ゼロトラストはパラダイムシフトであり、革新的な技術ではありません。しかし、ゼロトラストにはいまだに多くの疑問が残されています。たとえば、それは遊休化したデバイスを廃棄することを意味するのでしょうか。出回っているデバイスの更新が必要になるのでしょうか。お金のかかるアップグレードが必要なのでしょうか。最新のセキュリティに準拠していないデバイス用のネットワーク接続許可制御が別途必要なのでしょうか。この記事では、ゼロトラストに必要なものについて掘り下げ、ゼロトラストはコストのかさむテクノロジーというよりも、パラダイムシフトであるということについて説明します。

ゼロトラストへの抵抗

組織がゼロトラストの導入に抵抗感を示す背景には、デバイス切り替えの経済的、認知的、政治的側面をはじめとするいくつかの理由があります。

組織がゼロトラストに抵抗感を示す理由の 1 つ目はデバイスの切り替えの経済的側面です。ブラウンフィールド（既存）デバイスにおけるゼロトラストには、ハードウェアのアップグレードを伴わない「ゼロコスト」のワンタッチプロビジョニングが必要になります。配置のための容量（メモリとストレージ）の小さいエージェントを使用することで、リソースに制約のあるデバイスにも技術的に実装可能です。

ゼロトラストの採用を遅らせている 2 つ目の要因は、デバイスの切り替えの認知的な側面です。セキュリティ専門家は、ゼロパスワードとコマンド、ひいてはレスポンスをデジタル認証する必要性があると考えています。その際にリアルタイム性能（低遅延）を考慮し、暗号化は後回しになることがあります。しかし、米国商務省標準化技術研究所 （NIST）によって承認された暗号とネットワーク層プロトコルがあるため、LOB （業務）アプリケーションの再構築を必要とせずに両方を実現できます。

3 つ目に、デバイスの切り替えの政治的な側面から、ゼロトラストに抵抗を示す組織もあります。デバイスの所有者は、メーカーが自分のデバイスを保護することを望んでいます。メーカーは、出張保守サービスとフィールドエンジニアが必要となる（既存）デバイスに対してそのようにする金銭的インセンティブもコンプライアンス上の義務もありません。ネットワークベースの検出/防止方法、ソフトウェア定義エッジ（SD-Edge）、セキュアアクセスサービスエッジ（SASE）ソリューションは、情報技術（IT）と運用技術（OT）システム間のワークフローを最適化したいと考えるCISO（最高情報セキュリティ責任者）の IT 予算枠を奪い合おうとします。しかし、CTO （最高技術責任者）と製品セキュリティ設計者は、デジタルトランスフォーメーションの醍醐味、つまり機械学習と人工知能のアプリケーションを強化するためにはデバイスを変革する必要があります。モノにデジタルトラストを実装し、IT/OT/IoT/IIoT システムの水平的プラットフォームを構築する必要があるでしょう。

サイバー保険会社は、保護が不適切なハイブリッドエコシステムに対するサイバー攻撃後に支払いに応じる前に、インフラのモダナイゼーション（グリーンフィールド、新規デバイス）とインフラの堅牢化（ブラウンフィールド、既存デバイス）を織り込んだ保険契約の締結方法を決定する必要があります。既存デバイスの耐用年数により、リップアンドリプレース（完全に置き換え）のポリシーで最終的にデバイスの早期廃棄が決定される可能性があります。

ゼロトラストが重要な理由

ゼロトラストは、暗黙の信頼モデルとは対照的な、明示的な信頼モデルです。信頼できる機関による身元確認と相互（双方向）認証は基礎となる信頼の中核的要素ですが、信頼性を高度に保証するためには、証明が可能となる実運用が不可欠です。運転免許証を所持していることは、運転者が暗黙的に信頼できることを示唆するかもしれませんが、運転者の現在の状態（飲酒運転など）が検査されない限り、明示的な信頼性を推論することはできません。

同様に、ピアツーピア接続では、接続デバイスは相互の信頼性を伝達する必要があります。これは、（ハードウェア、ファームウェア、またはソフトウェアベースの信頼の基点による）不変のアイデンティティと、プライベート、パブリック、またはクローズドな PKI システム（すなわち認証局）によって証明されたアイデンティティに対して発行された証明書を使用して達成される場合があります。暗号鍵と証明書を正しく使用することに関する大きな理由については、このビデオを参照してください。X.509 証明書にはいくつかの利点（セキュリティ属性）があり、組み込み（ヘッドレス）デバイスで保護された秘密鍵を使用した認証セレモニーに使用できます。これにより、工場出荷時のパスワードやキャッシュされた残存するパスワードが悪用され、保護されていないサプライチェーンを通じて高度なサイバー攻撃が行われるという課題を解決できます。

デジタル署名されたメッセージは、安全でないメディアやトランスポートプロトコルを介する、認証されたピア間の耐改ざん性を備えた通信に役立ちます。鍵は正直な人を守るために作られたものですが、泥棒は鍵を壊してしまいます。ゼロトラストは、国家やサイバー犯罪組織が潜むサイバー空間におけるブラインドトラスト（無条件の信頼）を強化するものです。従来のクローズドなシステムも、HMI（ユーザー）ワークステーション、タブレット、スマートフォン、ポータブルメディア（USB など）のような侵入ポイントから侵入される可能性があります。現在、内部の脅威が現実のものとなっています（不満を持つ従業員、悪意のある攻撃者、スパイ、社会的/政治的活動など）。

システムが疎結合（オープン）でも密結合（クローズド/エアギャップ）でも、接続して通信するために、合理的なレベルの信頼を確立することが、高度なツールと手法を持つハッカーが侵入（感染）して横方向の伝播を試みるサイバー空間における耐障害性をもたらします。実際のところ、相互に検証可能な信頼があれば、ネットワークベースの侵入検知やファイアウォールのポリシーを微調整して、偽陰性や偽陽性の誤検知を減らすことができます。

ゼロトラストの度合い

この動画で紹介されている Mocana 社の TrustEdge CyberSec は、TLS/SSL 対応でないこともある LOB （業務）アプリケーションの再設計を一切必要とせずに、パブリック/プライベートまたはクローズドな PKI システムの相互運用性とスケーラビリティを（インターネット接続不要で）実現するソリューションを提供します。必要なのは、ターゲットデバイスに TCP/IP ネットワークスタックが存在することだけです。鍵は設定可能な頻度で自動的に更新/ローテーションされます。証明書は、有効期限が切れる前に自動更新（EST プロトコル - RFC 7030 を使用）されるか、Mocana TrustCenter を通じてオンデマンドで更新されます。

証明書は識別と認証に使用でき、オプションとして事前共有鍵の使用もサポートされています。抑えどころは、攻撃者の標的となっている高価値の資産（Windows ベースの HMI ワークステーション、Linux コントローラなど）を保護することです。ゼロトラストは、希望する安全性と保護制御の水準に合わせて実施できます。

ゼロトラストは、ゼロかイチかの価値提案ではありません。高いリスクや重大なリスクを特定し、それに正面から取り組むことです。サプライチェーンのリスクはないでしょうか。パスワードの悪用につながる内部の脅威はないでしょうか。事前共有鍵をローテーションする IT ポリシーはありますか（特に管理者が変わったとき）。

どの技術にも長所と短所があります。TCP/IP、TLS、ブロックチェーン、証明書は完璧なソリューションではありませんが、特定の目的（および目標）を念頭に置いて設計され、関連するアプリケーションにかなりの利益をもたらしています。同様に、「何もしない」で現状を維持することも長所と短所があります。重要なインフラと制御システムにおける真の課題は、マルチベンダーのエコシステムにおける稼働中デバイスの相互運用性が、次世代デバイスセキュティの業界標準として仕様を通して対処されるかどうかです。

サイバーセキュリティは、コンプライアンスに準拠するために後から思い付いたように行われることが多すぎます。隔離され管理された環境では、物理的および論理的なアクセス制御にばかり集中し、敵意をもった攻撃者の武器である高度なツールや方法には目が行きません。サイバー戦争が非対称戦争であるのはそのためです。検知は保護ではありません。

ゼロトラストへの道

現在のサイバーリスクと課題に対処するための解決策は、デバイスの所有者やデバイスの運用者だけの責任ではありません。ネットワークベースの検知/防止方法について現在定常的にかかっている費用とその有効性を、増分価値と持続可能性の面から精査する必要があります。たとえ、保護制御を改修して既存デバイスの耐用年数を（さらに 10 年以上）延ばすのではなく、リップアンドリプレース（完全に置き換える）ポリシーに基づいているとしても、モダナイゼーション計画のタイムラインは必要です。最終的には、経営陣とサイバー保険会社が、望ましい安全性と保護の水準を客観的に定義し、実施することになります。

ゼロトラストが要求するもの、ゼロトラストの実施方法についてご興味のある方は、ゼロトラストのブログをご覧ください。