次世代のセキュリティ戦略 ゼロトラスト・アーキテクチャ IDaaSの利用はゼロトラスト実現の第1歩 ― Auth0

IDライフサイクル管理の重要性を理解する

荒井：
最初に、Auth0ではゼロトラストをどのように捉えているか教えてください。

Godfrey：
リモートワークを導入する企業が急増し、クラウドサービスやSaaS（Software as a Service）の利用も拡大する状況下では、「社内ネットワークを外部から守る」といった境界防御型のアプローチには限界があります。私たちはゼロトラストを、ユーザーのアセットやリソースに焦点を当て、これらがどんな場所にあろうともセキュアに管理するという、クラウド時代ならではのアプローチだと思っています。そうしたゼロトラストを実現する手段の1つとしてAuth0が重視している点は、IDが常に正しく管理／運用されているかどうかです。

小林：
SaaS型のID認証基盤であるIDaaSは、ゼロトラストの構成要素として重要な役割を占めるのではないでしょうか。

Godfrey：
そうですね。クラウドでID認証やID・パスワード管理を行うIDaaSの利用はゼロトラスト実現の第一歩と言ってよいでしょう。企業がさまざまなセキュリティ対策を自社で検討することはもちろん重要です。ただ、企業が独自にID認証システムを構築・運用しようとすると抜け漏れが発生し、結果的に脆弱性だらけのID認証システムになってしまう可能性があります。ID認証システムは、異なる技術要素が複雑に連携されており、構築が非常に難しいためです。一方、IDaaSを活用すれば、そうした構築・運用、さらにはIDに対する攻撃検知や不正アクセス、インフラの強化といったセキュリティ対策を、全てIDaaS事業者が担います。IDaaS事業者がいわば、顧客のセキュリティ対策をも請け負うのですね。IDaaSの利用者が留意すべきは、IDの適切な管理だけです。

ただ、ID管理において実は見逃しがちな点があることにも注意しなければなりません。それは、従業員のIDライフサイクル管理です。例えば、退職や人事異動による配置転換で、IDを変更／停止／廃止しなければならないことは多くあります。しかし、この作業を迅速に実施できている組織は少ないのが現状です。こうした対応の遅れがサイバー攻撃や情報漏えいのきっかけになり得ます。適切なIDライフサイクルの管理を実現するために、強力なアイデンティティ／アクセス管理（Identity and Access Management：以下、IAM）を実現しながら、ユーザーには常にシングルサインオンで完結させる環境が必要となります。

小林：
なるほど。IDライフサイクル管理を適切に運用していくには、定期的な内容の見直しも必要になりますね。

Godfrey：
はい。IDライフサイクル管理は、システムを実装すれば終わりというものではありません。最初に監査ポリシーを設け、定期的に点検をする必要があります。監査頻度は企業によって異なりますが、少なくとも四半期ごとに実施するのがよいでしょう。そして、システムやアプリケーションにおいてアカウントの作成・保守・削除をするユーザー・プロビジョニングを定期的に行い、IDが常に正しく設定されている状態を維持することです。さらに、IDの運用が適切かどうかをテストすることも怠ってはなりません。

ゼロトラストは「ステップ バイ ステップ」で実現する

小林：
ゼロトラストに対する関心が高まる一方で、利用者によってゼロトラストへの理解や期待値はまちまちです。ゼロトラストを利用者に正しく理解していただくために、Godfreyさんが心がけられていることはありますか。

Godfrey：
私たちがゼロトラストを説明する際に強調しているのは「ゼロトラストとは、堅牢なセキュリティ環境を構築する道のりの一過程である」ということです。セキュアな環境を追求する中にあっては多くの人が、注目されているセキュリティ製品やサービスに関心を持つことでしょう。しかし、それらが自社にとって最適なものであるとは限りません。導入したのはよいもののシステムにマッチしなかったり、製品に対策を任せきりになったりしていては元も子もありません。

そこで出てくるのがゼロトラストです。どのアクセスも信用せず都度認証を求めるという前提のもと、段階的に適材適所で技術要素を取り入れ、徐々にゴールを目指すアプローチを採ります。特定の製品やサービスの導入に依存せず、ステップ バイ ステップでセキュリティ強度を高めていくのがゼロトラストならではの考え方と言えます。

小林：
おっしゃる通り、ゼロトラストの実現を目指す企業の中には、「ゼロトラスト」と銘打たれたセキュリティ製品を導入することが最終目的になってしまうケースが少なくありません。その一方で、「ゼロトラストを検討はするが、正解がなくてどうしたらよいのか分からない」と二の足を踏む慎重な方も見受けられます。ゼロトラストが流行語の一つになっている今、企業や組織のアプローチが意図せずして二極化してしまっているのではないでしょうか。

Godfrey：
ゼロトラストの実現は、ゼロトラストを目指すプロセスの中にあります。「どの情報を」「どの程度のセキュリティレベルで」「どのような技術を用いて防御するか」を考え、自社が必要とするセキュリティ対策と照らし合わせながらゼロトラストの環境を構築していくことが重要なのです。例えば、パケットモニタリングやデバイス管理もゼロトラストの一環です。IAMの導入も、ゼロトラストを構築するプロセスの1つと考えるべきです。

荒井：
自社にとって最も有効なセキュリティ対策は何かを真剣に考え、実行に移していく。そのためのあらゆるステップがゼロトラストを構築する要素になり、結果的にゼロトラストが実現するということですね。

最後の質問です。新型コロナウイルス感染症（COVID-19）により、企業や組織がIDaaSに寄せる期待や、顧客が御社に求めるものは変化しましたか。

Godfrey：
COVID-19がきっかけの一つになり、企業がこれまで着々と進めていたデジタルトランスフォーメーション（DX）が一気に加速しています。これがAuth0にも大きなインパクトをもたらしました。エンタープライズのお客様は、自社の顧客に対してDXを支援する環境を提供されています。そこで自社が運用するサービス基盤で安全な環境を提供するために、Auth0のIDaaSを活用されるのですね。デジタル化が加速してSaaSの需要が増加する中で、この分野の重要性に気付かれたお客様が多い。実際、この分野への投資をさらに積極化する企業は増えています。

荒井：
私たちのお客様も同じような状況です。COVID-19の感染拡大を経験し、その危機感からDXに対する取り組みが一気に加速しました。同時にリモートワークを導入するために既存のセキュリティ対策を棚卸しした結果、自社の情報管理の在り方や資産の保有の仕方を見直すお客様もいらっしゃる。その過程において、ゼロトラストの導入の検討が増えていると感じます。

今回お話しいただいた「ゼロトラストは、セキュリティの課題を解決する一過程」という捉え方は、まさにその通りだと思いました。さまざまな製品やサービスを組み合わせて堅牢な環境を構築した結果、それがゼロトラストになる。こうした視点を常に持つことが重要なのですね。本日はありがとうございました。