米海軍と国土安全保障省はいかにしてゼロトラストを機能させたか

ゼロトラストには、数多くのフレームワークが存在する。

成熟度モデル、リファレンスアーキテクチャ、ベンダーソリューションは至るところに存在する。しかし、多くのチームにとって、ゼロトラストは依然として理論上のものにとどまっているように感じられる。概念的には理解できるが、それを実際の成果に結びつけるのは難しい。

それは、最近開催されたウェビナー「ノイズではなくデータを保護せよ：実践的なゼロトラスト対話」の焦点でした。このセッションでは、Illumioのチーフエバンジェリストであり、ゼロトラストの創始者でもあるジョン・キンダーヴァグ氏がドン・イェスケ氏とともに、ゼロトラストを実際に機能させるために必要なことについて議論しました。

イェスケ氏は以前、米国海軍省と国土安全保障省でゼロトラスト・アーキテクチャの取り組みを主導しており、政府機関の中でも最も複雑でミッションクリティカルな環境における実務経験を積んでいる。

その経験を通して、ゼロトラストは漠然とした理想から、的を絞った実行へと移行して初めて真に実現するものだと彼は悟った。

その変化は、ある一つのアイデアから始まる。それは、表面を保護するという考え方だ。

これが、国土安全保障省と海軍がゼロトラストを理論から運用上の現実へと移行させるのに役立った。組織が今日からそこから学ぶべきことは以下のとおりです。

運用上の焦点がなければゼロトラストが失敗する理由

イェスケの経験では、 ゼロトラストは始まる前に破綻してしまうことが多い。

問題は概念を理解していないことではない。ほとんどのチームはゼロトラストの原則を理解している。問題は、それらの原則がどのように適用されるかということだ。

大規模組織、特に政府機関では、規模の視点で物事を考えるのがデフォルトのアプローチである。セキュリティチームは、企業レベルでイニシアチブを策定し、要件を広範に適用する。彼らは、何かがどれだけ広く普及しているかで成功を測る。

イェスケ氏はこれをゼロトラストへの道のりの初期段階と表現し、特定の成果ではなく、攻撃対象領域全体に焦点が当てられる段階だと述べた。

それは、おなじみのパターンにつながる。チームは、多要素認証（MFA）やエンドポイント制御などの機能を組織全体に導入します。これらは重要なステップではあるが、それだけで必ずしも効果的な保護につながるわけではない。

欠けているのは集中力だ。

保護すべき対象を明確に理解していないと、戦略的な対策ではなく、無差別に規制が適用されてしまう。そのため、影響を測定することが難しくなり、重要な分野でリスクが持続しやすくなる。

保護された表面：ゼロトラストが始まる場所

イェスケ氏が国土安全保障省と海軍で行った研究は、ゼロトラストについてより実践的な考え方を提示した。

セキュリティ責任者は、すべてを平等に保護しようとするのではなく、何が最も重要かを特定することに注力すべきである。

国土安全保障省（DHS）では、それはつまり、シンプルながらも重要な問いを投げかけることを意味した。つまり、どのデータ、アプリケーション、サービスが侵害された場合、任務遂行の失敗につながるのか、ということだ。

この問いは、戦略全体を根本から見直すものだ。

それは組織に対し、広範な対象範囲から具体的な成果へと焦点を移すことを促す。また、特に資源と複雑さの両方が高い環境において、努力の優先順位付けを自然に行う方法を生み出す。

ここで、 保護面という概念が非常に重要になってくる。

保護対象の表面は、重要な要素の最小単位である。それはネットワーク全体やシステム全体ではありません。それは、組織にとって失うことが許されない特定の資産または資源のことである。

そこに重点を置くことで、チームは正確で測定可能であり、実際のリスクに合致した管理策を設計することができる。

ゼロトラストを運用化するとはどういうことか

ゼロトラストを運用可能なものにするには、何が重要かを特定するだけでは不十分です。それには、その周囲にセキュリティを構築するための再現性のある方法が必要だ。

イェスケは、これが実際にどのように機能したかを説明した。

保護サーフェスの定義

最初のステップは、保護対象面を明確に定義することです。これは、大規模なシステムを、理解しやすく制御しやすい小さな構成要素に分解することを意味する。範囲が広すぎると、管理が不可能になる。

Yeske氏が提唱する有用なルールの一つは、保護対象領域へのアクセスを必要とするすべてのエンティティを、そのアクセスが必要な時期と理由とともに一覧化できるようにしておくべきだというものです。それができないなら、まだ範囲が広すぎる。

お使いのネットワークにとって何が正常な状態なのかを理解する

保護対象面が定義されたら、次のステップはその使用方法を理解することです。これには、取引の流れをマッピングし、正常な動作を特定することが含まれます。こうした背景知識がなければ、意義のある政策を実施することは難しい。

そこから、保護対象面にできるだけ近い場所に制御装置を設計し、適用する。これは、多くの場合、制御を境界に配置する従来のアプローチとの重要な違いである。

政策はこのプロセスにおいて中心的な役割を果たす。アクセスに関するあらゆる決定は、憶測ではなく、明確なルールに基づいて行われます。アクセスは条件を満たした場合にのみ許可され、継続的に評価されます。

ゼロトラストポリシーを監視し、改善する

最後に、システムは監視され、改良される。テレメトリは環境の挙動に関する洞察を提供し、チームがポリシーを調整し、時間をかけて改善していくことを可能にする。

このアプローチにより、ゼロトラストは単なる一連の原則から、実際に機能するシステムへと変貌する。

ツールだけでなく、能力の役割

イェスケの経験から得られるもう一つの重要な教訓は、組織がテクノロジーについてどのように考えているかということである。

多くの場合、彼らはゼロトラストを一連の製品決定事項として捉えている。チームは、何を作るかではなく、何を買うかに焦点を当てている。

国土安全保障省において、イェスケは異なるアプローチをとった。彼らは製品から始めるのではなく、能力に焦点を当てた。

能力とは、資源を保護する機能を実行する能力のことである。それは、人、プロセス、そしてテクノロジーが連携して機能することを含みます。

この区別は重要である。

つまり、成功はツールが導入されるかどうかによって決まるものではないということだ。それは、組織がそのツールがサポートすることを目的とした機能を一貫して実行できるかどうかによって定義されます。

イェスケ氏は、多くの環境は既に必要なツールを備えていると指摘した。問題は、これらのツールが必ずしも効果的に、あるいは互いに連携して使用されるとは限らない点にある。

組織は能力に焦点を当てることで、既に保有しているものをより有効活用できると同時に、真に不足している部分を特定することができる。

複雑な環境におけるゼロトラストの拡張

政府機関における最大の課題の一つは、規模の拡大である。

例えば、国土安全保障省（DHS）は、それぞれ異なる任務と技術的要件を持つ幅広い機関で構成されている。単一の画一的なアプローチは、必ずしも現実的ではない。

イェスケ氏は、この複雑さが「保護ウェブ」という概念によってどのように解決されたかを説明した。

プロテクトウェブとは、特定の保護対象面を中心に構成された一連の機能のことである。これにより、チームはより広範な戦略と整合性を保ちつつ、各資産に合わせた方法でゼロトラストを適用できるようになります。

このアプローチは、段階的な進歩を可能にする。

組織は、環境全体を一度に変革しようとするのではなく、段階的にゼロトラストを構築していくことができる。保護対象となる表面一つひとつが進歩の単位となり、より大規模で強靭な構造の構築に貢献する。

キンダーヴァグ氏が議論の中で強調したように、ゼロトラストはまさにこのように構築されるべきものです。つまり、一度に一つの保護対象領域ずつ構築していくのです。

ゼロトラストを機能させる

ゼロトラストは、しばしば最終目標として議論される。しかし実際には、それは一つの方法論である。

ドン・イェスケの経験が示しているのは、成功はフレームワークを採用したり、一連のツールを導入したりすることから生まれるものではないということだ。それは、明確で的を絞った戦略を策定し、それを一貫して実行することによって実現する。

保護面があることが、それを可能にしているのです。

それは組織が理論から行動へと移行するための道筋を示す。それは出発点、構造、そして進捗状況を測定する方法を提供する。

複雑さが増し続ける世界において、その明快さは不可欠である。

ゼロトラストの目標は、すべてを平等に保護することではなく、周囲で何が起ころうとも、最も重要なものが確実に保護されるようにすることである。

方法を学ぶ Illumio 政府機関にゼロトラストセキュリティを構築できます。