VMwareとIDaaSで始めるゼロトラストセキュリティ

ゼロトラスト・セキュリティは、「信頼される」内部ネットワークと「信頼されない」外部ネットワークを持つべきだという考えを捨てます。モバイルやクラウドの採用により、ネットワークの境界線中心のセキュリティの考え方はもはや通用せず、代わりに、場所やデバイス、ネットワークに関係なく、様々なユーザー(従業員、パートナー、契約者など)が安全にアクセスできるようにする必要があります。ゼロトラスト・セキュリティ・アーキテクチャを実現するための特効薬はありませんが、アイデンティティ、アクセス管理、デバイス管理は、組織がゼロトラストの過程で始めるべきコア・テクノロジーです。

ここでは、ゼロトラストの創設に至ったセキュリティ環境の変化、ゼロトラスト拡張エコシステム(ZTX)フレームワークが現在どのようなものであるか、組織が現在および将来、ゼロトラスト・プログラムを成功させるための基盤としてIDaaSとVMware Workspace ONEをどのように活用できるかを探ります。

課題:データを保護する壁が消えたら

従来のセキュリティ・アーキテクチャは、組織内のすべてのものにアクセスできる信頼された個人と、信頼されていない個人を外部に隔離するという 2 つのグループを念頭に置いて構築されていました。セキュリティチームとITチームは、彼らの間のバリアを保護する防御システムに投資し、ネットワークの境界線の確保に重点を置き、多くの場合はファイアウォールを使用していました。彼らは潜在的な脅威と企業のエコシステムの安全性の間に壁を築くことに成功しましたが、この完全な信頼モデルには問題があります。なぜなら、境界線が破られると、攻撃者は会社の特権的なイントラネット上のすべてのものに比較的簡単にアクセスできるからです。境界線を突破する必要もなく、不正なインサイダーの脅威がもたらす大混乱は言うまでもありません。

 

さらに、今日ではモバイルやクラウド技術の採用が増え、企業ネットワークの安全性の外での作業が増加しており、ネットワークの境界線を強制することがますます難しくなっています。従業員、請負業者、パートナー、サプライヤーのすべてが、従来の境界線を越えてデータにアクセスしており、潜在的な脅威となっています。

また、これまで以上に多くの人々が、より多くのデバイスや場所から、より多くのリソースやデータにアクセスするようになったことで、一人の悪質な行為者が突破口を開いた場合、エコシステム全体に損害を与える可能性が非常に高くなっています。その結果、企業はもはやITスタックのどの部分からも信頼を得ることができなくなっています。

次なるフロンティア:ゼロトラストの進化

このようなセキュリティ環境の変化が、ゼロトラストの誕生につながったのです。ゼロトラストとは、2009年にForrester Research社のアナリストであるJon Kindervag氏によって開発されたセキュリティフレームワークで、信頼された内部ネットワークと信頼されていない外部ネットワークという考え方を捨て、代わりに、すべてのネットワークトラフィックを信頼されていないものとみなすべきだと主張しています。

この初期のフレームワークでは、Kindervag氏はネットワーク境界の見直しに焦点を当て、ネットワーク・セグメンテーション・ゲートウェイを必要とするすべてのネットワーク・トラフィックをリアルタイムで検査することを組織に推奨しました。具体的には、彼のゼロトラストを構成する3つの原則には次のようなものがあります。1) 場所に関係なく、すべてのリソースに安全な方法でアクセスしなければならない、2) アクセス制御は必要に応じて行い、厳格に実施する、3) 組織はすべてのトラフィックを検査し、ログを記録して、ユーザーが正しいことをしているかどうかを確認しなければならない。

 

2009年以降、クラウドとモバイルの台頭は、Kindervag氏独自のゼロトラスト・モデルを進化させるきっかけとなりました。Gartner社の2017年のCARTAフレームワークでは、Kindervag氏のゼロトラスト・フレームワークを踏襲し、フロントゲートでの認証とアクセス権限の付与だけでなく、潜在的な脅威を特定するための適応性のあるリスクベースの評価を通じて、ユーザーの体験全体を通じて継続的にアクセスを行うことに重点を置いています。Google社のBeyondCorpの研究は、2014年に発表され、今日では、大規模なスケールで正しく行われたゼロトラストの主要な例として機能しています。

アナリストのChase Cunningham氏が率いるForrester社のゼロトラスト・フレームワークの進化版であるゼロトラスト拡張エコシステム(ZTX)は、ネットワークのセグメンテーションを超えて、データセキュリティ、ワークロードセキュリティ、ワークフォースセキュリティ、デバイスセキュリティ、可視性と分析、自動化とオーケストレーションへと拡大していることを強調しています。Cunningham氏の進化は、ゼロトラストを「次世代ファイアウォール」から「次世代アクセス」へと拡大し、ネットワークとデータへのアクセス権を持つ者の指揮と制御を成功の鍵としています。


2009年: Forrester社のゼロトラスト誕生

2014年: Google社、BeyondCorpの調査結果を発表

  • 特定のネットワークからの接続は、アクセスできるサービスを決定するものではありません。
  • サービスへのアクセスは、お客様とお客様のデバイスを理解した上で許可されています。
  • サービスへのすべてのアクセスは、認証、承認、暗号化されていなければなりません。

2017年: Gartner社、CARTAを公開

Continuous(継続的な)
Adaptive(適応する)
Risk and(リスクと)
Trust(信頼)
Assessment(評価)

2018年: ZTXフレームワークをリリース


また、Forresterは2018年後半、アクセスの重要性をさらに強調するゼロトラストの新調査を発表しました。レポート「The Forrester Wave™. Zero Trust eXtended(ZTX)エコシステムプロバイダー、2018年第4四半期」には、IDaaSとVMwareの両方を含む多くのベンダーが含まれていました。この分析の主な基準は、ネットワークセキュリティ、データセキュリティ、ワークロードセキュリティ、ワークフォースセキュリティ、デバイスセキュリティ、可視性と分析、自動化とオーケストレーションの7つのエコシステムの柱のすべてに加えて、管理性とユーザビリティ、APIの利用状況でした。

ゼロトラストのための基盤:IDaaS + VMware Workspace ONE

簡単に言えば、ゼロトラストの核心は「決して信頼せず、常に検証する」ことであり、適切な人々が適切なコンテキストで適切なリソースへの適切なレベルのアクセスを確保し、継続的に評価されます。ゼロトラストの涅槃は一夜にして実現するものではなく、組織がゼロトラスト・アーキテクチャを実装するにつれて、インフラストラクチャの成熟度にはいくつかの段階があることがわかりました。

ゼロトラスト成熟度曲線

ステージ0:断片化したアクセス管理

  • オンプレミスのActive Directory
  • クラウド統合なし
  • どこでもパスワード

ステージ1:統合アクセス管理

  • 従業員、請負業者、パートナー間でのシングルサインオン
  • 現代の多要素認証
  • アプリ、デバイス、サーバー間で統一されたポリシー

ステージ2: コンテキストによるアクセス

  • コンテキストベースのアクセスポリシー
  • ユーザーグループにまたがって展開されている複数の要素
  • 退職者の自動プロビジョニング解除
  • APIへの安全なアクセス

ステージ3:適応型の労働力

  • リスクに応じたアクセスポリシー
  • 継続的かつ適応的な認証と承認
  • 摩擦のないアクセス

ステージ0:断片化したアクセス管理

多くの組織は、Active Directory などのオンプレミスのディレクトリと統合されていない、さまざまなオンプレミスとクラウドのアプリケーションを使用してゼロトラストの過程を始めます。その結果、IT 部門は、多数のシステムや、IT 部門が意識することなく使用されている多数のアプリケーションやサービスにまたがる、バラバラなアイデンティティの管理を余儀なくされています。ユーザーにとっては、これはまた、多数の(そして最も可能性の高い、安全でない)パスワードを意味します。このような断片化されたアイデンティティを可視化し、所有権を持たなければ、IT およびセキュリティチームは、攻撃者が個々のシステムへのアクセスを悪用するための大きな窓を残したままになってしまいます。

ステージ1:統合アクセス管理

断片化によって残されたセキュリティギャップを解決するための最初のステップは、1つのアクセス管理システムの下に統合することです。このステージ1統合は、シングルサインオン(SSO)によるアクセス管理に不可欠であり、顧客だけでなく、従業員、請負業者、パートナーの完全な拡張エンタープライズを含む、サービスへのアクセスを必要とするすべてのユーザーに限定する必要があります。集中化されたIDアクセスポイントに第2の認証要素を重ねることで、クレデンシャルを標的とした攻撃をさらに緩和することができます。さらに、IT インフラストラクチャの重要な部分であるサーバだけでなく、デバイス、アプリケーションにまたがるアクセス・ポリシーを統一することは、オンプレミスとクラウドの両方にまたがる IT のための安全で管理可能な場所に IAM を統合するための鍵となります。

何千もの組織が、ユーザーアイデンティティを統一するためにIDaaS SSOを使用しています。IDaaS Universal Directoryは、IT組織にとって単一の信頼できる情報源として機能するクラウドベースのディレクトリサービスであることが多く、複数のADや他のオンプレミスディレクトリサービスへの統合ポイントとして機能し、IDaaS SSOは、 ITの拡張エンタープライズがシンプルになり、ユーザーを悩ませるパスワードの急増がなくなります。VMware Workspace ONEモバイルSSOと組み合わせることで、エンドユーザは、モバイルデバイス全体でモバイルアプリケーションへのシームレスな認証を得ることができます。VMware Workspace ONEモバイルSSOは、エンドユーザが認証情報の入力を求められることなく、アプリケーションにすぐにアクセスできることを意味し、企業のセキュリティを維持しながら、消費者が簡単に利用できるようにします。VMware Workspace ONE Unified Endpoint Managementは、Windows 10、macOS、iOS、Androidなど、あらゆるデバイスでのクレデンシャル管理を支援します。また、IDaaS Advanced Server Accessを使用すると、ITはアクセス制御をサーバ層に拡張し、ITが管理する必要のあるエンドポイント、オンプレミス、およびクラウドのリソースのすべての範囲に安全なアクセス管理をもたらします。

ステージ2: コンテキストによるアクセス管理

ITが統一されたエンドポイント管理でアクセス管理を統一したら、ゼロトラスト・セキュリティの次の段階は、コンテキストベースのアクセスポリシーのレイヤー化です。これは、ユーザーのコンテキスト(誰なのか、リスクの高いユーザーグループに属しているかなど)、アプリケーションコンテキスト(ユーザーがアクセスしようとしているアプリケーション)、デバイスコンテキスト、場所、ネットワークに関する豊富なシグナルを収集し、それらの情報に基づいてアクセスポリシーを適用することを意味します。例えば、企業ネットワークから管理されているデバイスへのシームレスなアクセスを許可するポリシーを設定し、新しい場所からログインした管理されていないデバイスはMFAの入力を求められるようにすることができます。また、組織は、ユーザーグループ間で複数の要素を使用して、これらの認証試行の理解に基づいて認証をステップアップさせることもできます。例えば、ワンタイムパスコードを使用したスマートフォンを持たない低リスクのユーザーや、高価値のターゲットは、サービスへの認証を安全に行うために暗号ハンドシェイクを使用したハードトークンを使用する必要があるかもしれません。さらに、ユーザーが組織内で離脱したり役割が変わったりした場合でも、自動プロビジョニングにより、ユーザーが自分の仕事に必要なツールのみにアクセスできるようになります(離脱の場合は、自動的にすべてのアクセスを取り消し、離脱後にアカウントの孤立化や潜在的なアクセスが発生するリスクを軽減します)。最後に、これらの豊富なアクセス制御は、最新のアプリケーションの構成要素でありながら、機密データをウェブにさらす可能性のあるAPIへの安全なアクセスを含む、労働力が使用するすべての技術に拡張する必要があります。

今日、多くの組織では、すでにIDaaS Adaptive MFAとVMware Workspace ONEによるデバイス管理、コンプライアンス、構成、およびすべてのデバイスの健全性のために、IDaaSのコンテキストアクセス管理機能セットを使用しています。ユーザー、ロケーション、ネットワーク、アプリケーション、およびWorkspace ONEからのデバイスに関する文脈に基づくインサイトを処理することで、IDaaSポリシーフレームワークは文脈に基づく応答を提供することができます。この対応は、組織のリスク許容度に基づいており、組織を安全に保つための最初の防衛線として機能します。

例えば、ユーザーが企業ネットワーク上のいつもの企業のラップトップから認証しようとする場合、組織は、そのユーザーが正常にパスワードを入力することだけを要求するポリシーを設定することができます。しかし、ユーザーが外国や公共のwifiネットワーク上の会社のラップトップから認証を試みた場合、ポリシーはパスワードと第二の要因の両方を要求することができます。デバイスのセキュリティ姿勢がゼロデイ・マルウェアにより高リスクであることが判明した場合、Workspace ONEポリシーは、アプリケーション・アクセスを削減または削除することで、デバイスを隔離するのに役立ちます。この種のコンテキストアクセスは、毎回ではなく、リスクの高い認証試行中に第2の要素を要求するだけで、ユーザーとIT/セキュリティの両方に利益をもたらします。

ステージ3:適応型の労働力

ゼロトラスト導入の最終段階では、認証とアクセス権限の付与に組織の焦点を拡大します。これは、認証はもはやフロントゲートだけで行われるのではなく、潜在的な脅威を特定するための適応性のあるリスクベースの評価を通じて、ユーザーの体験全体を通して継続的に行われることを意味しています。これは、ステージ2からのコンテキストに基づく応答に、インテリジェントなリスクベースのエンジンを追加したように見え、前のステージで設定された個別のポリシーを超えて、ITがリスク許容度を設定し、コンテキストに基づく信号に基づいてリスク・スコアリングを行うことで、特定の認証イベントの危険性を判断し、その洞察に基づいて2つ目の要因を求めることができるようになりました。この適応型認証は、これらのシグナルのいずれかに変化があるかどうかを継続的に監視し、ユーザーのコンテキストの一側面が変化した場合には、認証と承認の検証を再度促すようにします。最後に、これらのインテリジェントでリスクベースのアクセス制御によってセキュリティが向上する一方で、エンドユーザの体験は最終的に簡素化され、摩擦のないアクセスが可能になり、IT 部門がそれを許可するポリシーを設定している場合には、パスワードなしの認証が可能になります。

IDaaSは、管理者がポリシーを使用してエンドユーザーの認証体験を変革することを可能にし、認証フローからパスワードを完全に削除することも含まれています。パスワードを代替要因(IDaaS VerifyやYubiKeyなど)に置き換えて認証の主要因とすることで、IT管理者は選択肢を持つことができます。彼らは、様々な信号入力の周りのリスク許容度に基づいてステップアップ認証を必要とするリスクベースの認証ポリシーを設定することができます。ユーザが自分の言うとおりの人物であると確信している場合、そのユーザは最初の非パスワード要素のみを入力するように要求されます。

VMware Workspace ONEモバイルSSOは、モバイルデバイスでのユーザー体験をさらに強化し、デバイスのセキュリティを確保します。Workspace ONE Intelligenceは、ITに洞察と自動化を提供し、ユーザー体験を強化し、ユーザーとデバイス全体のセキュリティを向上させます。これらの洞察を使用することで、企業は、デバイス、アプリ、ID、位置情報などのさまざまなデータソースから集約され、相関関係のあるデータに基づいてアプリケーションへのアクセスを管理することができます。Workspace ONE Intelligenceの自動化機能は、サービスデスクなどのサードパーティのソリューションとの統合を活用して、時間のかかる手動タスクを削除することで、ITが日常業務を改善するのを支援します。サービスデスクのチケットを自動的にオープンし、Workspace ONE Intelligenceによって収集された洞察に基づいてアクションを自動的に実行することができます。

企業リソースへのアクセスをインテリジェントに制御することは行動監視の基本ですが、侵害の根本原因を特定することは困難です。Workspace ONEプラットフォームは、Workspace ONE Trust Networkを介してサードパーティのセキュリティソリューションから脅威インテリジェンスをインジェストすることで、組織のセキュリティフットプリントをさらに拡張し、Workspace ONE Intelligenceを通じてITにさらなる洞察と自動化を与えます。セキュリティ分析とセキュリティ情報およびイベント管理(SIEM)の統合により、IDaaSは、組織がIDaaSの豊富なアイデンティティコンテキストとユーザーアクティビティを活用し、漏洩したアカウントに対して是正措置を実施できるようにします。また、IDaaSは、クラウドアクセスセキュリティブローカー(CASB)と統合して、組織に詳細な可視性とアラートを提供し、認証済みセッション中の危険なイベントを継続的にチェックできるようにします。IDaaSのSIEMパートナーと共に、IDaaSは貴重な認証データを提供して異常をより良く検出し、CASBサービスがIDaaSに応答を返すことで、ID層でのアクセスを取り消すことができます。

エンドユーザー体験

ユーザーがゼロトラストの成熟度曲線のすべての段階で生産性の高いテクノロジーを採用し続けるためには、ゼロトラストのセキュリティはエンドユーザーの体験を受け入れなければなりません。IDaaS SSO を通じてアクセスを統一することで、エンドユーザーは複数の認証情報を維持する必要がなく、単一のアクセスポイントから職場のすべてのサービスにアクセスできるようになります。コンテキストアクセスはまた、セキュリティとITがエンドユーザーの認証体験を簡素化することを可能にし、パスワードレス体験を含む複数の要素オプションにより、セキュリティを損なうことなくエンドユーザーの体験を簡素化します。Workspace ONE Intelligent Hubは、エンドユーザーに、どのデバイスからでもアプリケーションに安全にアクセスするための単一のエントリポイントを提供します。Workspace ONE Intelligent Hub内では、Workspace ONEモバイルフローにより、ユーザーは実際のアプリケーションを開くことなく、アプリケーションデータと対話することができます。例えば、ユーザーはCRMアプリケーションを起動することなく、Workspace ONE Intelligent Hubから直接SalesforceなどのCRMアプリケーションと対話することができます。

まとめ

現在、ほとんどの組織はゼロトラストの成熟度曲線のゼロ地点にありますが、ITセキュリティに「絶対に信頼せず、常に検証する」というアプローチを採用し続ける中で、IDaaSとVMwareは、より強力でシンプルなアクセス管理を可能にする追加機能をサポートし続けています。アプリ内の機能へのアクセス、実用的な洞察につながる危険な行動分析、潜在的な脅威に迅速に対処するためのServiceNowなどのソリューションとの統合など、これらの機能は、ゼロトラストの成熟曲線に沿ってITが進化するのに役立つでしょう。

コメント

タイトルとURLをコピーしました