ライアン・グラントは、グローバルなサイバーセキュリティリーダーであるESETの米国・カナダ担当カントリーマネージャーである。
企業のセキュリティが、城を築くようなものだと感じられた時代があった。堀を掘り、壁を高くし、分厚い境界を設ければ、その内側は本質的に信頼できると考えたのだ。安全で、予測可能で、外部から隔離されていると。
その考え方が一夜にして崩れ去ったわけではないが、ひび割れは早くから見えていた。2000年代半ば、Jericho Forumは、多くの組織が聞きたくなかったことを指摘し始めた。境界は溶けつつあるということだ。データはもはや要塞の中にきれいに収まってはくれない。ユーザーはオフィス内の管理端末に縛られない。アプリケーションも社内サーバーに行儀よく居続けない。脱境界化は不可避だった。
時を経て現在、Jerichoが予見した世界に私たちは生きている。ハイブリッドワークは例外ではなく標準となった。従業員は空港やカフェ、リビングルーム、コワーキングスペース、バケーションレンタルなどから接続する。スマートフォン、タブレット、ノートPC、自宅のPC──それらすべてが企業データに触れている。
Verizonの「2025 Data Breach Investigations Report」によれば、企業の認証情報を含むインフォスティーラー(情報窃取型マルウェア)によって侵害されたシステムのうち46%は、管理されていない個人端末だった。これは、BYOD(私物端末の業務利用)やポリシー外の端末利用における重大なセキュリティリスクを浮き彫りにしている。クラウドサービスは分単位で増え、サプライチェーンはデジタルに連結されていく。新しい接続が増えるたび、API呼び出しが発生するたび、ネットワークに信号を送る端末が増えるたびに、痛烈な問いが突きつけられる。何かを本当に信頼できるのか。
ゼロトラストは、その答えが「できない」と認める瞬間から始まる。
境界はどこから始まり(そしてどこで終わらないのか)
セキュリティは「ネットワーク境界」から始まるのだという考えに、いまだしがみつく組織もあるかもしれない。しかし、話はそう単純ではない。端末が企業リソースへのアクセスを求めた瞬間、境界は事実上、その端末が存在する場所に生まれる。
その端末が、ティーンエイジャーがゲームにも使う自宅のPCなら? そこが境界である。個人のスマートフォンで企業メールを同期しているなら? そこが境界である。管理外のタブレットでOutlook Web App経由で機密の添付ファイルをダウンロードしているなら? そう、それも境界である。
接続するあらゆる端末は、玄関先の見知らぬ人物として扱わなければならない。敵意があると決めつける必要はないが、信頼できるとも言えない。
驚くほど多くの組織が、この点を忘れてしまう。「Outlook Web Accessに過ぎない、何が問題なのか」と誰かが考える。その一方で添付ファイルは、点検も統制も制限もされないまま、ネットワークを横断して移動していく可能性がある。それは利便性を装った死角である。
現代のセキュリティ戦略は、こうした死角に正面から向き合わなければならない。つまり、ユーザーの本人確認と端末のセキュリティ状態の検証ができることに加え、付与するアクセスを制御し、その端末がアクセスできる範囲をセグメント(分割)し、生成されるトラフィックを監視できなければならない。さらに、ユーザーがどこにいても一貫してポリシーを適用する必要がある。
それができなければ、鍵が不便だという理由で扉の鍵を開け放っているのと同じである。
セグメンテーション:もはや選択肢ではない
ゼロトラストに関する大きな誤解の1つは、すべてを遮断することだというものだ。しかし実際は違う。ゼロトラストとは、あらゆる接続、あらゆるリクエスト、あらゆるデータフローを理解し、そのうえでポリシーとリスクに基づいて、何を許可するかを決めることである。
自宅PCがアクセスを求めるなら、必要な保護を求めればよい。個人のスマートフォンが企業データを求めるなら、その端末にできることを制限できる。契約社員がリモートアクセスを求めるなら、実際に必要な1つのアプリケーションだけに世界を絞り込むこともできる。
重要なのは、ユーザーが回避策を探し始めるような摩擦を生まずに、賢く一貫して実行することである。
成熟度が重要
セキュリティ業界での私の経験から言えば、ゼロトラストは継続的に進化する旅である。「すべてを一気に置き換える」発想は退け、ゼロトラストを成熟度モデルとして捉えるべきだ。まず強固なアクセス制御から始め、可視性を高め、そこからインテリジェンス、検知、そして最終的には予防へと積み上げていく。一歩ずつ、改善は次の改善を増幅していく。
また、暗号化はすべての段階で必要である。統合された端末セキュリティを構築すれば、企業端末であれBYODであれ、すべてのエンドポイントが最低限の保護要件を満たす。脅威インテリジェンスは、可視性を反応型から先読み型へと引き上げる。自動化された検知と対応は、「何か怪しい」と気づくことと「もう手遅れだ」の間にあるギャップを埋める。クラウドとオンプレミスの同等性は、ポリシーがユーザーに追随することを意味し、その逆ではない。境界がどこまで広がろうと関係ない。保護も同じように広がるのだ。
壁がなくなったなら、より賢く築け
セキュリティは、もはや壁がどこにあるかの問題ではない。壁が存在しないときに、重要なものをいかに賢く一貫して守るかである。
何かが「内側」にあるからといって信頼してはならない。端末が従業員(あるいは会社)の「所有物」だからといって安全だとみなしてはならない。接続が「正常に見える」からといってプライバシーが保たれるとも考えてはならない。
予防ファーストのマインドセットを確立するとは、「何も信じず、すべてを守る」ということだ。これこそが現代の防御の現実である。境界は今や至るところにあり、適切なアプローチがあれば、その「至るところ」を守ることができる。
