ゼロトラストはプロアクティブな防御戦略であるため、セキュリティ上の懸念の高まりに対応して、ゼロトラストをサポートするテクノロジーが最近広く採用されています。
とはいえ、サイバーセキュリティについて語るとき、信頼が中心的な役割を果たしています。サイバーセキュリティの基本要素は、「信頼できる」ネットワーク インフラストラクチャ、ユーザー、デバイスまたはエンドポイント、サプライヤーなどです。
このアプローチが企業、そのデータ、さらには個人を保護する上で重要な役割を果たしたことは疑いありません。しかし、より技術的に進んだ世界を深く掘り下げると、このアプローチは次の理由からサイバー攻撃者によって長期間悪用されるようになりました。
- ビジネスを運営する建物の周囲の外側でセキュリティ検査が行われる、弱いセキュリティ モデルまたは「城と堀」の概念。ハッカーやマルウェアが何らかの方法でその境界を突破して侵入すると、損害が発生します。
- ユーザーのアプリケーションやユーザーが使用するサービスを可視化または制御できないネットワーク ファイアウォールなどの時代遅れのアクセス制御。ハッカーがネットワークを侵害すると、それらのアプリケーションに簡単にアクセスできます。
- VPN テクノロジーは、データ通信を保護し、機密性とプライバシーを維持するのに優れていますが、認可と認証はまだ完全には実現されていません。
- BYOD ポリシーやデバイスを使用するリモート ワーカーなどのワークフローの変更。適切なセキュリティ システムが実装されていない場合、データ漏洩が発生します。
組織が直面するこれらすべてのセキュリティの課題により、柔軟で動的、シンプルで、あらゆる面から高レベルのセキュリティを提供するシステムの基盤が生まれました。
ゼロトラスト セキュリティは、私たちが話しているモデルです。
この記事では、ゼロ トラスト セキュリティ、その原則、実装方法、およびゼロ トラスト セキュリティに関するいくつかの興味深い点について学びます。
探検してみよう!
ゼロトラストとは何ですか?
ゼロ トラストは高度なセキュリティ アプローチであり、組織のネットワーク内外のすべてのユーザーは、ネットワーク、データ、アプリケーションへのアクセスを許可される前に、承認、認証され、セキュリティ体制と構成を継続的に検証される必要があります。
このアプローチでは、多要素認証、次世代エンドポイント セキュリティ、ID およびアクセス管理 (IAM) などのハイエンド セキュリティ テクノロジを利用して、厳重なセキュリティを維持しながらユーザー ID を検証します。
ゼロ トラストは、厳密なユーザー ID 検証を提供するだけでなく、高度なインターネットの脅威からユーザーとアプリケーションを保護します。
「ゼロ トラスト」という言葉は、Forrester 社の John Kindervag によって広められましたが、実際には Stephen Paul Marsh が 1994 年 4 月にスターリング大学で計算セキュリティに関する論文を発表した後に作った造語です。
実際、ゼロトラストのほとんどの概念は新しいものではありません。マーシュの研究に基づくと、信頼は有限であり、倫理、道徳、正義、判断、合法性などの人間の側面を超えています。彼によれば、信頼は数学的な構造として説明できるそうです。
ゼロ トラストは、企業 LAN に接続されている場合や、事前に検証されている場合でも、組織はデフォルトでデバイスやユーザーを信頼してはならないという考えを広めることを目的としています。これは、ユーザー ID、ファームウェア バージョン、エンドポイント ハードウェア タイプ、OS バージョン、脆弱性、パッチ レベル、ユーザー ログイン、インストールされているアプリケーション、インシデント検出などのユーザー属性をリアルタイムで明確に可視化することに依存しています。
その強力なセキュリティ機能の結果として、ゼロ トラストはさらに有名になり、BeyondCorp プロジェクトを持つ Google を含め、組織がゼロ トラストを採用し始めています。
この導入の主な推進要因は、エンドポイント、オンプレミス デバイス、ネットワーク、データ、クラウド アプリ、その他の IT インフラストラクチャを標的としたサイバー攻撃の頻度の増加です。これに加えて、新型コロナウイルス感染症のパンデミックにより、人々は在宅勤務を余儀なくされ、オンライン攻撃の数は世界中でさらに増加しました。
したがって、ゼロ トラストのようなセキュリティ実践は実行可能な選択肢であると思われます。
レポートによると、ゼロトラスト セキュリティの世界市場規模は CAGR 17.4% で成長し、2020 年の 196 億米ドルから 2026 年までに 516 億米ドルに達すると予想されています。
ゼロトラスト アクセスのよく使われる用語には、ゼロトラスト アプリケーション アクセス (ZTAA)、ゼロトラスト ネットワーク アクセス (ZTNA)、ゼロトラスト ID 保護 (ZTIP) などがあります。
ゼロトラストの中核原則とは何ですか?
ゼロ トラスト セキュリティの概念は以下の原則に基づいており、これを使用して組織のネットワークを保護します。
最低特権アクセス 🔐
これは、ユーザーが作業し、役割を果たすために必要な場合にのみ、必要なレベルのアクセス権をユーザーに与えられるという基本的な概念です。これにより、ユーザーがネットワークの機密コンポーネントにさらされる機会が減ります。
ユーザー識別 ✔️
ネットワーク、アプリケーション、データなどへのアクセスが誰に許可されているかを把握する必要があります。組織内でより強力なセキュリティを維持するために、アクセス要求のたびに認証と認可を常にチェックしてください。
マイクロセグメンテーション 🍱
これは、セキュリティ境界を小さなゾーンに分割する必要がある場合に重要な実践です。このプロセスはゾーニングとも呼ばれ、ネットワークのさまざまな部分に個別のアクセスが提供されるようにするために行われます。
また、これらのゾーン間でデータを継続的に管理および監視する必要があり、過剰な権限を排除するためのきめ細かいアクセス制御が提供されます。
高度な予防技術を活用する 🛑
ゼロトラストは、オンライン侵害を阻止し、被害を軽減できる高度な予防手法を採用することを推奨します。
多要素認証 (MFA) は、ユーザーの身元を確認し、ネットワークのセキュリティを強化するための技術です。ユーザーに秘密の質問をしたり、テキスト/電子メールによる確認メッセージを送信したり、ロジックベースの演習を通じてユーザーを評価したりすることで機能します。ネットワークに組み込む認証ポイントが多いほど、組織のセキュリティは強化されます。
デバイスアクセスをリアルタイムで監視 👁️
ユーザー アクセスの制御とは別に、ネットワークへのアクセスを求めているデバイスの数をリアルタイムで監視および制御する必要があります。攻撃の可能性を最小限に抑えるために、これらのデバイスはすべて認証される必要があります。
その利点は何ですか?
ゼロ トラストは、組織のセキュリティとネットワークの回復力のための強力な戦略を提供します。これにより、ビジネスに次のようないくつかのメリットがもたらされます。
外部と内部の両方の脅威からの保護
ゼロ トラストは、外部の脅威を阻止し、ビジネスを保護し、有害な内部エージェントからユーザーを守るための厳格なポリシーを提供します。実際のところ、内部の脅威はさらに深刻で、あなたが彼らに対して持っている信頼を悪用します。
Verizon のこのレポートでは、すべてのデータ侵害の約 30% に内部関係者が関与していると述べています。
したがって、ゼロトラストは、「決して信頼せず、常に検証する」という概念に焦点を当てています。
また、拡張された明示的な認証を実装し、データ、デバイス、サーバー、アプリケーションへのあらゆるアクセスを監視および検証すれば、内部関係者がその権限を悪用することはできなくなります。
データ保護
ゼロ トラストは、マルウェアや従業員がネットワークの大部分にアクセスするのを防ぐのに役立ちます。したがって、アクセスとアクセス時間を制限することで攻撃を軽減し、たとえ侵害が発生したとしても影響を軽減してさらなる被害を防ぐことができます。
この結果、ビジネス データをハッキングから保護できます。また、マルウェアがファイアウォールを突破すると、時間制限付きでデータの特定の部分にのみアクセスできます。
ゼロトラストは、お客様のデータだけでなく、知的財産や顧客のデータも保護します。攻撃を防ぐことができれば、ビジネスの評判を維持し、顧客の信頼を保つことができます。これに加えて、巨額の損失やその他の経済的影響も避けられます。
ネットワーク上の可視性の向上
ゼロ トラストでは、何かを信頼したり、誰かを信頼したりすることができないため、監視するアクティビティやリソースを決定できます。コンピューティング ソースやデータを含む組織全体を集中的に監視することで、どのデバイスやユーザーがネットワークへのアクセスを許可されているかを完全に可視化できます。
したがって、各アクセス要求に関連付けられたアプリケーション、ユーザー、場所、および時刻を完全に把握できます。異常な動作が発生した場合、セキュリティ インフラストラクチャが即座にフラグを立て、発生するすべてのアクティビティをリアルタイムで追跡して、包括的なセキュリティを実現します。
リモートワーカーの確保
リモートワークは、特に新型コロナウイルス感染症のパンデミック後、あらゆる業界や企業で広く受け入れられています。また、世界のどこからでも勤務する従業員のデバイスやネットワークに対するセキュリティ対策が脆弱であるため、サイバーリスクと脆弱性も増大しています。現在ではファイアウォールさえも非効率になり、クラウド全体に保存されているデータにリスクをもたらしています。
ゼロ トラストを利用することで、各レベルでのユーザーの識別と検証が、境界概念または城と堀のアプローチを引き継ぎます。 ID は、ネットワークに参加したいすべてのデバイス、ユーザー、アプリケーションに付加されます。
このように、ゼロ トラストは、従業員が世界中のどこにいても、データが保存されていても、すべての従業員に堅牢な保護を提供します。
IT管理を容易にする
ゼロトラスト セキュリティは、継続的な監視、制御、分析に依存しています。したがって、自動化を使用すると、アクセス要求を評価するプロセスが容易になります。すべてを手動で行うと、各リクエストの承認に多くの時間がかかり、ワークフローが大幅に遅くなり、ビジネス目標と収益に影響を与えるためです。
ただし、Privileged Access Management (PAM) などの自動化を使用すると、特定のセキュリティ識別子に基づいてアクセス要求を判断し、アクセスを自動的に許可できます。したがって、人的エラーを含むすべてのリクエストの承認に必ずしも IT チームを関与させる必要はありません。
また、システムがリクエストに不審なフラグを立てた場合、管理者が責任を負うことができます。このようにして、自動化の力を活用し、従業員が日常的なタスクを行う代わりに改善とイノベーションに取り組むことができるようになります。
コンプライアンスの確保
各アクセス要求は最初に評価され、詳細が記録されるため、ゼロ トラストは常にコンプライアンスを維持するのに役立ちます。このシステムは、各リクエストの時間、アプリケーション、場所を追跡して、一連の証拠を形成する完璧な監査証跡を作成します。
その結果、証拠の維持や提出に苦労する必要がなくなり、ガバナンスが効率的かつ迅速になります。同時に、コンプライアンスのリスクからも遠く離れています。
ゼロトラストを実装するにはどうすればよいですか?
すべての組織には固有のニーズと課題がありますが、特定の側面はすべての組織に共通のままです。ビジネスや業界の種類に関係なく、ゼロ トラストを組織全体に導入できるのはこのためです。
そこで、組織にゼロ トラスト セキュリティを実装する方法を説明します。
機密データの特定
どのような種類の機密データがあり、それがどこでどのように流れるかを把握できれば、最適なセキュリティ戦略を決定するのに役立ちます。
それに加えて、資産、サービス、アプリケーションも特定します。また、現在のツールセットと、セキュリティの抜け穴として機能する可能性のあるインフラストラクチャ内のギャップを調査する必要もあります。
- 最も重要なデータと資産に最高レベルの保護を与え、それらが侵害されないようにします。
- もう 1 つ実装できるのは、データを機密、内部、公開に分類することです。マイクロセグメンテーションまたはゾーニングを活用できます。さらに、ネットワークの拡張エコシステムに接続されたさまざまなゾーンに対して小さなデータの塊を作成します。
マップデータフロー
多方向の可能性があるトランザクション フローなど、データがネットワーク上でどのように流れるかを評価します。データ フローの最適化とマイクロネットワークの作成を促進します。
また、機密データの場所と、すべてのユーザーが認識にアクセスし、より厳格なセキュリティ慣行を実装できる人を念頭に置いてください。
ゼロトラストマイクロネットワークを確立する
ネットワーク内で機密データがどのように流れるかに関する情報が手に入ったら、データ フローごとにマイクロネットワークを作成します。あらゆるユースケースに最適なセキュリティ対策のみが使用されるように設計してください。
このステップでは、次のような仮想および物理セキュリティ制御を使用します。
- マイクロペリメーターを強化して、許可されていない横方向の動きを防ぎます。場所、ユーザー グループ、アプリケーションなどに基づいて組織をセグメント化できます。
- 二要素認証 (2FA) や三要素認証 (3FA) などの多要素認証を導入します。これらのセキュリティ制御により、追加のセキュリティ層と検証が組織内外の各ユーザーに提供されます。
- タスクを完了し、役割を果たすために必要なユーザーに対して、最小限の特権アクセスを開始します。機密データが保存される場所とそのフローに基づいて決定する必要があります。
ゼロトラスト システムを継続的に監視する
ネットワーク全体とマイクロ境界エコシステムを継続的に監視して、あらゆるデータ、トラフィック、アクティビティを検査、記録、分析します。これらの詳細を使用して、悪意のあるアクティビティとその発信元を特定し、セキュリティを強化できます。
これにより、セキュリティがどのように維持されるか、およびゼロ トラストがネットワークで機能するかどうかについて、より広い視野が得られます。
自動化ツールとオーケストレーション システムを活用する
自動化ツールとオーケストレーション システムを利用してプロセスを自動化し、ゼロ トラスト実装を最大限に活用します。時間を節約し、組織の欠陥や人的ミスのリスクを軽減するのに役立ちます。
ゼロトラストの仕組み、実装方法、メリットについて理解できたところで、実装をさらに容易にするツールをいくつか見てみましょう。
ゼロトラスト セキュリティ ソリューションとは何ですか?
Akamai、Palo Alto、Cisco、Illumio、Okta、Unisys、Symantec、Appgate SDP など、多くのベンダーがゼロ トラスト ソリューションを提供しています。
ゼロ トラスト ネットワーク ソリューションまたはソフトウェアは、ゼロ トラスト モデルの実装に役立つ ID 管理およびネットワーク セキュリティ ソリューションです。このソフトウェアを使用すると、ネットワーク アクティビティとユーザーの行動を継続的に監視し、すべてのリクエストを認証できます。
ユーザーがアクセス許可に違反しようとしたり、異常な動作をしたりすると、システムは追加の認証を行うよう求めます。同時に、ソフトウェアはトラフィック ログ、ユーザーの行動、アクセス ポイントからデータを収集し、詳細な分析を提供します。
ソフトウェアは、特にネットワーク アクセスを制御するために、リスクベースの認証を利用する場合があります。ゼロ トラスト ネットワーク ソフトウェアの一部を次に示します。
- Okta : クラウドを活用し、より強力なセキュリティ ポリシーを適用します。このソフトウェアは、4000 以上のアプリとともに、組織の既存の ID システムおよびディレクトリと統合されます。
- Perimeter 81 : ソフトウェア定義の境界の堅牢なアーキテクチャを使用し、より広範なネットワークの可視性、完全な互換性、シームレスなオンボーディングを提供し、256 ビットの銀行グレードの暗号化を提供します。
- SecureAuth ID 管理: ユーザーに柔軟で安全な認証エクスペリエンスを提供することで知られており、すべての環境で機能します。
その他の注目すべきゼロ トラスト ネットワーキング ソフトウェア ソリューションには、BetterCloud、Centrify Zero Trust Privilege、DuoSecurity、NetMotion などがあります。
ゼロトラストの実装における課題は何ですか?
組織にとってゼロ トラストの実装が難しい理由は次のとおりです。
- レガシー システム: ツール、アプリケーション、ネットワーク リソース、プロトコルなどの多くのレガシー システムが業務運営に利用されています。 ID 検証ではそれらすべてを保護することはできず、それらを再構築するには莫大な費用がかかります。
- 制限された制御と可視性: ほとんどの組織では、ネットワークとユーザーに対する包括的な可視性が不足しているか、何らかの理由で厳密なプロトコルを設定できません。
- 規制: 規制機関はまだゼロトラストを採用していません。したがって、組織はコンプライアンスのためのセキュリティ監査に合格する際に問題を抱えることになります。
たとえば、PCI-DSS では、機密データを保護するためにセグメンテーションとファイアウォールを使用する必要があります。ただし、ゼロ トラスト モデルにはファイアウォールがないため、コンプライアンスのリスクが生じます。したがって、ゼロトラスト セキュリティを採用するには、規制の大幅な修正が必要になります。
結論
ゼロトラストは成長段階にありますが、セキュリティ業界で話題になっています。世界中でサイバー攻撃が増えているため、ゼロトラストのような堅牢なシステムが必要になっています。
ゼロ トラストは、各アクセス ポイントですべてのデバイスとユーザーを検証することにより、データとトランザクションに対する ID とアクセス制御を備えた強力なセキュリティ アーキテクチャを提供します。人間やプログラム、ネットワーク内外を問わず、あらゆる種類のオンライン脅威から組織を保護できます。