米国連邦政府機関によるゼロトラスト導入の推進

※この投稿は米国時間 2021 年 7 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

5 月、米国政府は国内のサイバーセキュリティの強化を目的とする大統領令を発令し、米国連邦機関に米国標準技術研究所（NIST）のガイダンスに沿ったゼロトラスト アーキテクチャの導入計画を策定するよう求めました。また、この大統領令では、連邦機関にゼロトラスト導入を実施または促進できる機能を持つクラウドの導入推進も呼びかけています。

ゼロトラストが注目の的に

この 1 年で、リモートワーカーおよび VPN、ソフトウェア サプライ チェーン、ID インフラストラクチャ、メール、さまざまな重要インフラストラクチャ分野を標的としたランサムウェアなどのサイバー攻撃が急増しています。こうした状況を考慮すれば、米国政府のガイダンスはタイムリーかつ必要なものです。こうした攻撃により、サイバーリスクに対する懸念が全般的に高まりました。攻撃者に悪用される可能性があるにもかかわらず十分な検討を経ずに広範に利用されている IT モノカルチャーも懸念されるリスクのひとつです。

この大統領令は、過去 10 年間にわたって進化してきた米国のサイバーセキュリティに関する複数のベスト プラクティスやポリシー（ID とアクセス制御の強化、暗号化と認証の使用拡大、モニタリングと可視化の強化、価値の高い IT アセットの優先順位付けなど）を 1 つにまとめるものです。しかし、既存のサイバーツールの普及や、従来の予防措置とコンプライアンス対策の強化は、緊急性の高いサイバーセキュリティの課題を解決するには十分とは言えません。政権によるゼロトラストへの取り組みは、戦略的に調整された多層のサイバー防御によって防衛効果を高めるというアーキテクチャ重視のセキュリティ対策へ、重要な転換が起きたことを示しています。

とはいえ IT でゼロトラスト導入を促進するという連邦政府のニーズは、さまざまな意味で新しいものではありません。すでに数々の政府機関では、大統領令で定められた目標の達成を後押しする主要な技術コンポーネントの多くを導入済みだからです。

しかし、ゼロトラストを適切に活用することで成果を重視したセキュリティ対策ができる点は、今まで知られていなかった事実です。ゼロトラストを適切に導入することで、サイバーリスクの低減、セキュリティに関する日々のユーザー エクスペリエンスの変革、管理に伴う煩雑さと負担の軽減、組織の全般的な生産性向上が可能です。

成果を重視した技術

ゼロトラストの導入を成功に導く上で重要なのは、個々の技術コンポーネントや入力データではありません。セキュリティ コンポーネントの統合とオーケストレーションをどのように行うかが、以下のシンプルな一連の基本原則を実現し、適用するために最も重要です。

• ユーザーがアクセスできるサービスが、接続しているネットワークによって左右されないこと

• サービスとデータへのアクセス権が、ユーザーとユーザーのデバイスについて組織側が把握している情報に基づいて付与されること

• サービスへのすべてのアクセスが、認証、承認、暗号化されること

10 年以上前、こうした原則を道しるべとして、Google は米国がサイバーセキュリティ ポリシーを推進しようとしている現在と似た状況のなか、BeyondCorp を使用したゼロトラストの実装を開始しました。国家単位のサイバー攻撃（オーロラ作戦）の標的になったことで、当時世界中で急速に従業員が増えていた時期であったこともあり、Google は VPN によるリモート アクセスは業績を上げるためには非効率的であり、継続して使用できるものではないと評価しました。何かを変える必要があったのです。

セキュリティ対策とユーザー エクスペリエンスを改善するために、Google のインフラストラクチャと本番環境ネットワークを再定義する必要がありました。この再定義により、サプライ チェーンを保護するための仕組みにイノベーションがもたらされました。完全なモダナイゼーションに必要なスケール、分析、可視性を根本から見直したことで、エンタープライズ セキュリティが一新されたのです。この過程で、Google は複数の冗長システムを統合し、使用パターンの理解を深めるとともに、セキュリティ保護のための日々のユーザー エクスペリエンスを変革する必要に迫られました。

テクノロジーと意識の変化

BeyondCorp を開発するにあたり、セキュリティ対策とユーザー エクスペリエンスを改善するためには、Google のインフラストラクチャと本番環境ネットワークを再定義する必要がありました。この再定義により、サプライ チェーンを保護するための仕組みにイノベーションがもたらされました。完全なモダナイゼーションに必要なスケール、分析、可視性を根本から見直したことで、エンタープライズ セキュリティが一新されたのです。

Google がゼロトラストに移行したことで、エンドユーザーの業務は劇的に変わり、企業のセキュリティを確保するために個人ユーザーと IT プロフェッショナルが行っていた作業が軽減されました。また、イノベーションや運用統合が進み、今日目にするアーキテクチャやベスト プラクティスが生まれました。現在、Google のユーザーが利用可能な多層防御と見えないセキュリティは、Google の安全なクラウド プロダクトにも組み込まれています。そのため、Google Cloud のお客様は、Google と同じ機能を活用して、安全で生産性の高い作業環境をユーザーに提供することができます。

さまざまなチームの導入プロセスを主導

特に政府のような規模であれば、変化も小さなものではありません。行動、ユーザー エクスペリエンス、共同作業、ツール、インフラストラクチャを変更するためには、事前の計画、チェンジ マネジメント、経営陣によるサポートが欠かせません。ゼロトラスト導入を成功に導くためには、リーダーが示す有意義な変化をもたらすビジョンのもと、組織が長期的に取り組みを行う必要があります。従来のセキュリティおよびテクノロジー部門のリーダーがゼロトラストの導入プロセスを加速させるためには、戦術的思考よりも戦略的行動を優先し、課題より結果を重視する必要があります。また、従来は IT とセキュリティでそれぞれスタンドアロンだった取り組みを統合、統一、オーケストレーション、自動化する必要があります。技術部門以外のリーダーにも、継続的な取り組みとリーダーシップが不可欠です。また、テクノロジー中心だとみなされがちな取り組みから、コラボレーション、組織文化、ビジネスに目に見えるメリットがもたらされることを考えると、技術部門以外の取り組みの重要性はさらに高まります。

適切に実装すれば、ゼロトラストはセキュリティに関連する大部分のユーザー エクスペリエンスに大きな変化をもたらします。組織がゼロトラストを導入するかどうか迷っている場合、2 つの選択肢があります。安全性が低く、時代遅れで作業負担が高い古いセキュリティ モデルを維持する選択肢と、操作が直感的かつ容易で安全な新しいモデルを採用する選択肢です。

今すぐ移行プロセスを開始しましょう

現在、ゼロトラストを実装することは、セキュリティ、運用、組織の各モデルに政府レベルの変革をもたらす機会を活用できるということです。Google は、BeyondCorp の実装プロセスを通じて得た学びを共有し、Google Cloud プロダクトの多くに主要なセキュリティ機能を組み込むことで、政府機関によるゼロトラストの導入プロセスの推進と、特に価値が高く重要なアプリケーションとデータを保護するセキュリティ対策の変革を支援することを目指しています。

詳しくは、Google Cloud Government Security Summit のオンデマンド セッションをご覧ください。

著者略歴

Dan Prieto は、米国政府の国家安全保障会議のサイバーセキュリティ政策責任者、米国防総省 CIO オフィス Defense Industrial Base Cybersecurity Program（防衛産業基盤サイバーセキュリティ プログラム）の CTO（最高技術責任者）およびディレクターを務めた経歴を持っています。

Max Saltonstall は、Google Cloud、Google 社内で使用しているクラウド関連のツールの使用方法、Google Cloud の数多くのお客様が創り出した多彩なソリューションに関する部分を執筆しました。Google では、DoubleClick、コーポレート エンジニアリング、人員配置の各チームと、Cloud CTO オフィスのメンバーを歴任してきました。

-Google Cloud セキュリティ、グローバル公共部門戦略エグゼクティブ Dan Prieto