ゼロトラスト疲れと闘う：連邦政府機関がバズワードを行動に変えるための5つの方法

今の時代、サイバーセキュリティについて真剣に議論すれば、話が最終的にゼロトラストに行き着くことは避けられません。特に連邦政府機関においては、ここ数カ月以内にゼロトラストセキュリティの導入に着手することが義務付けられています。政府が推奨するゼロトラスト戦略によって、連邦政府機関のセキュリティチームは敵対者をよりよく理解でき、インフラのどこに脆弱性があるかを特定して、標準化され調整された対応プロセスの下で作業できるようになります。

表面的には、導入はうまくいっているように見えます。Oktaの報告によると、政府機関の72％がすでにゼロトラストへの取り組みを進めており、期限までに義務化の遵守率が100％に近づくという楽観的な見方もあります。しかしその一方で、ベンダーハイプ（誇大広告）と急速に迫る期限のために、連邦政府機関のIT組織では「ゼロトラスト疲れ」が広がっています。連邦政府のセキュリティ専門家の多くは、会議でゼロトラストという言葉を使っても失笑を買うだけだと言い、バズワードに過ぎないと主張しています。

ゼロトラストのハイプは、良くない結果をもたらします。Gartnerは、2025年までにゼロトラスト戦略を導入する組織の半数以上が、最終的にそのメリットを享受できないだろうと予測しています。

ゼロトラストの約束と必要性

ゼロトラスト疲れは、あなたにとって、ユーザーにとって、機関にとって、そして一般市民にとっても好ましくありません。ゼロトラストは連邦政府レベルで義務付けられていることに加え、最新のHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）と闘うための最良のセキュリティ戦略だからです。HEAT攻撃はブラウザーを通じて行われることが多く、悪意のある攻撃者が従来のセキュリティソリューションを回避して被害者のネットワークに初期アクセスできるように設計されています。

サイバーセキュリティに対するゼロトラストアプローチは、インターネット上のいかなるコンテンツも安全ではないと仮定することで、連邦政府機関をHEAT攻撃から保護します。ネットワークに接続しようとするユーザー、アプリケーション、サーバーなどのすべてのエンティティは、常時継続的に認証される必要があります。これは、まだ大部分がハイブリッド環境にあり、ブラウザーを通じて業務の多くを行っている連邦政府の労働者にとっては非常に重要なことです。ゼロトラスト原則を適用しない場合、連邦政府機関はHEAT攻撃の危険にさらされることになります。

ここでは、連邦政府機関がゼロトラスト疲れを乗り越え、ベンダーハイプに踊らされず、ゼロトラストイニシアチブを達成するための5つの方法を紹介します：

1. マインドセットを変える

ゼロトラストは、単なるチェックボックスではありません。それはテクノロジーソリューション以上のものであり、ユーザー、アプリケーション、データを保護する方法を根底から考え直すものです。ゼロトラストは、脅威の検知と対応にのみ焦点を当てるのではなく、脅威の発生を未然に防ぐためのプロアクティブな戦略です。検知の上に保護を重ねる（下記参照）ためには、悪意のある脅威からユーザー、アプリケーション、データを安全に保つという役割について、これまでとは異なる考え方を導入する必要があります。

2. 自機関のミッションに合致させる

セキュリティ戦略の再構成は、ゼロトラスト戦略を自機関のミッションと全体的なセキュリティ目標に合わせるのに最適のタイミングです。トップからの明確な指示があるとはいえ、最終的なゼロトラストプロジェクトの成功は、個々の機関によって定義されることになります。目標と、その目標へ向けた進捗は、機関によって異なります。進捗を進める際には、機関全体の重要な利害関係者（IT、運用、役員会）からフィードバックを集め、サイバーセキュリティが市民の保護、研究の進展、政府サービスの提供など、ミッション全体の他のすべての要素とどのように結びついているかを判断する必要があります。そして、既存のワークフローやプロセスにセキュリティポリシーを組み込むことで、生産性を阻害することなく、これらの資産をよりよく保護することができるようになります。

3. 長期的なソリューションに投資する

ゼロトラストは将来にわたって続くため、この新しい取り組みを始める際には、時間、お金、頭脳、リソースへの投資が長期に及ぶことに注意してください。ゼロトラストは単なる義務ではなく、ユーザー、アプリケーション、データを（時間とともに進化する）悪意のある脅威から守るための新しいアーキテクチャなのです。十分な時間をかけてこれらの重要な決定を行い、グローバルな弾力性を持つクラウドネイティブなテクノロジーを採用することで、セキュリティの将来性と拡張性を確保することができます。しかしゼロトラストプロジェクトに特別に予算が割り当てられるわけではないため、新たな長期戦略に合わせて既存の予算を再配分する必要があることに留意してください。

4. 既存のセキュリティスタックに保護層を追加する

ゼロトラストの導入は、レガシーなインフラを破棄してゼロから始めるということではありません。インターネットアイソレーションのようなゼロトラスト技術を既存のセキュリティスタックの上に重ね合わせることで、現在の技術や戦略を強化することができます。初期アクセスを防止し、異常な活動を監視するという2つのアプローチを取ることで、すべての基盤がカバーされていることを確認でき、既存のソリューションを破棄して交換するための手間と混乱を省くことができます。検知の上にアイソレーションをシームレスに重ねることで、ゼロトラストの原則を満たすためにアーキテクチャをオーバーホールする間も確実に保護されます。

5. 他の連邦機関のサイバーセキュリティの専門家から学ぶ

私たちは連邦政府全体を横断する大きなチームの一員であり、全員が同じ課題や義務に取り組んでいることを忘れてはいけません。同僚に声をかけ、ゼロトラスト成熟度モデルのさらに先にいる人からアドバイスやベストプラクティスを得ることができないか確認しましょう。カンファレンス、ユーザーコミュニティ、ソーシャルネットワークで同じ考えを持つ担当者を見つけ、何がうまくいき、何がうまくいかず、どのようにすればゼロトラストの実装とコンプライアンスを容易にできるかを確認します。

ゼロトラストによって前進する

ゼロトラストのハイプと迫り来る期限によって、サイバーセキュリティ戦略がバズワードになりかけてしまっています。ゼロトラストは、今日のHEAT攻撃から連邦政府機関を守るための、試行錯誤を重ねた理想的なサイバーセキュリティ戦略であるだけに、この状況は残念でなりません。連邦政府のサイバーセキュリティ専門家は、ゼロトラスト疲れと戦い、ハイプに踊らされること無く、ゼロトラストイニシアチブを成功に導くために行動に移らなければなりません。