ゼロトラストの基本は「保護対象を隔離すること」

恒本：キンダーバーグさんは、どのような経緯でセキュリティ分野に従事するようになったのですか。

キンダーバーグ氏：私のキャリアは、インターネットはもちろん、現代のようなコンピューターがまだ存在しない時代から始まりました。当初は放送エンジニア、厳密にはテレビエンジニアとしてテレビネットワークの設計を学びました。その後放送技術はデジタル化を遂げます。
　ITシステムの登場を機に、私は自分でコンピューターを組み立てたり、コンピュータアニメーションを作成したりしました。この経験をきっかけに、ネットワークエンジニアとしてのキャリアをスタートさせています。
　その後、ITシステムのセキュリティにも注目するようになり、フォレスター・リサーチというアメリカの研究機関で8年半にわたりセキュリティを研究しました。その研究を通じて、「内部ネットワークを信頼し、外部ネットワークを信頼しないとする」既存のモデル（境界防御型モデル）にはセキュリティの観点から問題があることを発見。2010年には、「すべてを信頼しないとする」ゼロトラストモデルを提唱しています。
　これまで私は、世界中でゼロトラストモデルを提案してきました。そこでお話ししてきたのが、ゼロトラストモデルの基本は「重要なデータやIT資産を隔離する」ことです。データやIT資産全てを厳重に保護する必要はありません。例えば、この会議室にいる人々を守ろうとする時、東京にいるすべての人を保護するよりも、保護対象者を隔離して保護する方がずっと簡単ですよね。

2つの事件からゼロトラストの重要性が認識される

恒本：保護対象の規模を小さくすることで、確実にデータやIT資産を守るのですね。キンダーバーグさんが世界各地で提唱してきたゼロトラストモデルは、現在グローバルで適用されていますか。

キンダーバーグ氏：もちろんです。2021年、バイデン大統領は連邦政府機関にゼロトラストへの移行を命じる行政命令を発令しましたが、これが世界中でゼロトラスト戦略の推進が叫ばれるようになったきっかけの1つです。
　アメリカ政府内部では2010年代からゼロトラストの重要性が認識されていたものの、行政命令が発令されるまでには時間がかかりました。ゼロトラスト戦略の機運が高まるようになったきっかけとしては2つの被害事例があります。
　1つ目は、2013年に大手スーパーが大規模なデータ侵害に遭ったという事例です。この事件では、クレジットカード番号を始めとする、消費者の個人情報が流出。この事件を機に、証券取引委員会は、サイバー攻撃やデータ侵害をこれまでとは異なる視点で捉えるようになりました。この事件が起きたことによって、ゼロトラスト戦略の推進は取締役会レベルの会議に持ち込まれるようになりました。
　2つ目は、2015年に発生した連邦政府の人事管理局がデータ侵害を受けた事例です。2,200万人近くのアメリカ国民の個人情報が盗まれたこの事件は、アメリカ政府内で大きく取り上げられました。この事件を受けてアメリカ合衆国の下院は、2016年にデータ侵害報告書を発行。全機関に対して、ゼロトラストモデルへの移行を求めています。

全文をご覧になりたい方はこちら