ゼロトラスト：無罪が証明されるまでは有罪

アイソレーションを活用したゼロトラストは、ビジネスを安全に行うための唯一の方法です。

先月、Information Security Media Group（ISMG）のTom Field氏とゼロトラストについて話す機会がありました。彼は、メンロ・セキュリティがどのようにしてこの新しいサイバーセキュリティの考え方を可能にしているのか、また、当社のアイソレーションのアプローチが成熟した金融サービス分野にどのように適用できるのかを知りたがっていました。

その前に、ゼロトラストとは何か?

ゼロトラストは単なるマーケティング用のスローガンではありません。すべてのWebコンテンツは有害であると仮定し、ユーザーのデバイス上ではいかなるWebサイトからのコードも実行できないようにしようとする考え方です。そしてこれは、完全に理にかなっています。私は実際にCISOとして働いた経験があり、何年もの間シリコンバレー中のCISOにアドバイスもしてきましたが、攻撃の多くは、ユーザーが完全には信頼できないWebサイトにアクセスしたときに発生するものと理解しています。しかし、完全には信頼できないにもかかわらず、これらのWebサイトがローカルブラウザーを介してエンドポイントにアクセスすることを許可し、マシン上でコードを実行することを許しているのです。これはセキュリティの観点から見ると狂気の沙汰ですが、ビジネスの観点から見ると、インターネットへの自由なアクセスは非常に重要です。

メンロ・セキュリティでは、ゼロトラストを「ユーザーの業務遂行能力を阻害することなく、信頼できない攻撃者からユーザーを保護する方法」と定義しています。

会話の中で、Tomは「ゼロトラストは『無罪が証明されるまで有罪』のようなものだ」と言っていましたが、ある意味ではその通りです。信頼できない外部の組織に、ユーザーのデバイス上でコードを実行させる必要があるでしょうか? しかしそれならば、なぜ皆がゼロトラストを採用し、マルウェアやその他のWebベースの脅威を歴史のゴミ箱に廃棄してしまわないのでしょうか?

その答えは、技術的にも文化的にも難しいということです。私たちは人間であり、生まれたときから人を信じるようにできています。信頼しないことをデフォルトとする考え方に突然切り替えろというのは、かなり無理があると思います。第二に、人が自分の言っているとおりの人間であることを確認するのは難しい、ということです。悪意のある攻撃者は、嘘をついたり、騙したり、盗んだりして、本来関係のないシステムにアクセスします。彼らは同僚や友人、家族になりすまします。ユーザーを騙して、侵入するために必要な鍵を渡してもらうのです。私たちは攻撃者に優位を取られており、手元の道具箱に入っている道具だけでは対抗できません。

多くの企業は、技術的な不足を補うためにユーザー教育を行っています。しかし、教育だけでこの苦境から抜け出すことはできません。もちろん、教育によって人々の意識を変え、ゼロトラストを受け入れやすくする必要はありますが、マルウェアが私たちのデバイスにアクセスするのを防ぐための一連のツールも必要です。

その答えはもちろん、インターネットのアイソレーションです。ユーザーが仕事をする上でWebサイトにアクセスしなければならないことは当然ですが、そのWebサイトがユーザーのコンピュータにアクセスしなければならない理由はありません。その代わりにクラウド上に仮想ブラウザーを立ち上げ、ユーザーに代わってWebサイトを操作し、良質で安全なコンテンツだけをデバイスで表示します。Webサイトの善し悪しがわからなくとも、正直なところ、それは重要ではありません。CISOとしては、外部の組織が私のネットワーク上でコードを実行する権利を持っていないことが重要なのです。

Tomのインタビューを聞いて、メンロのゼロトラストソリューションについての詳細をチェックしてみてください。また、メンロがどのようにしてユーザーの仕事の安全を確保するかについては、いつでもお気軽にお問い合わせください。