ＪＮＳＡ社会活動部会長
　　　　　　　　　　 　丸山司郎

世の中に新しい概念が登場する時は、その考え方が世間に受け入れられ定着す るまでには、数年の時間がかかり、さらに定着した段階では当初提唱された概 念とは違う意味になっていることがままあると聞いたことがあります。私が知 らないだけかもしれませんが、「ゼロトラスト」も新しい概念であり、いまだ 世間には定着しておらず、その概念もあいまいなのではないでしょうか？

という訳で、ゼロトラストを提唱しているベンダー各社のエースの皆様にお集 まりいただき、次世代セキュリティのモデルと技術を一気に勉強してしまおう、 という虫のいいパネル討論会を1月21日のNSF2020の場で開催いたしましたので、 そのご報告をいたします。

モデレータ：
　鳥越 真理子 氏（NRIセキュアテクノロジーズ株式会社）

パネリスト：
　金子 春信 氏（アカマイ・テクノロジーズ合同会社）
　木村 滋 氏（シスコシステムズ合同会社）
　山本 築 氏（日本マイクロソフト株式会社）
　林　章 氏（パロアルトネットワークス株式会社）

パネルの概要については、こちらにございます。 https://www.jnsa.org/seminar/nsf/2020/data/B4_paneldiscussion.pdf

まずは、ゼロトラストについて、モデレータの鳥越様より概論をご説明いただ きました。

・働き方改革の流れから、リモートワークが当たり前の世の中になり、従来型 の物理的なセキュリティゾーニングの考え方では、組織の機密情報は守れない 時代になった。

・従来の境界防御型のアプローチでは、利便性、サイバー攻撃対策、クラウド サービス活用で高まる内部不正リスク対応等の要求にこたえられず、エンター プライズIT環境に有効に機能する新しいモデルが求められるようになった。

ゼロトラストとは、"Verify and Never Trust"（決して信頼せず必ず確認せ よ）をモットーとするセキュリティフレームワークである。

・2010年にForrester社よりゼロトラストが提唱され、2016年のGoogle社の 「Beyondcorp」の詳細発表により大ブレイクした。

次に、アカマイ・テクノロジーズ社、シスコシステムズ社、日本マイクロソフ ト社、パロアルトネットワークス社の順で各社の考えるゼロトラストのモデル をご説明いただきました。各社とも各々の持つビジネス上の強みをベースとし て、いかに"Verify and Never Trust"を実現していくのかという戦略であり、その手段、進め方は各々違うものの、その目指す所は同じであると理解しました。

ここから、事前に依頼していた質問に回答いただくという形で、パネル討論が 始まりました。

Ｑ１．どのような企業が導入すべきか？
・どのような企業でも恩恵を得られる
・すべてのお客様が対象
・APTの標的になる可能性のある組織

などのご意見をいただき、昨今のビジネス環境と脅威の変化に対応すべき、 すべての企業が対象となりうることが分かりました。

Ｑ２．導入の戦略は？
・クラウドシフトの流れで自社の課題解決と合わせて
・成熟度モデルを元に実行計画をたてる
・自社の守るべきものが何かの定義するところから

ここでの印象として、従来からのセキュリティ導入の戦略と本質は同じであり、 経営層とビジネス目的の合意、戦略組織の設置、現状把握と可視化、データ資 産の評価、ポリシーの設計、組織全体への適応という流れなのだと理解しまし た。

Ｑ３．ゼロトラストと言いながら、実用上そうなっていないところは？
・理想はデータ単位のセキュリティまで実装することだが、現状ではネット ワークレベルまでが中心
・組織が全て同一のアーキテクチャーであればコントロールを統一できるが、 現実はドメイン毎に実装が異なる。
・リモートアクセスが進んでも、「トロンボーンアクセス」（リモートから VPNを通って本社に戻りそこからクラウドに出ていく、“社外から社内に戻っ てまた社外にでる”パス）が行われ、社内のプロキシに集約したログ管理でイ ンシデント対応をしている。
・資産の把握が十分でなく、評価もできていない。また、トラストアンカーも IDに落ちていない
・システムを構築する側の部門が異なり、実装がばらばら

など、理想を実現するには、様々のハードルがあることが分かりました。

Ｑ４．ゼロトラストを運用する上での懸念や遭遇したトラブルは？
・ネットワークベースから、IDベースのアクセス制御に移行するする必要があ るが、現場のID管理は分散しサイロ化している。まずIDの整理と統合が必要。
・ゼロトラストの有効性は理解しても、まずアセットマネジメントができてい ない。
・Always Verify, Continuous Verifyは、都度Verify を要求するため、ユー ザに「めんどくさい」と言われる。日本の文化には向かないのではないか？
・日本ではまだSOCベンダーが手作業で監視しているが、運用上はAIが対応し た方が迅速で詳細なログもダッシュボードで出る。正当な競争環境にないので は。

など、当事者でなければわからないご意見を伺えました。

最後に、まとめとして、パネラーの方々にこれからのセキュリティ対策の在り 方をひとことずつ伺いました。

・クラウドに魂を売るならゼロトラスト
・データセキュリティ実装にはIDをトラストアンカーとしアセットを定義
・100% VerifyするためにCARTA
・CDO/CTrOのイニシアティブセキュリティ啓もうが必要

この原稿を「働き方改革の流れから、リモートワークが当たり前の世の中にな り〜」と書き始めた所で、新型コロナウイルス騒動が起きて、誰もが在宅勤務 を真剣に考えなければならない状況になってしまいました。感染の拡大が早期 に終息することを心から願うとともに、サステイナブルな事業継続のためにも、 新たな技術を活用し、より生産性の高い、より安全で安心して働けるビジネス 環境が構築されることを祈念いたします。

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン183号の感想をお寄せください。
http://bit.do/fAoVM
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★JNSAソリューションガイドのトップページ掲載バナーを募集中です。
https://www.jnsa.org/JNSASolutionGuide/
　詳細についてはJNSA事務局まで。

★人材育成検討会では、今年度の「JNSAインターンシップ」情報の掲載をはじめました。
こちら→　https://www.jnsa.org/internship/
　「JNSAインターンシップ」へのご参加企業を募集しています。
　ご興味ある方は、JNSA事務局まで。

【事務局からのお知らせ】
★総務省、経済産業省よりテレワークを含む民間支援情報ナビについて登録の依頼がありました。
該当する企業さまがいらっしゃいましたら以下のURLよりご登録ください。
https://docs.google.com/forms/d/e/1FAIpQLSe3d9UNJtTt8W3I4XN41J_xi2PP4HnmjabitFnwl_n5q75EzQ/viewform

★内閣サイバーセキュリティセンター（NISC）より「サイバーセキュリティ関係法令Q&A ハンドブック」が公開されています。ぜひご覧下さい。
https://www.nisc.go.jp/security-site/law_handbook/index.html

★IPA「情報セキュリティ10大脅威2020」が公開されました。ぜひご覧下さい。
https://www.ipa.go.jp/security/vuln/10threats2020.html

★2020年度年会費ご請求書とJNSA会員登録情報確認票を会員企業各社のご連絡担当者様にお送りさせていただいております。
ご登録情報に変更がありましたら、事務局までご連絡をお願いします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡　<http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン　第183号
発信日：2020年3月19日
発　行：JNSA事務局　
*************************************