ゼロトラストアーキテクチャ:サイバーセキュリティとプライバシーのパラダイムシフト

イントロダクション

ますます複雑化するサイバー攻撃と、反応的ではあるが洗練された規制環境は、企業のサイバーセキュリティ能力を限界まで押し上げています。これらの課題に対応する方法として、ITセキュリティアーキテクチャのパラダイムシフトであるゼロトラストが注目を集めています。ゼロトラストは、「検証なしでは信頼できない」ポリシーを実施することで、サイバー問題をより可視化し、データ保護要件へのコンプライアンスを容易にすることで、企業のサイバーセキュリティ態勢を強化します。

サイバー攻撃は、金銭、信頼、評判の壊滅的な損失につながる可能性があることを考えると、企業はセキュリティ体制を強化しなければならないという本質的なインセンティブを持っています。特定のデータタイプに対する適切な保護レベルの要求は、データの機密性、完全性、可用性、およびプライバシーを確保するための技術的および組織的な対策を要求する規制要件として、ますます定式化されてきています。

サイバーの脅威が増大し、組織が同時にデータ保護の不備を指摘するようになるにつれ、規制の状況はより洗練され、複雑になってきています。とあるCEO調査によると、スイスのCEOはこの課題を認識しています。彼らは、サイバーリスクを成長の見通しに対する3番目に大きな脅威と考えており、規制の分断化と複雑化が進むと考えています。スイスの企業はある程度の意識を示していますが、データを保護し、適時に攻撃を検出し、攻撃に対応するには不十分なサイバーセキュリティを維持しています。

原因ではなく、症状に対処するだけでは不十分です。サイバーレジリエンスは、情報セキュリティを顕在化し、概念化するITセキュリティアーキテクチャという根本的なところから始まります。ITセキュリティアーキテクチャは、企業全体のアーキテクチャの中で技術的なセキュリティ対策をどのように確立するかを決定し、内部と外部の要件を調整します。セキュリティアーキテクチャは、データの生成、使用、転送、保存からアーカイブ、破壊に至るまで、電子データのライフサイクル全体を対象としており、物理的または仮想化されたクライアントやサーバのエンドポイント、ITおよびビジネスアプリケーション、ITプラットフォーム、インフラストラクチャ、さらには、さまざまなリソースをつなぐネットワークなど、すべてのコンポーネントを網羅しています。

従来のITセキュリティのアプローチでは、ネットワークの境界線がセキュリティ対策の実施ポイントとして使用されています。このポイントを通過すると、ほとんどのリソースにアクセスすることができます。しかし、ネットワーク上の多くのデバイスがインターネットにアクセスできるため、この境界線の強制力はもはや十分ではありません。デバイスが侵害された場合、攻撃者は境界線を通過せずに企業ネットワークにアクセスすることができます。そのため、新しいパラダイムが必要とされています。ゼロトラストです。

ゼロトラスト・アーキテクチャ:データ保護とコンプライアンスに向けて

単なる境界線ベースのセキュリティとは異なり、ゼロトラストは、ユーザーのアクセス、データの場所、アプリケーションのホスティングモデルに基づいたマイクロ境界線アプローチを推進しています。このマイクロセグメント化されたネットワーク内では、機密データが保護され、あらゆるアクセスが検証され、認証を必要とします。ユーザーの行動分析とリアルタイムの脅威インテリジェンスが異常を識別し、サンドボックスが潜在的に敵対的なデータ処理活動を確実に隔離します。ゼロトラストのアプローチは、企業のデータセンターの範囲に限定されるものではなく、クラウド、ウェブサービス、プロバイダーに委託したITサービスへのデータトラフィックの制御されたアクセスと監視も含まれています。このように、ゼロトラストは、現代の労働力や外部ホスト型ITサービスの時代に、ネットワークセキュリティを近代化するための非常に優れた方法です。

ゼロトラストという用語はかなり以前から注目を集めています。これは1994年にジェリコ・フォーラムで初めて紹介されたアーキテクチャです。その後、市場調査会社のForresterがゼロトラスト・アーキテクチャという用語を紹介しました。このセキュリティ概念は、数年後にGoogleがゼロトラストネットワークBeyondCorpの実装を発表したことで、大きな注目を集めました。Googleがこの概念を導入したのは、2009年にGoogleを襲った一連の巧妙なサイバー攻撃「オーロラ作戦」の反動でした。

ゼロトラストは現在、主流となっています。米国の国立標準技術研究所(NIST)は最近、このアプローチを公式化するための特別出版物(SP 800-207)を発行したばかりで、国立サイバーセキュリティセンター・オブ・エクセレンスは現在、NIST SP 800-207の概念と原則に沿ったゼロトラスト・アーキテクチャの例を文書化しています。しかし、このコンセプトは誰もが口にしているように見え、多くの製品の発売を促進するために使用されていますが、企業レベルではまだ広く実装されていません。下の図は、ゼロトラスト・アーキテクチャの主な構成要素を紹介しています。

 

最も重要な構成要素は、企業ネットワーク内のいわゆるポリシー決定点(PDP)とポリシー実施点(PEP)であり、データの飛び地やマイクロ・ペリメータを構築するために使用されます。PDP と PEP は、セキュリティ情報が収集され、トランザクションが取るべき経路を決定するため(PDP)、または認証のための追加要素を要求したり、信頼されていないと判断された場合にトランザクションをブロックしたりするなど、特定のポリシーを実施するために使用されるポイントです。

上の図は、PDPとPEPが外部の境界線上だけでなく、ネットワークをゾーンにセグメント化するために多くの異なるポイントにあることを示しています。組織のIT資産の規模に応じて、ネットワーク・ゾーンのセグメント化には、信頼レベルの異なるアプリケーションを分離するための複数のサーバー・ゾーンが含まれる場合があります。さらに、ミドル層とバックエンド・データ・ストレージの間でセグメント化することも可能です。

企業のアーキテクチャに統合されたセキュリティ・アーキテクチャ

ネットワークのセグメンテーションやPDPやPEPの位置づけについて正しい判断を下すためには、内部ポリシーや外部規制に準拠するために処理されるデータの種類、適用されるデータの分類、派生する保護レベルを理解するために、セキュリティアーキテクチャをビジネスアーキテクチャと密接に連携させる必要があります。指針となる原則として、ビジネスは IT を推進するべきであり、IT セキュリティは IT の品質面と見なされるべきです。つまり、ビジネスは、ビジネスプロセスに沿って処理されたデータを適切に保護するために、ITとITセキュリティのための要件を形式化する必要があるということです。下の図は、ビジネスサービスで処理される機密性の高い電子データや規制要件が強化されたデータを特定するための出発点として、ビジネスアーキテクチャをどのように使用できるかを示しています。このデータが特定されると、データ分類は、組織内で機密データを処理、転送、保存するために必要な保護レベルを定義します。したがって、ビジネスアーキテクチャは、組織の特定のコンテキストで電子データを利用するためにビジネスプロセスに沿って使用されるアプリケーションを特定するための出発点となり、データガバナンスは、適用される規制に従ってデータを分類するためのプロセスを推進します。

 

ゼロトラスト導入に向けた6つのステップ

ゼロトラストを組織の特定の環境に適用するには、6つのステップが必要です。

1. 機密データ(「王冠の宝石」)の特定と発見

組織は、ITインフラストラクチャ全体をアウトソーシングすることができます。しかし、データ保護とコンプライアンスの責任は組織にあります。そのため、データリポジトリのインベントリを作成することが重要です。このインベントリを作成することで、組織はデータの保護レベルと重要度を特定することができ、内部要件(知的財産権やビジネス価値など)と外部要件(法律や規制の遵守など)によって決定されます。

適用される規制と内部データ要件の異なるセットに応じて、以下のデータタイプを区別するのが良いでしょう(リストは網羅的ではありません)。

  • スイスの規制およびEUの一般データ保護規則に基づく個人を特定できるデータ(PII)(現地の銀行規制に準拠するためのPIIのサブセットとしての顧客識別データ(CID)を含む)
  • PCI DSSに準拠した決済カード業界のデータ
  • 財務諸表情報や税務関連データなどのビジネスデータ
  • 知的財産権に関する営業秘密や、M&A情報などのセンシティブなデータに関するもの

すべてのデータを全体的にマイクロ・セグメント化するのはコストがかかりすぎると考えるかもしれません。最低限、機密性、可用性、完全性、およびプライバシーの観点から、一定の重要度レベルのアプリケーション処理データを使用して、セグメント化されたサブ境界を持つデータ・エンクレーブを作成する必要があります(下記のステップ 3 を参照)。データインベントリを確立するには、データセットをデータインベントリに割り当て、データセットの分類と分類が正しいこと、データ所有者が割り当てられていることを確認できるように、IT環境全体のすべてのデータ処理活動を発見する必要があります。また、すべてのデータ処理アプリケーションのインベントリを作成する必要があり、さらに詳細を追加して、基礎となるITインフラストラクチャと使用されているソーシング・オプションを決定する必要があります。これには、データ保存場所、バックアップ場所、ファイル共有、その他の保存場所が含まれるべきです。データリポジトリは、データ処理活動がどこで行われ、誰がこれらのデータにアクセスできるかを データ所有者に知らせるために、アプリケーションのインベントリとリンクされる必要があります。これは、ステップ 2 で説明したように、センシティブなデータトラフィックを特定するための基礎となります。

2. 機密性の高いデータフローの特定

ネットワーク・セグメントを適切に設計し、異常なアクティビティを検出するためには、組織は機密性の高い重要なデータの流れを認識する必要があります。このステップでは、ビジネス・プロセスに沿って必要とされるアプリケーション間の依存関係、関連する IT コンポーネント、データ・トラフィック、および必要なアクセス権を理解するために、IT スタッフとビジネス・スタッフが関与しなければなりません。ビジネスアーキテクチャは、部門/企業機能によって処理されるデータタイプを理解するための良い出発点です。ITアプリケーションへのリンク これらのデータを処理することで、データの流れを理解することができます。

機密データの流れを文書化するための良い方法は、どのような役割(ビジネスユーザーがなりすましている)が IT アプリケーションを使用してビジネスプロセスの関連するステップを実行するタスクとして機密データを処理するかを示すスイムレーンを使用することです。機微なデータを処理するビジネスアプリケーションが、ローカルの IT 部門によって運営され、ホストされているか、パートナーに委託されているか、クラウドサービスとして提供されているかを明確にする必要があります。これは、以下をカバーする適切なデバイス管理が行われていることを前提としています。

  • エンドユーザー・デバイス(非管理、BYOD、モバイルデバイス、企業管理デバイスなど)
  • ネットワークデバイス(IT組織が所有/管理)
  • データセンター内の企業のITデバイス(サーバー、ストレージなど、IT組織が所有/管理)
  • パブリッククラウドまたはプライベートクラウドのSaaS、IaaS、またはPaaSが使用されている場合、ソースとなるITサービスのインベントリ

すべてのセンシティブなデータフローが捕捉されていることを確認することは、共同作業です。ビジネスはデータ処理に関するコンテキスト情報を持ち、IT 部門は、ステップ 1 で特定したすべてのビジネス アプリケーション、データ リポジトリ、およびデバイスがセンシティブ データ トラフィック分析の対象になっていることを確認することができます。これができれば、休憩中、移動中、または使用中のデータを保護する方法を決定するための適切な対策を展開することができます。

3. マイクロペリメータ/データエンクレーブの定義とアーキテクチャ

サブ・ペリメータの定義は、ステップ 1(機密データの特定)とステップ 2(ネットワーク、サイト、および IT システム内でのこれらのデータの流れ)に依存します。機密データのリポジトリを特定するということは、「知る必要がある/する必要がある」を実施することを意味し、アクセス制御のための最小特権の原則に基づいています。これには、データ所有者がどのような役割がデータにアクセスする必要があるかを理解し定義し、その役割を持つユーザーからのアクセス要求を承認し、エンタイトルメント管理を行う必要があります。しかし、ユーザーの権限は一回限りのものではありません。アクセス制御は継続的な修正と監査を必要とします。適切なユーザー管理プロセスは、ITユーザーの以下の大まかなグループを個別に処理します。

  • 機密データを処理するITアプリケーションにアクセスできるビジネスユーザー
  • ユーザーのアクセス権やセキュリティ設定を変更し、機密データにアクセスすることができる特権的なアクセス権を持つITユーザー
  • 機密データへのアクセスが可能なクライアントとパートナー

各ユーザグループに対して、そして潜在的にはサブレベルに対して、joiner-mover-leaverプロセス、ユーザ資格、および定期的な再認証サイクルを文書化した一連のコントロールを定義する必要があります。

ユーザーのアクセス管理に加えて、データリソース(ストレージと処理リソース)を、一定の信頼レベルを持つエンドポイントのみがアクセスできる専用の「エンクレーブ」にグループ化することができます。このようなポリシーは、データ・エンクレーブへのアクセスを保護することで PEP で実施することができ、各 IT システムと IT アプリケーションからセキュリティの実施の負荷を軽減することができます。データ・エンクレーブは、データセンター内のネットワーク・セグメント、クラウド内のネットワーク・セグメント、または IT サービス・プロバイダーとの間のネットワーク・セグメントのいずれかになります。

4. セキュリティポリシーとコントロールの枠組み

ステップ 1 では、特定の規制要件を持つデータタイプが特定され、発見され、データリポジトリのインベントリにファイリングされました。様々なデータタイプに適用される外部及び内部要件に基づいて、データの重要性を機密性、可用性、完全性/認証性の基準に沿って定式化することができます。PII については、プライバシー要件にも適切に対応するために、追加的な考慮事項を適用する必要があります。業界のグッドプラクティス基準に従って、技術的及び組織的なセキュリティ管理は、セキュリ ティポリシーの枠組みで定義されています。

セキュリティポリシー・フレームワークは、ポリシーエンフォースメントを実装するITセキュリティアーキテクチャに適用されます。NISTのSP 800-207では、ポリシー施行ポイント(PEP)とポリシー決定ポイント(PDP)を区別しています。これにより、ポリシーがすべてのゲートウェイとデータ・エンクレーブで実施されるか、またはポリシー違反があった場合には、アクションがトリガーされることが保証されます。図 1 に示すように、PDP/PEPs を備えた以下のネットワーク・セグメントが最低限推奨されています。

ユーザーおよびデバイスアクセスのためのPDP/PEP

適切な権限を持つユーザーのみが、機密データを処理する IT システムにアクセスすることができます。これは、(i) 管理されたエンドユーザーデバイスを介して、(ii) 最初にモバイルデバイス管理(MDM)システムを介して管理されていないデバイス(例:BYOD)をオンボードすることによって、または(iii) 機密データへのアクセスを許可するための前提条件として仮想デスクトップインフラストラクチャを提供することによって達成することができます。

アプリケーション・レベルでの PDP/PEP

アプリケーション レベルでは、機密データへのアクセスは、最小特権(知る必要がある/する必要がある)の原則に基づいて許可されます。これは、アプリケーション・ユーザーが日常業務に必要なデータへのアクセス権を持つことを意味します。特権ロールは、ステップアップ機構を介して、または個別のログインを介して実装されます。さらに、アプリケーションのセキュリティ制御とアプリケーションのロギングが実施され、ログは集中管理されたログリポジトリに送られます。

ITインフラストラクチャレベルでのPDP/PEP

これには、IT プラットフォーム(オペレーティングシステム、データベース、ストレージ、ネッ トワーク、仮想化)を操作および維持するための、プラットフォームおよび IT インフラストラクチャレベルでの特権的な IT ロールが含まれます。特権を持つITアカウントの機密データへのアクセスは、アクセス制御、データ暗号化技術、およびガラス張りの手順により、最小限に制限する必要があります。さらに、あなたはジャンプホストと他のセキュリティ対策は、標準的なユーザーのアクセスゾーンを介して管理アクセスをブロックすることがありますと専用の管理ゾーンを使用することがあります。

データへのアクセス

アプリケーションまたはITインフラストラクチャを介して許可されています。ストレージレベルでのデータへの直接のアクセスはありません。したがって、機密データは、組織のアクセス管理外のパーソナルデバイス、パーソナルストレージデバイス、またはパブリッククラウドストレージにダウンロードできるようにしてはなりません。

インターネット&クラウドサービスへのPDPs/PEP

特定のプロトコルやITサービスへのゲートウェイを指します。

ウェブブラウジング(アウトバウンド)

このゲートウェイは、合法的なサイトやコンテンツのみにアクセスし、機密データが不正なクラウドストレージサービスにアップロードされたり、外部で共有されたりしないようにします。さらに、感染したエンドポイントが既知のコマンド&コントロール(C2C)インフラストラクチャに接触していることを検出し、その他の異常とともにエンドポイントでのマルウェアのインストールを検出する仕組みが必要です。

ウェブアクセス(インバウンド)

公共のインターネットを介したアクセス、すなわちウェブアプリケーションを介したアクセスは、インターネットからのウェブサービスへのアクセスポリシーを強制し、マルウェアの検出を可能にするために、ウェブアプリケーションファイアウォール(WAF)またはリバースプロキシと呼ばれるゲートウェイが必要です。

セキュアなメールゲートウェイ

内部メールと外部メールを分離するゲートウェイです。電子メールを介したデータ漏洩を検知して保護し、電子メールのセキュリティを確保します。これには、メールを介したスパム、フィッシング、マルウェアの配信を検知することも含まれます。

クラウドセキュリティゲートウェイまたはクラウドアクセスセキュリティブローカー(CASB)

このゲートウェイは、ビジネスデータが認可されたクラウドプロバイダーとのみ共有・処理され、データ保護、機密性、アクセス制御のためのセキュリティ対策がそれに応じて適用されることを保証します。CASBは通常、機密データを暗号化してから送信し、Microsoft SharePoint、Microsoft Dynamics、SalesforceなどのSaaSアプリケーションに保存することができます。

リモートアクセス

ビジネスユーザー、IT ユーザー、および機密データに特権的にアクセスするパートナーによるリモートアクセスは、IT インフラストラクチャへの管理アクセスとポリシー管理のための特別なゲートウェイを通過する必要があります。特権を持つITユーザーには「ジャンプホスト」が使用されます。

 

セキュリティポリシーと制御の枠組みは、オンプレミス、アウトソース、クラウドを問わず、ITの範囲全体をカバーしています。信頼は、概念やサービスレベル契約に基づいて与えられるのではなく、ITサービスやデータへのアクセスが許可される前に検証されます。信頼は、ユーザーのID、接続デバイス、接続場所、アクセスしたサービスの非独占的な組み合わせが条件となります。

ポリシーフレームワークに必要なすべてのセーフガードが含まれていることを確認するには、組織が管理する IT 資産全体の重要なデータフローに沿って一般的な脅威をシミュレートする脅威評価を行う必要があります。これにより、特定されたサイバーリスクが許容できるレベルまで軽減されているかどうかを確認し、検知手段が設置されているかどうか、効果的かどうかを確認することができます。

5. 継続的なセキュリティ監視とインテリジェントな分析

関連するすべてのエンドポイント、ゲートウェイ(PDP と PEP)、およびすべての機密データトラフィックには、悪意のある活動についてのロギングとリアルタイムの検査が必要です。組織の成熟度や規模によっては、モニタリング機能が複数の IT 部門に分散している場合があり、セキュリティ関連のインシデントを確実に検出することが課題となります。モニタリングが以下の重点分野をカバーしていることを確認する必要があります。

  • IT運用監視は通常、ITサービス、ネットワークコンポーネント、通信リンクの可用性を指します。
  • 企業のセキュリティ監視とは、企業の IT 組織が所有・管理するすべての IT インフラストラクチャコンポーネントを指します。可視化、ダッシュボード、およびレポートを備えた集中ログリポジトリは、組織の IT セキュリティ資産のビューファインダーを提供します。さらに、セキュリティインシデントを確実に検出できるように、イベントを処理して関連付けるために、セキュリティ情報・イベント管理システム(SIEM)を導入する必要があります。

成熟度の高い組織では、セキュリティ監視の範囲が、自社のITデバイスの監視から、パブリッククラウドサービスや企業データの処理、送受信、保存場所を含むITインフラストラクチャの全体像まで拡大されます。

  • コンプライアンス監視には、セキュリティ監視やIT運用ではカバーされていないすべての側面が含まれます。通常、コンプライアンス監視では以下のような側面が対象となります。
    • セキュリティ構成のベースライン監視
    • ファイルの整合性の監視/不正な変更の検出
    • IT資産の発見と脆弱性スキャン
    • データ侵害の検出

ゼロトラストは、コンプライアンス監視を(エンタープライズ)セキュリティ監視のサブセットとして導入し、イベントログが中央サービスであり、すべての監視機能が利用できることを前提としています。実際には、ログ、イベント、情報は重複していることが多く、すべての監視機能間で共有されていません。したがって、適切な取り扱いを確保するためには、どのログ情報を保持する必要があるのか、また、調査や監査の目的で法的な許容性やe-ディスカバリーの追加要件が適用されるかどうかを判断する必要があります。また、完全性を維持し、削除や代替を避けるために追加の対策が必要かどうかを定義する必要があります。企業のセキュリティとコンプライアンス監視のさまざまな側面は、重点分野やアラートや逸脱への迅速な対応によって異なることを認識しておくことが重要です。

セキュリティ監視の側面

通常、セキュリティオペレーションセンター(SOC)は、セキュリティ関連イベントの分析とセキュリティインシデントの検証を担当し、ITインフラストラクチャレベルでのサイバー攻撃、高度な永続的脅威、横移動、その他の一般的なサイバー脅威を検出します。攻撃の特定は、SOCが使用するネットワークやデバイスのログ(通常はSIEMで処理される)を充実させるために、PDPやPEPとして機能するエンドポイント・エージェントからの情報を使用して容易に行うことができます。また、セキュリティ監視には、適用されるセキュリティ構成のベースラインが適用されていることを確認するために、ソフトウェアパッケージリポジトリと構成管理データベース(CMDB)にアクセスする必要があります。ユーザーおよびエンティティ行動分析(UEBA)を、既知の不正IPアドレスとドメインの脅威インテリジェンスフィードとともに導入することで、SIEM内のさまざまなソースからのデータを相関させて異常を検出し、自動化を利用して強化することで、SOCのアナリストによる手動検証のための人的リソースを最小限に抑えることができます。

コンプライアンス監視の側面

セキュリティ監視におけるコンプライアンスの側面は、テクノロジースタック全体のデータ処理活動にビジネスの意識を付加します。これには、組織内での機密データの定期的/不審な使用を定義することが含まれます。その目的は、データ所有者および内部/外部監査に対して、関連するすべてのセキュリティ管理が実施されており、効果的であること、およびデータアクセスの必要性を知るための原則が実施されていることを示す証拠を提供することにあります。現行の規制では、以下のような側面について証拠を提供することが求められています。

コンプライアンスの側面詳細根拠
1セキュリティ構成ベースライン(SCB)の監視技術的なベースラインが定義され、すべての IT インフラストラクチャ要素に適用されている。SCBはツールを介して定期的に監視される。逸脱は、正式なプロセスによって管理される。規制範囲内のすべてのITインフラ要素のコンプライアンス報告書、SCBと逸脱を管理するためのプロセス
2ファイル整合性監視(FIM)アプリケーションおよびプラットフォームレベルでは、重要なシステムパラメータが特定され、変更がないか監視される。各プラットフォームとアプリの認可された変更と認可されていない変更、変更プロセス、FIMアラート処理手順
3脆弱性の監視関連するすべてのネットワークセグメントにおいて、IT資産を発見し、定期的に脆弱性スキャンを実施する。脆弱性が既知の状態にあるIT資産のリスト、脆弱性管理プロセス
4データ侵害の検出クライアントのエンドポイント、アプリケーション、関連ゲートウェイにおいて、PII/CIDデータの漏洩を検出または防止する。アプリケーションのロギング、アプリケーションでの不審な行動のための使用例、アップロード、電子メールセキュリティインシデントプロセス

包括的なコンプライアンス監視を実施するには、まず IT ガバナンスとデータガバナンスを確立する必要があります。企業のセキュリティ監視の成熟度にもよりますが、ツール、センサー、ログはすでに導入されている可能性があり、新しいレポート、ダッシュボード、およびビジュアライゼーションを作成するだけで済みます。多くの組織は、現在のところ可視性が不足しており、新しいツールを評価して導入する必要があることを認識しています。

企業のセキュリティ監視とコンプライアンス監視の主な違いは、アラートや逸脱に対する応答時間です。セキュリティに関連したアラートは、コンピュータセキュリティインシデント対応チーム(CSIRT)からの即時対応の引き金となる可能性があります。一方、コンプライアンス監視では、関連する IT セキュリティ対策が実施され、効果的であることを確認するために、IT 衛生と IT 品質の側面を検証する必要があります。コンプライアンス・アラート(例:セキュリティ関連の構成の不正な変更)は、悪意のある脅威行為者の横移動によって引き起こされなければ、コンプライアンス・モニタリングが直ちに対応する必要はありません。

したがって、コンプライアンス監視は、IT衛生、内部監査および外部監査のための貴重な証拠を提供し、監査人のための証拠収集プロセスを迅速化します。必要に応じて、コンプライアンス監視ツールを継続的な監査に使用することで、監査人にその場限りの証拠を提供する必要性を排除することができます。

6. セキュリティ・オーケストレーションと自動化

企業のセキュリティ監視とコンプライアンス監視が確立され、基本的な成熟度レベルに達した時点で、順次改善していきます。


ゼロトラストへの移行は、時間がかかり複雑な作業です。そのため、ネットワークのデータタイプやデータフローがよく理解されている部分から開始することをお勧めします。そうすれば、ビジネス環境を混乱させることなく、他の部分を順次変換していくことができます。


サイバー脅威の検出と修復にはスピードが最も重要であるため、組織は脆弱性への暴露を最小限に抑えるために自動化されたセキュリティ分析を導入することを決定するかもしれません。例えば、悪意のある行動が高い信頼性で特定された場合、問題のユーザーをネットワークから自動的に隔離することができます。また、人事部門のジョイナー/移籍/離脱プロセスに統合することで、アクセス制御のルールとポリシーベースを自動的に更新し、信頼されたアイデンティティと割り当てられた役割を効率的に維持することができる可能性もあります。自動化を利用するには、すべてのポリシー施行ポイントをポリシー管理者と組み合わせたオーケストレーション・レイヤーが必要です。オーケストレーション・レイヤーは、脅威インテリジェンス・フィードやDNSシンクホール情報などの追加的な側面を含めることができ、ポリシー違反や機密データの不審な処理を特定する際の信頼性を高めることができます。

このような統合を選択する場合、異なるツールやデータソースが相互に接続されていることを確認する必要があります。SOAR(セキュリティオーケストレーション、自動化、応答)は、組織が複数のソースからセキュリティ脅威に関するデータを収集し、人手を介さずに低レベルのセキュリティイベントに対応できるようにする、互換性のあるソフトウェアプログラムのソリューションスタックです。SOARスタックを使用する目的は、セキュリティ運用の効率化です。調査会社Gartnerの造語で、セキュリティインシデント対応機能の定義、優先順位付け、標準化、自動化を支援する互換性のある製品やサービスに適用することができます。

Gartner社によると、SOARテクノロジーの最も重要な3つの能力は以下の通りです。

脅威と脆弱性の管理

これらの技術は、脆弱性の修復をサポートします。これらのテクノロジーは、形式化されたワークフロー、レポート作成、コラボレーション機能を提供します。

セキュリティインシデント対応

これらの技術は、組織がセキュリティインシデントへの対応を計画、管理、追跡、調整するのに役立ちます。

セキュリティ業務の自動化

これらのテクノロジーは、ワークフロー、プロセス、ポリシーの実行、レポートの自動化とオーケストレーションをサポートします。

結論と次のステップ

ゼロトラストは、製品やステータスではありません。組織がデータ処理活動の透明性を確保し、機密データや重要データを特定し、適切なレベルの保護、検出、反応性のあるセキュリティ対策を適用するのに役立つ概念です。

信頼は、ベンダーやプロバイダーによる約束やユーザーが受け入れたポリシーステートメントだけでは保証されないことを理解することが重要です。データ・エンクレーブやネットワーク・セグメントへのアクセスが与えられる前に、ポリシー実施点(PEP)やポリシー決定点(PDP)で信頼を検証する必要があります。そのためには、ネットワークをセグメント化し、集中管理された次世代ファイアウォールを使用して、機密データが保存・処理されるデータ・エンクレーブの前のポリシー・エンフォースメント・ポイントとして、クラウド、構内、IT プロバイダのいずれの場所であっても、使用する必要があります。

最後に、サイバー攻撃や機密データへの不正アクセスを検知する最善の方法は、すべてのセキュリティ関連情報とログを一元的に処理し、データ保護対策が講じられていることを確認することです。包括的なセキュリティ監視により、機密データの合法的な日々の使用、脅威インテリジェンス、相関関係から学習することで、疑わしいデータ処理を特定することができます。PEPとPDPは、セキュリティ関連情報を相関させるために必要な情報を提供することで、自動化を適用し、疑わしいトランザクションを抑制することができます。

ゼロトラストの導入とコンプライアンス・モニタリングを通じ、組織やサービス・プロバイダーを支援しています。

  • 重要なデータタイプや機密性の高いデータタイプの特定と発見を支援する
  • データの分類と分類の定義と適用
  • ゼロトラストをセキュリティアーキテクチャに統合するためのアーキテクチャガイドラインを提供し、整合性の取れたエンタープライズアーキテクチャを提供する
  • データ保護ソリューションとプロセスの導入を支援
  • コンプライアンス監視をサービスとして実行したり、組織が独立してコンプライアンス監視の運用を支援したりすることができる

コメント

タイトルとURLをコピーしました