして、摩擦は回避策を生み出す。

私たちは皆、それを見たことがある。複雑すぎるパスワードポリシー。ワークフローを遅くする制御機能。ユーザーが業務を遂行するためだけに、セキュリティ専門家のように考えることを要求するシステム。

テレサはよくある例え話でそれを要約した。あなたがセキュリティ関係の仕事をしていると知った人は、複雑なセキュリティ対策を講じていることに対して感謝の意を示してくれない。彼らは、そのことについて嫌いなことを全て話してくれる。

その乖離は、単なる使いやすさの問題にとどまらない。これはセキュリティ上の問題です。

ユーザーが制限を回避して操作している場合、それらの制限は何も保護していないことになる。

ゼロトラストは、制限から有効化へと焦点を移すことで、この状況を変える。それは、安全な道を最も簡単な道にすることだ。

人間中心の設計は、ゼロトラストの仕組みを変える。

では、人を中心に据えたセキュリティ設計とは具体的にどういうことなのでしょうか？テレサのアドバイスは、驚くほどシンプルでした。「観察すること」です。

「コールセンターに座って、顧客の現場に座って、耳を傾けてください」と彼女は言った。「何がうまくいっていないのか、たくさん学ぶことになるでしょう。」

その洞察は、サイバーセキュリティの分野ではしばしば見落とされている。

私たちは脅威のモデリングや対策の構築に時間を費やしていますが、それらの対策が実際のワークフローとどのように相互作用するのかを理解するための時間は十分に取れていません。

観察を始めると、パターンが見えてくる。

• ユーザーが摩擦を感じる場所
• プロセスが破綻する場所
• 人々が回避策を生み出す場所

これらのシグナルは、より良い設計の基盤となる。そして、ここでゼロトラストが実用的になるのです。

広範で静的な制御を適用する代わりに、システムとユーザーが実際にどのように相互作用するかに基づいてポリシーを適用することができます。最小限の権限付与を正確に適用することで、人々の作業効率を低下させることなく、リスクを軽減できます。

ここではセグメンテーションが重要な役割を果たす。

システム間の通信パターンを理解することで、不要な接続を制限することができます。何かが侵害されると、自由に動くことができなくなる。爆発範囲は限定されている。

ゼロトラストが真の成果をもたらすのは、まさにそういう仕組みなのです。全てを遮断するのではなく、重要なものをコントロールすることによって。

AIは人間の問題を無視できないものにする

業界はこれまでこのギャップを無視できたかもしれないが、もはやそうはいかない。AIがこの問題を提起している。

テレサはAIを「最も特権的なアクセス手段であり、同時に最も懸念すべき内部脅威」と表現した。

AIシステムは、大規模なデータ、ワークフロー、意思決定にアクセスできる。彼らは人間よりも速く動く。そして多くの場合、それらは限られた監視の下で配備されている。

それは、悪用だけでなく、 可視性と管理性に関する新たなリスクを生み出す。

テレサは、あらゆる組織が自問すべき重要な問いを提起した。

• AIの動作を記録した、改ざん不可能なログはありますか？
• その決定に至った経緯を説明してもらえますか？
• 顧客の声を反映させたガバナンス体制はありますか？

これらはゼロトラストに関する質問です。

それらは結局同じ原則に立ち返る。つまり、継続的に検証し、アクセスを制限し、行動を監視するということだ。

そして、それらは可視性の必要性を改めて強調する。

AIが環境とどのように相互作用するかを理解しなければ、信頼の境界を確立したり、異常を検出したり、 リスクを抑制したりすることはできません。

次のフロンティア：データと量子リスク

人工知能の先、テレサはもう一つの大きな課題として量子コンピューティングを挙げている。

彼女は、多くの組織が依然としてデータのライフサイクルに十分に対応できていないことを指摘した。

すべてのデータが同じ価値を持つわけではない。すぐに無関係になるものもあれば、何年も敏感さを保ち続けたり、永久に価値を持ち続けるものもある。

ポスト量子世界においては、その区別は重要となる。データが今日盗まれ、後で解読されたとしても、その影響は依然として現実のものである。

テレサは明確にこう述べた。「組織はデータの真の保存期間と、時間の経過に伴うその価値を理解する必要がある。」

そのためには、データ分類、アクセス制御、およびアーキテクチャに対するより深いアプローチが必要となる。

これはまた、ゼロトラストの重要性を改めて強調するものである。

アクセスを制限し、利用状況を監視し、通信経路を管理することで、大規模な情報漏洩の可能性を低減できます。たとえデータが侵害されたとしても、その影響は限定的である。

セキュリティリーダーはこれに対してどのような対応を取るべきか

朗報は、最初からやり直す必要がないということです。視点を変えるだけでいいんです。  

テレサが勧めたのは以下の通りです。

• コンプライアンスは目標ではなく、基準として捉えるべきです。それは構造を提供するはずだが、現代の脅威に対する回復力を保証するものではない。‍
• ユーザーが実際にどのように作業しているかを理解することに投資しましょう。時間をかけて観察し、耳を傾け、摩擦の原因を特定しましょう。‍
• 視認性を最優先する。システム間の通信方法やデータの流れを把握する必要があります。‍
• 賢明に執行せよ。セグメンテーションを活用して、最も重要な箇所に最小権限の原則を適用しましょう。これにより、横方向への移動が制限され、侵入を早期に封じ込めることができる。

これらは新しいアイデアではないが、それらを組み合わせ、適用する必要がある。そこでゼロトラストが現実のものとなるのです。

なぜこれまでと同じことを繰り返してもサイバーセキュリティは解決しないのか

サイバーセキュリティは転換期を迎えている。AIは攻撃を加速させている。クォンタムはリスクのあり方を変革している。そして、支出と成果の間のギャップは拡大し続けている。

これまでと同じことを繰り返していては、その差を埋めることはできない。

テレサは重要な点を指摘した。進歩は機械のスピードでは起こらない。それは信頼と共有学習のスピードで実現するだろう。

つまり、組織はセキュリティ対策をどのように設計するか、そして何を導入するかだけでなく、その方法自体を見直す必要があるということだ。

ゼロトラストは前進への道筋を示すものだが、それは正しい考え方で導入された場合に限る。その考え方は、人々が実際にどのようにそれを使うかを優先することから始まります。

セキュリティがユーザーにとって機能しないのであれば、それは全く機能していないことになる。そして、もし私たちが今すぐにこの問題を解決しなければ、支出額と保護対象との間のギャップは拡大し続けるだけだろう。

The Segment: A Zero Trust Leadership Podcastの全エピソードを聴くにはApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.