「ゼロトラスト」が、セキュリティ対策の1つのキーワードになっている。
悪い人が中と外に分けている「境界型セキュリティ」に比べて、データも悪い人も、内にも外にもいる現状を踏まえてセキュリティの再設定ということだけど、各組織でのセキュリティ担当者からすると、「今までWEBサーバを中心に、セキュリティ対策を考えればいい、と言われてたものを、どう言い方を変えればいいんですか?」と悩むところかもしれない。
ゼロトラストという言葉だけはあちこちで載っているから、識者とか業者の説明を聞いてみると、個々のヒトの説明の軸足は多少違う気がするけど、おぼろげながらゼロトラストの考え方は分かってくる。
まあ、「組織のセキュリティ対策を、現状を踏まえたセキュリティ対策に切り替えてください。業務でクラウド使わないわけにもいかないでしょ。退職者とか契約社員とか委託先社員とか、本来、正規ユーザと言われるヒトが悪いことに介在したとして、セキュリティ対策を考えていきましょう。情報資産データは守りましょ。構成管理はちゃんとやりましょ。端末もデータもその都度認証を入れて、正しい利用者であることを確認しましょう。それでも悪いことをするやつはいるから、EDRとかのツールを入れて、振る舞いは見えるようにして、ログとかはちゃんと見るようにしましょ」とかとか。「人を見たらドロボウと思えっていうことかよ!」。はい、そんなところでいいでしょうね。
IoT時代だから、いたるところにIoT機器はあるんですよ。自分たちで置いた機器だけならともかく、ヒトが置いた機器までなかなかフォローしきれないですよね。
これまで、たくさんの情報システムを沢山作る機会に恵まれた。情報システムも、プロジェクト管理としてのV字モデルが書いてあって、要件定義(非機能要件にセキュリティも入れるかな)~設計~製造~試験~移行~合否判定~運用みたいな流れが書いてある。けど、実際に作る情報システム構築プロジェクトでは、ほぼほぼそんな単純なプロジェクトはない。なぜなら、事業とはそんなに独立した存在ではないし、新事業とは言っても今までの顧客や、既存のビジネスでの強みをベースに、新たな事業の拡張性を模索するから、そもそも独立した存在でハジけた事業になるのはなかなかあるものではない。
となると、そんなカオスの中から、一定意味のあるもの、価値のあるものを作っていく。すべてのカオスを整理するのは大変だけど、カオスの中にも一定の規則はあって、それが基盤とか、環境だとか、技術動向だとかになっている。
さて、最初に戻って、ゼロトラストをどこから取り組んでいくか。月並みかもしれないけど、まずは3年計画かな。ノントラスト前提での事業リスクの棚卸し~リスクの再評価と対策計画の立案~まずは高リスクのものから着手してみる。
もちろん、ゼロトラストというか、セキュリティ以外にも沢山の課題はある。コスト削減もそうだし、競合他社への対策、専門人材の不足や退職に備えた属人性の排除とか。みんなでわいがやで検討できればいいけど、概ね出来ない。一旦自論を作り、ヒトに意見をしてもらう。批判でも構わないので、すすんで伺う。毎日批判もいただくことになれると、意外と楽しくもなってきますよ。批判って、突然来るとショックがでかいけど、毎日受けていると「お、今日の批判は、結構愛情があるな」と思ってみたり。
で、何が書きたかったかというと、テーマによっては、誰も正解を知らなかったり、考えたこともなかったりする。だから考えてみることは大事で、考えてみたことはヒトに意見をもらってみるのも大事。意外と同じようなことで悩んでいるヒトは多いので、同じ悩みを抱えている人同士で人脈を作るのも大事。
※ リスク評価や構成管理をするときは、ヒトが勝手においていったもの、仕込んでいったものも気にしておいてください。某アンケートを取った際に、システムを作ったSIerの半数は、頼まれていなくても遠隔保守のバックドアを作っておくとの回答をもらったことがあります。よかれと思ってやっているんでしょうけど、本当にノントラストな現実がある。
