「ファイアウォールは役に立たない。犯人は『合鍵』を持って正面玄関から入ってくるのだから。」
ネットワークの設計図(アーキテクチャ)を描き直した主人公ディラン。
しかし、どんなに頑丈な金庫を作っても、その鍵(パスワード)が「P@ssword123」では何の意味もない。
第4回は、ゼロトラストにおける最重要コンポーネント、「アイデンティティ(Identity)」の実装についてだ。
これは技術の話ではない。「パスワード」という、人間が最も苦手な習慣を捨てさせるための戦いだ。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
Scenario:パスワードという名の脆弱性
ディランが社内のログを監査して愕然とした事実がある。
March Fitness社への攻撃は、高度なハッキング技術によるものではなかった。
退職した社員のアカウントが削除されずに残っており(ゴースト・アカウント)、そのパスワードがダークウェブで売られていただけだったのだ。
彼は全社会議で宣言する。
「今日からパスワードは廃止する。MFA(多要素認証)を強制化する」
当然、現場からはブーイングの嵐だ。
「スマホをいちいち取り出すのか?」「1日に何回ログインさせる気だ!」
Insight:IDこそが唯一の「境界」
なぜディランは、嫌われることを承知でMFAを入れるのか?
本書の第5章「The Identity Cornerstone」で語られる真理はこうだ。
「クラウドとテレワークの時代、ネットワーク境界(社内LAN)は消滅した。唯一残された境界線は『あなた自身(Identity)』だけだ」
攻撃者は、ネットワークの壁は越えられても、「あなたのスマホ(生体認証)」だけは物理的に盗まない限り突破できない。
だからこそ、ID検証(Authentication)と認可(Authorization)を、セキュリティ戦略の中心(Control Plane)に置かなければならないのだ。
ZTR Solution:飴と鞭(SSOとMFA)
現場の反発を抑え込み、ゼロトラストIDを実装するために、ディラン(そしてZTRラボ)が使う戦術が「バーター取引」だ。
「鞭」:MFAの強制
これは譲れない。VPNだろうがクラウドだろうが、すべてのアクセスにMFAを必須にする。
「飴」:SSO(シングルサインオン)の提供
その代わり、「ログインは朝の1回だけでいい」という環境を提供する。
Azure AD(現Entra ID)やOktaなどのIdP(Identity Provider)を導入し、一度スマホで顔認証すれば、SalesforceもZoomもSlackも、パスワード入力なしで使えるようにするのだ。
「MFAは面倒だが、パスワードを10個覚えなくていいならマシか」
ユーザーにそう思わせたら、情シスの勝ちだ。
Action:今週のタスク
高価なIdPを買う前に、今すぐできることがある。
次回予告:
IDを固め、入り口を守った。しかし、ディランは気づく。
「正常なIDを持った正規のユーザーが、悪意を持って(あるいは過失で)変な動きをしたら?」
ログを見なければ、脅威は見えない。
👉 Vol.5 【運用編】「見えないものは守れない」 に続く。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
