2024年の導入状況調査 (EN)によると、世界の組織の63%がゼロトラスト戦略を完全または部分的に実装していることがわかりました。半数以上の企業がゼロトラスト戦略を導入しているのは、それが業界のベストプラクティスと考えられているからです。ゼロトラストとは何でしょうか。ゼロトラストセキュリティはどのように機能するのでしょうか。
セキュリティへのゼロトラストアプローチと、これらの目標をサポートするテクノロジーベンダーの選択方法について詳しくは、以下をお読みください。
ガイド
ゼロトラストが必要だと言われる理由
情報技術 (IT) 部門やセキュリティ運用 (SecOps) 担当者の大部分は、「社内は信頼できる」という考えに基づいて構築された、古いネットワークセキュリティモデルは使えなくなったと言うでしょう。
過去数年、多くの組織がこのことを苦い経験をもって学んできました。資産の周囲にデジタルの障壁を設定しても、現代の環境では十分ではありません。攻撃者が新しい高度な方法を見つけ出し、境界防御を突破するからです。
インサイダーの脅威も大きな問題になりつつあります。ITとセキュリティの融合に関するレポート (EN)によると、フィジカルセキュリティ専門家の31%が、昨年、組織がサイバー犯罪者のターゲットにされたと回答しています。
近年では、リモートワーク、クラウドコンピューティング、企業ネットワーク外からアプリケーションへのアクセスを必要とするエンドポイントデバイスも急増しています。今日のデジタル社会では、組織のネットワーク境界が明確に定義できなくなっています。これらの理由から、サイバーリスクの軽減方法として、ゼロトラスト戦略が注目を集めています。
ゼロトラストとは
ゼロトラストは、ゼロトラストセキュリティやゼロトラストアーキテクチャとも呼ばれ、「誰も信頼せずに常に検証する」という原則に基づいて構築されたセキュリティフレームワークです。つまり、企業ネットワーク内外を問わず、デフォルトであらゆるデバイスやユーザーを信頼できない存在と見なし、
トランザクションごとに信頼を評価および検証します。すべてのやり取りを認証、承認、検証してから、ネットワークアプリケーションとデータへのアクセスが許可されます。これは通常、IDと、地理的位置、時刻と日付、その他の関連するセキュリティ体制など、さまざまな属性の組み合わせによって規定されます。
検証済みのデバイスまたはユーザーであっても、アクセスは特定のリソースに対してのみ許可されます。アクセスできるユーザーを制限する、または必要最低限のアクセス権を適用することは、ゼロトラストアーキテクチャの基本原則です。さらに、リソースのセグメンテーションを使って、ネットワーク全体への水平移動を最小化します。
ゼロトラスト戦略 (EN)では、継続的な検証も必須事項です。これにより、特定のデバイスまたは個人ユーザーの属性に変更があった場合、アクセス権限を直ちに取り消すことができます。
ゼロトラストセキュリティの中核となる柱とは
ゼロトラストアーキテクチャを設計および展開する方法をお探しですか ? 組織内でゼロトラストを実装するには、次の7つの柱に従います。
ユーザーの身元検証 |
ユーザーの身元と属性を確認および検証してから、アプリケーションまたはリソースへのアクセスを許可します。アクセスポリシーに従い、ユーザーがアクセスできる範囲を、業務の遂行に必要な特定のデータとリソースのみに制限します。これには通常、本人確認およびアクセス管理システム (IAM) などのセキュリティツールや、さまざまな形体の認証および認可が使用されます。
デバイス |
企業リソースに接続を試みるデバイスを識別、検証、認証し、信頼できるデバイスかどうかを確認します。必要に応じて各デバイスへのデータアクセスを制限します。すべての承認済みエンドポイントデバイスのインベントリを常に更新し、実装前にすべてのデバイスがサイバーセキュリティのベストプラクティス遵守を徹底していることを確認します。
アプリケーションとワークロード |
すべてのアプリケーション、デジタルプロセス、他のITリソースに対する暗黙の信頼を排除します。動的なアクセス権限の付与や継続的な検証の実施を検討し、すべてのワークロードを守ります。堅牢かつ包括的なサイバーセキュリティ対策を適用して、ワークロードとアプリケーション全体の改ざん、異常な動作、不正アクセスを検知します。
データ |
データを分類し、対象を絞ったアクセスコントロールポリシーとセキュリティ対策を適用して、データ侵害を防ぎます。暗号化と認証の保護層を利用して、転送中、使用中、保管中のデータを保護します。 データセンターのストレージ場所を慎重に選択し、継続的にデータ処理を監視して、異常なアクティビティやデータ漏洩を検知します。
ネットワーク環境 |
マイクロセグメンテーションを実装し、脅威の拡散を防止します。よりきめ細かなセキュリティ対策とポリシーを使用して、厳重に制御および監視できる小さくコンテナ化されたセグメントにネットワークを分割します。機密性の高いリソースを隔離して、不正アクセスの危険性を最小限に抑えます。
自動化とオーケストレーション |
組織のゼロトラスト戦略全体を一元的に管理および施行します。自動化を検討し、LAN、WAN、ワイヤレスWAN、およびデータセンター全体に適用されるセキュリティポリシーが、同じ方法で設定および維持されていることを検証および維持できるようにします。すべてのユーザー、デバイス、アプリケーションに同じ制御が適用されるようにします。
可視化と分析 |
マイクロセグメンテーション、認証、暗号化、アプリケーションワークロード、データ処理など、ゼロトラストセキュリティのすべてのプロセスが継続的に監視および管理されていることを確認します。脅威の検出を自動化し、企業全体の可視性を高め、リアルタイムで通知を送信してリスクをより迅速に軽減するインテリジェントツールと分析を使用します。
ブログ
ゼロトラストを実装するパートナーを選択することの重要性
ゼロトラストのアプローチは、自社の組織に限定されるべきではなく、サプライチェーンのエコシステム全体にも拡張する必要があります。そのため、お客様と同じ様にゼロトラストアーキテクチャを最優先に考えるプロバイダを選択することが重要です。
クラウドまたはハイブリッドクラウドのソリューションを検討している場合は、ゼロトラストがテクノロジーベンダーの運用と製品設計に与える影響を念頭に置いてください。ベンダーは、データセンターネットワークをそもそも安全なものではないとみなし、ゼロトラスト戦略をサポートするプロトコルを実装する必要があります。
チェックリスト
例えば、ベンダーは、詳細なセキュリティ制御と継続的な認証に加えて、リソース全体にわたる広範なマイクロセグメンテーションを提供できます。 これにより、ネットワークワークロードをさらに細かなセグメントに分割し、各セグメント全体のトラフィックを慎重に監視して、脅威の拡散を食い止められます。
ベンダーが考えるべきもう1つの要素は、情報がサイロ化された独立したリポジトリ全体に分散されるようにすることです (EN)。そうすることで、中央データリポジトリへの攻撃のリスクを削減できます。送受信されるすべてのデータは完全に暗号化され、デジタル署名されるため、クラウドサービスがアクセスできるのはタスクの実行に必要な最小限のデータにのみになります。
クラウドソリューションには健全性モニタリングツールが組み込まれており、脆弱性を検知すると自動的に警告が発せられます。これには、サイバーセキュリティ体制の強化に必要な具体的な推奨事項を提供するサイバーセキュリティウィジェットが含まれます。
デューデリジェンスには、ベンダーのコンプライアンス基準と証明書 (EN)の審査も含まれます。自社のプラクティスとソリューションが第三者の監査機関および認定を受けたコンプライアンス協会によって検証されているかどうかを確認します。上記すべてを実行することにより、信頼が保証され、継続的にその信頼性を再評価できます。これはゼロトラストの基本原則です。