信頼は決して絶対的なものではありません。どの程度信頼できるかを示す指標であり、動的な指標です。スポーツ用品メーカーの Under Armor 社の創業者である Kevin Plank 氏は「信頼を築くときは 1 滴ずつだが、失われるときはバケツ単位だ」と述べています。ネットワーク侵入、データ侵害、ランサムウェア攻撃などが発生するたびに、この指標は変化していきます。「信頼せよ、されど確認せよ」は、冷戦中の規範でもありました。

ゼロトラストとは

ゼロトラストという考え方は、すでに何十年も前からあります。信頼は、コンピューターや Web ポータルにログインするときに入り口で確立されます。信頼には、Web ブラウザから HTTPS でサーバー証明書検証を有効にして安全なサイトにアクセスする一方通行の信頼と、クライアントがサーバーに証明書を提示しなければならない相互認証のような双方向の信頼があります。ユーザーのパスワードは侵害される可能性があるため、「あなたが知っていること」＋「持っていること」の 二要素認証が必要になりました。

では、ゼロトラストという考え方はどこから始まるのでしょうか。そこで登場するのが、暗黙の信頼と明示的な信頼の違いと、信頼の転送（または推移的な信頼）という概念です。信頼はチェーンのように連鎖します。信頼はローカルエンドにある信頼の基点から転送され、垂直方向の信頼チェーンを確立し、水平方向の信頼チェーン越しにリモートエンドに仲介されます。信頼は、信頼できるアイデンティティから始まり、接続されたデバイスのライフサイクル全体にわたって持続しなければなりません。

信頼できるデバイスのアイデンティティ

デバイス（インターネット上のモノ）の世界の出現により、新たな課題が生まれています。ヘッドレスデバイスは、「あなたが知っていること」が通用しない非リアルの存在です。デバイスの 2 つ目の要素は、デバイス上のローカルセキュアエレメント内で保護された秘密を所有していることを証明することで検証可能な、不変のアイデンティティを持つローカルな信頼の基点です。デバイスのライフサイクルで「ゆりかごから墓場まで」に相当する言葉は、オンボーディング、プロビジョニング、運用、オフボーディングです。

デバイスのオンボーディング

ネットワークファブリックにデバイスを追加するということは、配線クローゼットに接続する前にデバイスを信頼していることを暗に意味しています。これが暗黙の信頼です。明示的な信頼には、ローカルの信頼の基点からの信頼チェーンを確立し、高いエントロピーを持つ暗号鍵を生成し、その鍵を安全なキーストアで保護し、パブリックまたはプライベートの認証局から誕生証明書と運用可能な証明書を発行することが必要です。誕生証明書はメーカーが発行した初期 ID とリンクしている必要があり、運用可能な証明書はデバイスの所有者が発行したローカル ID とリンクしている必要があります。これにより、ヘッドレスデバイスの多要素認証が確立されます。

デバイスのプロビジョニング

次に、デバイス機能の有効化が必要です。これには、デバイスの初期設定から、業務（LOB）アプリケーションのインストール、デバイス管理システム（DMS）、ネットワークオペレーションセンター（NOC）、セキュリティオペレーションセンター（SOC）のオペレーターがデバイスを有効化して管理するためのセキュリティコントロールまでが含まれます。

デバイスの運用

モノが通信しない限り、インターネット上では何も起こりません。接続されたデバイスが問題になるのはこの点です。幸いなことに、暗号がそれを解決してくれます。残念なことに、暗号には秘密鍵の安全な保管と一時的なセッション鍵の安全な交換が必要です。ネットワークトラフィックの不法な傍受や、耐量子コンピューティングの使用により、新たな課題が浮上しています。幸いなことに、こうした脅威に対抗するために、セキュアエレメント（Trusted Platform Module など）、量子コンピューターに対し安全な暗号、強化されたトランスポート層セキュリティプロトコル（TLSv1.3 など）が登場しました。接続されたピア間の信頼の伝達には、相互認証によって双方向の信頼を確立することが必要です。データ保護には、明示的な信頼の概念に基づき、信頼できるピア間でデータ交換を行う必要があります。

洗練されたツールと手法を武器とするサイバー犯罪者は、常に防御する側の 2 歩先を行っています。そのため、セッションキーの再生成、秘密鍵のローテーション、証明書の更新は、賢明なリスク対策と言えます。脅威をコントロールすることはできませんが、リスクを管理することは可能です。一度工場から出荷されたデバイスは、ファームウェアから OS、アプリケーション、設定に至るまで、そのサービス寿命を通じてアップデートが必要になります。有効化されたデバイスを保護するには、アップデートパッケージの提供者（プロバイダー）から配布者（パブリッシャー）までの耐改ざん性を備えた信頼チェーンを確立する必要があります。推移的な信頼チェーンには、サプライヤーにおける安全な開発運用（DevSecOps）、サプライチェーンのための安全なコード署名、アップデートパッケージのソフトウェア構成表（SBOM）の発信源、アップデートパッケージのプロバイダーから配信者までの耐改ざん性を備えた証拠保全（CoC）、アップデートを適用する前に受信したアップデートパッケージの信頼性を検証しデバイス上で最終的な保護制御を行うことが含まれます。これにより、双方向の追跡が可能になります。

デバイスのオフボーディング

どんな良いものでも、いつかは撤去しなければならない日がやってきます。暗号化された未管理デバイスの悪用によって引き起こされるリスクを考えると、廃止の儀式としてデバイス上の鍵や証明書を消去する必要があります。これこそがゼロトラストの本質です。ゼロトラストは、明示的な信頼と、デバイスの運用期間を通じて持続する推移的な信頼を合わせたものです。信頼は入り口で確立されますが、ゼロトラストは入り口を通過したその先で測られるのです。

まとめ

一見、導入が面倒なソリューションに見えますが、これはデバイスベンダー、デバイスの運用者、デバイス所有者の共同責任です。これから先、サイバー空間をデジタル化し、情報技術（IT）と運用技術（OT）の融合を実現するためには、関係者が力を合わせる必要があります。新しいテクノロジーは、すべての産業部門において、かつてないほどの業務効率化とコスト削減への扉を開いています。