ゼロトラスト・アーキテクチャを考える

概要

サイバーセキュリティの動向についていけば、「ゼロトラスト」という言葉をここ数年で耳にする機会が増えてきているのは間違いありません。この用語は、約20年前に当時Forrester社のアナリストであったJohn Kindervag氏が初めて造語し、その後数年でPalo Alto Networks社が普及させたもので、ITネットワークの安全性を高めるための方法論のことを指しています。

セキュリティ担当者は、時代遅れで効果のない城と砦のようなネットワークセキュリティ・アプローチから、最小特権アクセスとネットワークのセグメンテーションに基づくモデルへの移行の必要性を認識しており、ゼロトラストはかなりの流行語になっています。

しかし、それはキャッチフレーズ以上のものです。これは、ネットワークやデータを保護するためには、従来の境界防御に頼るだけではもはや十分ではないことを示しています。このような現実と、インサイダーの脅威に対する意識の高まりを合わせて考えると、ネットワークの城を安全に守るために堀だけを頼りにすることはもはやできません。

この計算は期限切れです。2019年の報告書によると、サイバー侵害は昨年、世界経済に1.5兆ドルのコストをかけました。2021年までには、これらのコストは推定6兆ドルに急増する可能性があります。しかし、ここでのリスクはお金だけではありません。米国の公共部門のターゲットが(ランサムウェアやその他の脅威のベクターを介して)サイバー犯罪サイトに設定されるケースが増えていることから、ダウンタイムのリスクや、機密性の高いデータや運用上重要なデータの損失も考慮すべき重要な要素となっています。

今日のゼロトラスト時代には、ネットワークの内外を問わず、誰もがサイバーセキュリティの潜在的なリスクを抱えています。そのため、米国の公共部門の一部であるかどうかにかかわらず、すべての組織は、それに応じてデータとシステムを保護するセーフガードを導入することが不可欠です。

ゼロトラストに向けた進化

サイバーセキュリティが企業や政府機関にとって重要な優先事項となってからの数十年間で、情報セキュリティ戦略に必要な進化を目の当たりにしてきました。何年も前から、防御的なデータ保護ツールがレイヤー化されたものがサイバー保護の教義を支配してきました。しかし、データ保護および情報セキュリティ業界では、ゼロトラスト・アーキテクチャを利用し、データを自己保護するという概念を探求するアプローチへと、ますますその傾向が強まっています。

境界線の防御が不十分であることが証明された

情報セキュリティ業界は、その黎明期に、城と堀のアプローチだけでサイバー保護ソリューションを構築しました。組織やITスタッフが安全なファイアウォールを介してネットワークの城の周りに深い堀を掘れば、悪質な行為者が機密情報にアクセスするのを防ぐことができると考えられています。しかし、時間が経つにつれ、境界線のセキュリティを強化するための努力は「モグラたたき」のゲームになってしまいました。サイバー攻撃が一貫してファイアウォールを突破したり、迂回したりしていたため、IT担当者は城や堀のアプローチに限界があることを認識していました。

内向きのシフト

業界の考え方が進化するにつれ、ツールも進化しました。米国の公共部門を含む組織は、ネットワーク境界内の脅威を根絶するために設計された新しいツールとファイアウォールを組み合わせるようになりました。資産全体の脆弱性を特定し、定期的なシステム更新やアプリケーションのパッチで脆弱性を管理するソリューションが普及しました。同じ頃、ArcSight や Splunk などの企業が、ネットワークユーザの行動を把握できるセキュリティ情報・イベント管理 (SIEM) やログ解析製品の販売を開始しました。

次のステップは、データやシステムにアクセスしている人が、その人の主張する通りの人物であることを確認することになりました。多要素認証(MFA)やネットワーク・マイクロセグメンテーションの実践などのアイデンティティ/パーソネル管理ツールは、組織がより強固なネットワーク・セキュリティを導入し、攻撃対象を減らすのに役立っています。

絶対に信頼しない、常に検証する。未来を保証するゼロトラスト

このようなサイバー保護の考え方やツールの進化の中で、ゼロトラスト・アーキテクチャと「絶対に信頼せず、常に検証する」という創業理念の採用が急増しています。この変化を補完するものとして、データの自己保護を可能にするソリューションへの関心が高まっています。

右の図は、同心円状に積み重なった防御ツールや手法が、最も重要な資産であるデータにどんどん近づいていく中で、後退するセキュリティの姿勢を示しています。この防御姿勢とは対照的に、自己保護データの概念(誰がデータにアクセスする必要があるかを理解し、自動的にアクセスできないように自分自身を保護できるデータ)は、特に次のように、ゼロトラスト・アーキテクチャ内で牽引力と現実のアプリケーションを獲得しています。サイバー保護業界は、革新的なデータ暗号化とアクセスモデル、および人工知能/機械学習を模索しています。

ゼロトラストと米国の公共部門

近年、米国の公共部門では、ゼロトラストと、政府の機密データをよりよく保護するためのアーキテクチャの有用性への関心が高まっています。その関心は、具体的な方法で具体化し始めています。例えば、2019年9月、米国国立標準技術研究所(NIST)は 「ゼロトラスト・アーキテクチャ」と題した出版物の草案を出しました。「ゼロトラスト・アーキテクチャ」とは、タイトルコンセプトの定義、原則、「コア論理コンポーネント」を探求するものです。

NISTの新刊に加えて、国防総省の2019年デジタル近代化戦略では、政府関係者の間でゼロトラストの重要性が高まっていることが示されています。この文書では、ゼロトラストを「データ侵害を阻止する目的で、アーキテクチャ全体にセキュリティを埋め込むサイバーセキュリティ戦略」として挙げています。このデータ中心のセキュリティモデルでは、信頼されたネットワークや信頼されていないネットワーク、デバイス、ペルソナ、プロセスの概念を排除し、最小特権アクセスの概念の下で認証と認可ポリシーを可能にするマルチ属性ベースの信頼度に移行します[強調しています]。

米国の公共部門におけるゼロトラストの概念の導入が進むにつれ、より全体的な意味合いを持ち始めています。かつてはネットワーク・セキュリティ・ツールのみに焦点を当てたアーキテクチャであったものが、現在では、企業のサイバーセキュリティの体制、実践、ポリシーなど、より広範な範囲に渡って検討、解釈、適用され始めています。例えば、NISTの出版物の草案では、データを取り巻くネットワークセグメントよりも、データそのもの(およびその他の重要な企業資産)のセキュリティに特に重点が置かれています。

まだ比較的新しいものではありますが、ゼロトラストについてのより包括的な考え方は、このコンセプトの当初の目的である戦術だけでなく、サイバーセキュリティ戦略に根本的な変化をもたらすという点で、うまく収まっています。デジタルと物理の両方で、多数の内部セキュリティのエントリーポイントで信頼を検証(および再検証)しなければならない世界では、セキュリティ専門家はこの用語の広範な有用性を認識しているため、ゼロトラストの傘は、今後数年のうちにさらに広がるかもしれません。

ゼロトラストを採用するための5つのフレームワークのステップ

これまでの歴史、背景、サイバーセキュリティのバズワードがいくつかわかったところで、いよいよ組織のゼロトラスト・アーキテクチャの実装に向けて本腰を入れる時が来ました。ゼロトラストへの移行の旅の始まりを可能な限りスムーズで管理しやすいものにするために、以下の5つのフレーミングステップを心に留めておいてください。

在庫の棚卸しをする

つまり、あなたのサイバーインフラのインベントリです。これは大変なことのように聞こえるかもしれませんが、ゼロトラストを実現するための最初の、そして最も重要なステップです。コンピューティング環境の範囲を完全に理解していない場合、どのようにしてコンピューティング環境を保護することができますか?
企業全体の環境におけるネットワーク、システム、デバイス、ユーザーの包括的なインベントリを作成します。最小限の特権アクセスの原則を指針として、ネットワーク内でユーザーとデバイスが果たす役割の種類と、それらのユーザーがアクセスする必要のあるデータの種類を決定します。

漸進的な変化に焦点を当てる

ゼロトラストを導入することは、全速力で先を行くような、裂いて入れ替えるような努力ではありません。ゼロからコンピューティング環境を構築していない限り(その場合、ゼロトラストの原則が最初から指針となるはずです)、包括的なゼロトラスト・アーキテクチャを一挙に導入することは期待できません。完全な移行が実現するまでは、ゼロトラストの原則とレガシーの原則を組み合わせる必要があるでしょう。
移行を容易にするためには、まず、ゼロトラスト・ツールが既存のセットアップをどのように補完するかを決定します。その後、管理可能な段階的な変更を開始します。企業のレイアウトに最適なものをテストし、スケールアップします。

ゼロトラストは、単一のサイズのフレームワークではないことを覚えておく

ゼロトラスト・アーキテクチャに移行した他の人のアドバイスを求めてください。ここAcronis SCSでは、私たち自身の経験や苦労話を喜んでお話ししますので、もし私たちがお役に立てるのであれば、ぜひご連絡ください。(当社のアプローチについては、本ホワイトペーパーの8ページを参照してください)。
しかし、最終的には、ある組織の特定のコンピューティング環境に適したものが、あなたの組織には適していない可能性があることを覚えておくことが重要です。組織は、独自の環境の中でセキュリティと実用性のバランスをとる必要がありますが、そのバランスは、保護する必要のあるデータの種類、量、および感度によって異なります。

戦術を戦略に変える

その場しのぎのゼロトラスト・ツールを導入することは、一つのことです。ゼロトラストの考え方を成文化し、企業全体で体系的に実践することは別のことです。
信頼度ゼロの目標を強化するために、ITポリシーを策定し、必要に応じて書き換えてください。これには高いレベルの賛同を得る必要があるかもしれませんが、今日のサイバーセキュリティ時代におけるゼロトラスト・アーキテクチャとその必要性についての一般的な議論が広がれば、リーダーとの会話はより簡単になるはずです。

「人間のファイアウォール」に権限を与え、その役割を果たすようにする

ゼロトラスト・アプローチの最も重要な2つの原則は、(1)誰も信用しないこと、(2)検証することです。正しく実装されていれば、ゼロトラストは、人為的な原因による違反の結果と被害を最小限に抑えることができますが、だからといって、サイバー攻撃、データ損失、漏洩からシステムと情報を守る上で、人が果たす重要な役割を帳消しにするべきではありません。2019年の調査によると、データ侵害の3分の1近くがスピアフィッシングの手口を伴うものであり、人為的なエラーが侵害の5分の1以上に原因となる役割を果たしていることがわかっています。
したがって、ゼロトラスト・アーキテクチャを採用する際には、すべての従業員がサイバーセキュリティの体制に積極的に参加できるようにする必要があります。従業員全体にセキュリティ文化を浸透させるための研修や説明会を開催します。従業員一人ひとりが、サイバーフィット、警戒心、回復力のある人間のファイアウォールとなるように権限を与えます。最終的には? ゼロトラスト・アーキテクチャの実装は、チームで取り組むことで成功する可能性が高くなります。

実践におけるゼロトラスト-実生活の例

Acronis SCSは、米国の中堅企業であり、米国の公共部門向けのサイバー保護およびエッジ・データ・セキュリティ企業として、より広範な最小特権アクセス・アプローチの重要な要素として、ゼロトラスト・アーキテクチャの採用を選択しました。このモデルは、オフィスやデータセンターからネットワーク、アプリケーション、エンドポイント、電子メール、クラウド・インフラに至るまで、企業全体に導入されています。

公共部門のお客様ならではのセキュリティへの配慮により、私たちは米国市民のみを雇用しており、アリゾナ州スコッツデールのオフィスに入る人にはバッジアクセスを要求しています。また、NISTの高い基準を超えて、多数の物理的および生体認証によるデータセンターの保護を行っています。ゼロトラストの枠組みの中で、Palo Alto Networksの次世代ファイアウォールとセグメント化されたネットワークを活用しています。また、電子メールのセキュリティにも真剣に取り組んでおり、FireEye Email Threat Prevention を使用してマルウェアの侵入を防ぎ、多要素認証(MFA)、証明書ベースの VPN などをクラウドに適用しています。

ゼロトラスト・モデルの「絶対に信頼せず、常に検証する」というコンセプトの適用は、社内のセキュリティ・アプローチにとどまらず、製品開発全体にも適用されています。また、この原則は製品開発のライフサイクル全体にも適用されています。当社のプロセスは、すべての製品コードを自社環境内でコンパイルし、IronNetやnVisiumなどのサードパーティ企業にコードのレビューを依頼するという、セキュア・バイ・デザインの哲学に基づいています。

つまり、ネットワークセキュリティ、社内セキュリティ、製品開発のアプローチのいずれにおいても、「常に検証する」というコンセプトを採用しています。

最高の内部セキュリティ基準を組織に適用するプロセスは、常に容易ではありませんでした- それはおそらくあなたの組織のためのすべての順風満帆ではないのと同じようにです。例えば、私たちが利用しているクラウドサービスの中には、自動的にMFAをサポートしていないものもあります。しかし、私たち自身のサイバー保護のためにはこの対策が重要であることを知っているため、別の認証方法でMFAを実行することを選択しています。余分な考えと時間が必要な場合でも、余分なマイルを実行することは、当社がサービスを提供する人々の信用と信頼を維持するために非常に重要です。

私たちがお手伝いできることを考えてみてください。

最初から始めようとしている場合でも、すでに組織のサイバー・アーキテクチャにゼロトラスト原則を導入していて、さらに追加しようとしている場合でも、Acronis SCSはその手助けをします。なぜなら、私たち自身がそこにいたからです。

すべての企業は、独自の社内セキュリティニーズを持っています。そのため、お客様のアプローチは当社とは異なる可能性があります。しかし、当社の経験は、お客様の顧客、インフラストラクチャ、およびミッションに基づいて、お客様の組織独自のサイバーセキュリティのニーズを分析することで、お客様のゼロトラストの旅に光を当てることができます。

幸いなことに、方針や手順を仕立てることは、常にホイールを再発明する必要はありません。どのような組織でも、このプロセスをスムーズに行うことができるツールがあります。たとえば、アクティブなランサムウェア対策を含むバックアップおよびリカバリソリューション(Acronis SCS Backup 12.5や今後の強化されたバックアップ製品など)を使用すると、使いやすい公証とデジタル化を行いながら、不要でコストのかかるデータ侵害から組織を保護できます。 認証ソリューションは、悪意のある人物によるデータの改ざんを防ぐことができます。

結論:バズワードを行動に移す

ゼロトラストはもはや単なる流行語や理論ではありません。国防総省の兵器システムに材料を供給する小規模な企業から、アメリカの地方自治体や最大の連邦政府機関まで、あらゆる規模の組織が真剣に行動を起こすべきだということを表しています。

組織に最適なゼロトラスト・アーキテクチャを決定する際には、何が危機に瀕しているかを念頭に置いてください。適切なセーフガード、つまり今日のサイバー脅威の深刻で多様な性質を認識したセーフガードがなければ、組織のデータと運用の継続性は危険にさらされることになります。今日の行動が、明日の行動の真偽を左右します。

コメント

タイトルとURLをコピーしました