来の境界防御型に代わる新しいセキュリティモデルとして「ゼロトラスト」が注目されている。名前の通り「信頼できない」ことを前提にセキュリティ対策を講じるゼロトラストは、いまなぜ必要とされるのだろうか。サイバーセキュリティ分野の第一人者である慶應義塾大学の手塚悟教授に、ゼロトラスト・セキュリティが求められる理由、導入時に留意すべき点などについて話を聞いた。
慶應義塾大学 環境情報学部 工学博士 手塚 悟 教授
従来の考え方が「ゾーンディフェンス」なら、ゼロトラストは「マンツーマンディフェンス」
――ゼロトラストの考え方に基づくセキュリティ対策に注目が集まっています。どのような背景から求められているのでしょうか。
手塚 インターネットを活用していく中で、最も脅威となるのは外部からのサイバー攻撃です。そこで従来は、外部と内部のネットワークを分け、ネットワークの状態を監視しながら脅威の侵入を防御するというセキュリティ対策がとられてきました。この方法はバスケットボールに例えれば“ゾーンディフェンス”のようなものです。ディフェンスが破られて中に入られると、いとも簡単に攻撃を許してしまいます。
こうした従来のセキュリティ対策を全否定するわけではありませんが、すでにこの方法だけでは防御しきれないことは明確です。特に日本では内部を信用するという「性善説」に基づいていることが多く、内部犯行に弱いという欠点があります。しかし海外では、内部の誰であろうと信用しない「性悪説」に基づいたセキュリティ対策が一般的です。つまり日本でも、誰がどのデータへのアクセスを許可されているのか、ひとつひとつをシステムでチェックする“マンツーマンディフェンス”へと切り替えていく必要があります。
これがまさしく「ゼロトラスト」の考え方です。信頼せずにすべてのアクセスを逐一コントロールすることで、内部犯行も含むサイバー攻撃の脅威に対抗しようというのが、ゼロトラストが登場した背景です。
「トラストサービス」の整備が急務
――ゼロトラストを実現するには、どのような仕組みが必須になるのでしょうか。
手塚 ゼロトラストの実現手段として知っておかなければいけないのが、「トラストサービス」です。これは、ネットワークを通じてやり取りされるデータの真正性、データ流通基盤の信頼性を確保する仕組みを指します。トラストサービスは、データ作成者の正当性を確認する電子署名、データを発行した組織の正当性を確認する電子証明書、特定の時刻以降にデータの改ざんがないことを証明するタイムスタンプ、送受信者の識別やデータの完全性、送受信日時の正確性を保証するeデリバリーなどの機能で構成されています。このトラストサービスを提供する基点となるのが「トラストアンカー」(または「ルート・オブ・トラスト」)です。トラストアンカーは、データを送受信する人・組織・機器を事前に審査・登録してIDを発行し、正当性を確認して改ざんや送信元のなりすましを防止するという重要な役割を果たします。
欧州(EU)・米国ではすでに包括的なトラストサービスの法制化が進んでおり、日本も「自由と信頼のルールに基づくデータ流通圏と国際相互連携」の実現に向け、EU・米国と国際協定をそれぞれ締結しています。しかし法制度の整備はこれからの段階であり、私もトラスト基本法(仮称)の制定、国際相互連携を踏まえたデジタルシステムや技術標準化組織の整備などを提言しています。本格的なゼロトラストを実現していくには、まずはこうした基盤を整備することが重要であり、それに向けた取り組みが始まったところです。
