🛡 ゼロトラスト入門⑤:「NIST SP 800-207」ZTAに対する脅威
はじめに
前回の記事では、ゼロトラストの導入シナリオについて紹介しました。今回はセクション5「Threats Associated with ZTA」に基づき、ZTA環境において注意すべき代表的な脅威について解説します。
ゼロトラストは「安全な前提のない世界」を想定した設計思想ですが、それでも完全ではなく、ZTA固有のリスクにも注意が必要です。
5.1 Policy Engine(PE)/ Policy Administrator(PA)の侵害
ZTAの中心的な制御装置であるPolicy Engine / Policy Administratorが侵害された場合、組織全体のアクセス制御が乗っ取られる可能性があります。
[User] → [PE/PA(侵害)] → 誤ったアクセス許可 → [機密データ]
たとえエンドポイントやネットワークが安全でも、この制御基盤が攻撃者に掌握されれば、ZTAの強みは一気に失われます。
5.2 認証情報・セッションの乗っ取り
ZTAでは各リソースに対し認証とポリシー判断を繰り返しますが、その前提となる「ユーザー認証情報」や「セッショントークン」が盗まれると、正当なユーザーになりすましたアクセスが可能になります。
ZTAは認証・認可の頻度を高める構成ですが、セッションの保護や短命化も必要です。
5.3 情報収集の限界と誤検知
ゼロトラストでは動的な判断のために大量のログや状態情報が必要ですが、以下のような限界があります:
- エンドポイントの状態が正確に取得できない(例:EDRエージェントの停止)
- 外部リスク情報(脅威インテリジェンス)が更新されていない
- MLベースの異常検知の誤検知・過検知
[User] → [EDRステータス未取得] → [PE判断不能] → [アクセス拒否 or 許可漏れ]
「信頼できるデータに基づく動的判断」がZTAの根幹であるため、可視性の欠如や不正確な情報は重大な問題となります。
5.4 インサイダー脅威
ZTAでは外部からの侵入に対しては有効ですが、正規ユーザーによる内部からの悪意ある行動には限界があります。
具体的には、以下のような事例が想定されます:
- 正当なアクセス権を持った従業員による機密情報の持ち出し
- 退職予定者による意図的な削除・破壊行為
ゼロトラストでもアクセス権限や行動ログの継続的な監視が必要です。
まとめ
ZTAは「すべてを信頼しない」という原則のもと、セキュリティの考え方を大きく進化させましたが、ZTA自体にも突破口は存在することが本セクションで明らかになりました。
セキュリティは「技術だけでは成り立たない」ことを改めて実感します。
