どのようにゼロトラスト・セキュリティモデルの維持をするか

この記事では、Active Cypher File Fortress (ACFF)がいかにゼロトラスト・セキュリティモデルを実装しているかを説明します。ACFF を十分に理解していただき、ご自身の実装の「安庭」を想像していただけるようにすることを目的としています。

概要

機密データや機密ファイルを、不適切な、あるいは意図しない配布や変更(盗難や破壊行為を含む)から保護することは、重要な考慮事項です。私たちは、革新的で量子的な回復力を持つファイルレベルのセキュリティを、すでに一般的に使用されている確立された技術的に成熟したマイクロソフトのユーザー管理インフラストラクチャと統合するアーキテクチャを介して、このリスクを軽減することを提唱しています。Microsoft Azure における最近のクラウドコンピューティングの進歩により、このモデルを大規模に展開することが可能になりました。

はじめに

制御を増やす

しばらくの間、企業のデータとファイルを保護するセキュリティ境界は、明確に定義された企業ネットワークによって、一般にオンプレミスのインフラストラクチャの組み合わせとして、仮想プライベートネットワーク(VPN)接続によって拡張されるものとして識別されてきました。これにより、ユーザーの認証、ファイルやアプリケーションへのアクセス権限は、既知の物理的・論理的領域内に留まることができました。

ファイルを制御することは、壁の外にあるものから影響を受けずに、善良な行為者を外に逃がさないようにしながら、悪い行為者を締め出すのに十分な強靭な境界線を構築することを意味します。時が経つにつれ、このような防御的なプライマリ境界線を構築する方法がいかにうまく機能していないかを目の当たりにしてきました。モバイル・ワークフォースとクラウド・アプリケーションは、セキュリティ境界線を根本的に再定義しました。従業員がリモートで仕事をしたり、自分のデバイスを会社に持ち込んだりすると、データやファイルへのアクセスは、多孔質化するネットワークの境界線を介して、多くの場合、ウェブ・ブラウザを介して行われます。社外では、パートナー、コンサルタント、ベンダーなどの外部エージェントとファイルが頻繁に共有されています。

ユーザーにとってのこのような利便性は、データやファイルへのアクセスや整合性を保護することを任されている情報セキュリティの専門家にとっては、同時に大きな困難をもたらしています。従来のセキュリティ境界線は、新しい環境の要求を満たすことができません。このセキュリティ問題は、ビジネスデータやアプリケーションがオンプレミスのインフラストラクチャからクラウドやハイブリッド環境に移行することでさらに深刻化しています。未来がより急速に私たちに向かって突進しているため、新しい異なるモデルと考え方が求められています。量子コンピューティングのエミュレータが一般の人でも利用できるようになったことで、現在の AES-256 のセキュリティはほぼ後姿になっています。法務、財務、リスク、および IT 部門は、今日の基準ではなく、数十年先を見据えて計画を立てなければなりません。

2. ファイルレベルでの境界線

課題

今日、ほとんどの企業では、ファイルの不適切なメール送信、アップロード、同期、盗難、紛失を防ぐために、ファイルを適切に管理することができないことがわかっています。あなたが構築してきた要塞は、ほんの数年前に想像していた以上に高価で複雑になり、パワーを必要とするようになっています。不幸な結果として、悪党が毎日のようにネットワークシステムに侵入し、ファイルを盗み出し、データセキュリティに大混乱をもたらしています。今こそ、この問題を積極的かつ積極的に解決する時なのです。

専門家は様々な解決策を提案しています。その多くは有効ですが、ほとんどは1つ以上の技術的な問題に悩まされています。これらの課題には以下のようなものがあります。

  1. 管理はその製品特有のもので、難しい場合があります
  2. 攻撃面ではレーザー特有のプロテクションではありません(鍵交換プロテクション、鍵の自動有効期限切れ、個別ファイルレベルでの特定ユーザーのみによる企業ファイルへのアクセスを含む)。
  3. 保護は、ファイルを所有している当事者による直接的な管理支配下にはありません。
  4. チームが解散したり、ユーザーが組織を離れたりしたときに、第一線のIT担当者がシステムを効果的に管理しないと、ファイルのセキュリティが危うくなります。

誤った安心感

リーダーシップの側の警戒がなければ、これらおよび他の問題は誤った安心感につながる可能性があり、これは通常、まったくソリューションがないよりも悪いです。

セキュリティ境界線をファイル自体に移動させることで、この検討のためのネットワークファイアウォールやVPNへの依存度が低下するか、あるいは排除されます。これらのファイルの保護は、ファイルがラップトップやUSBドライブ上にある場合や電子メールに添付されている場合など、会社のネットワーク外にある場合でも、ファイルの場所に依存しません。さらに、このアーキテクチャにより、機密情報の保護は、手動または自動化されたプロセスにより、いつでも迅速に検証することができます。

今日の量子復元力のある暗号化は、将来、数十年後であってもデータの安全性を維持します。これがファイルレベルのセキュリティ境界線とゼロトラストモデルの本質です。

ゼロトラスト・セキュリティモデルの意味とは?

データの保護

データは、そのライフサイクルの中で、許可された人々がアクセスし、それを使って作業することが含まれている場合にのみ、私たちにとって有用なものとなります。しかし、ネットワークがないと仮定しなければなりません。ファイアウォールもありません。あなたの会社のファイルはすべてインターネット上にあります。あなたのファイルは本質的に自分自身を保護する必要があります。
コンピュータシステムとデータを見るための新しい方法が必要です。世界中のどこにでもあるファイルがたくさんある中で、どのようにして会社のすべてのファイルの周りに要塞を構築することができますか?

Active Cypherは、ファイルがどこに存在するかに関わらず、企業のファイルはあらゆる脅威から自分自身を守ることができるべきだと考えています。まずファイルの内容を難読化し、次に各ファイルの周囲に防御制御の境界線を構築することで、この防御境界線はファイルの一部となります。Google Drive、OneDrive、Dropbox、Boxなどのクラウドプロバイダーに保存されている場合は、ファイルと一緒に移動し、ノートパソコン、スマートフォン、USBドライブ、その他のデバイスに保存されている場合は、どこでも移動します。

ACゼロトラスト・セキュリティモデルは、ユーザが意図しない、意図的な、そして時には悪意のあるエラーを犯すことを認めています。ACゼロトラストモデルは、各リクエストがあたかも制御されていないネットワークから発生しているかのように振る舞い、それゆえにユーザーの認証と認可を検証します。ユーザーのロケールなど、検証中に二次的な異常が特定されない限り、検証は透過的に行われます。

サイバーセキュリティの4つの考え方

ネットワークは多孔質です。データはファイルレベルで保護する必要があります。セキュリティモデルは、すべてのエンドポイントを通して全体的に統合されていなければなりません。
サイバースセキュリティは、シームレスで、管理が簡単で、検証が容易でなければなりません。ゼロトラストは、人やエンドポイントとの相互作用の一つ一つが潜在的なリスクであることを前提としています。

「デジタルエステート」を超えたゼロトラスト・ソリューション

マイクロソフトとの深い統合

マイクロソフトの論文では、デジタルエステートの概念について言及しています。「最適なゼロトラストの実装では、デジタルエステートは接続されており、自動化されたポリシーの施行を使用して、情報に基づいたアクセス決定を行うために必要な信号を提供することができます」 特定のニーズに応じて、Active Cypher File Fortress (ACFF) システムは、Microsoft Azure と Azure Active Directory (AAD) を中心にゼロトラストの「デジタルエステート」を作成します。ACFFは、Microsoft Azureに完全に配備することができます。ACFFは、ファイルサーバーとドメインコントローラーを統合したハイブリッド構成で展開することもできます。どちらの実装でも、Azure Active Directory (AAD)、オンプレミスのActive Directory (AD)、Microsoft Azureの他のリソースが連携して、エンドツーエンドのゼロトラスト・カバレッジを実現します。

アイデンティティ中心のファイル暗号化

ファイルの防御境界線が作成されると、ファイルの可変的な居場所は、もはやあなたの会社にとってリスクではありません。それはもはやどのクラウド、データセンター、またはデバイス上でファイルが終わるかは問題ではないでしょう。防御境界線は、悪質な行為者を外に出さないようにします。

もちろん、ファイルの解読されたコンテンツとのやりとりを許可するか拒否するかの信頼できる方法も必要です。ACFF によって保護されたファイルは、Microsoft Azure Identity & Access Management Services からの認証された権限証明に頼って、ファイルの周囲への侵入要求を許可すべきか拒否すべきかを判断し、事実上ゼロトラストの立場をとります。

機密性の高いファイルやデータへのユーザーのアクセスを管理することは、企業のアプリケーションへのユーザーのアクセスを管理することと同様に重要ですが、この 2 つのタスクは従来は分離され、異なるプロセスで処理されていました。ACFFは、ユーザーの身元情報が企業のアプリケーションにアクセスするためのベースラインであるように、同じ身元情報を使用してアクセス制御をファイル・レベルまで拡張し、機密データを確実に保護することができることを認識しています。

保護されたファイル自体には、そのコンテンツへのアクセスを認証したり承認したりする直接的な機能はありませんが、ACFFが存在することで、ファイルに代わって承認チェックを実行するために必要な機能を得ることができます。ACFFは、ファイルの境界線を超えてユーザーにアクセスを許可する前に、特定のセキュリティとアクセス制御情報についてMicrosoft Azure Active Directoryポリシーをチェックします。そうすることで初めて、ファイルの内容が自動的に解読され、ユーザーに表示されます。

ACFFは、保管場所や移動先に関わらず、ファイルへの不正アクセスを防ぎ、適切なアクセス権限を持つユーザーのみが機密データを開いて閲覧できるようにする、ID中心のファイル暗号化ソリューションを提供します。ACFFソリューションはこれにより、漏洩、盗難、紛失したファイルを悪意のある者が使用できなくすることを可能にします。ユーザーが個人のデバイスや企業のOneDrive、Dropbox、Google Driveなどのアカウントなど、さまざまな場所に企業の機密ファイルを保存し続けているため、これは企業にとって不可欠なものです。ACFFは、重要なファイルが誤って、または意図的に侵害されないようにすることで、企業の最も重要なデジタル資産を保護します。

 

シームレスで透明感のある

ACFFは、Active Directoryのアクセス制御および監査機能と連携して、ITディレクターとエンドユーザーの両方にシームレスかつ透過的に動作します。ACFFは、追加の管理やプログラムを必要とせず、鍵、証明書、パスワード、秘密の知識や交換も必要ありません。他のソリューションによって課せられたこれらの制限は、IT部門とエンドユーザーの両方に受け入れられるための障害となっていました。

エンドユーザーの視点から見ると、ACFFはIT部門よりもさらに透明性が高く、使いやすくなっています。エンドユーザーは、暗号化と復号化のプロセスで追加の要件や負担を課すことなく、現在と同様に企業資産を使用し続けることができます。ユーザーが保護されたファイルにアクセスしようとすると、ACFFはActive Directoryのセキュリティグループを介してID、メンバーシップ、アクセスステータスを確認し、暗号化された企業ファイルへのアクセスを許可するか拒否するかを決定します。

Active Cypher File Fortress(ACFF)の実装

安全なプライベート・クラウド

ACFFはクライアントのために安全なプライベートクラウドを作成します。すべてのリソースはクライアントのAzureテナントに配置されます。安全なプライベートクラウドの結果、第三者(Active Cypherを含む)がお客様のデータにアクセスすることはありません。

キーマネジメント

ACFFの一環として、私たちは、デバイス、ユーザーID、およびAzure Log AnalyticsとMicrosoft Graph Securityデータに収集された数千ビットのインテリジェンスに基づいた多要素認証に結び付けられた、量子的な回復力を持つAES-256の多層実装を作成しました。ACFF APIとユーザー検証の課題を組み合わせることで、最先端の秘密情報交換プロセスが実現します。これにより、キーが盗まれたり不正使用されたりすることはなく、権限のない人物やシステムがデータにアクセスすることもありません。

マイクロソフトのActive Directory

ACFFは、ファイルシステムに保存されている企業資産をすでに保護しているActive Directory – セキュリティグループとユーザーの組織構造と深く統合されています。ACFFは、Active Directoryのセキュリティグループを介して、IT部門が直接かつ明確に保護を管理することを可能にします。ACFFは、Active Directoryのアクセス制御および監査機能と連携して、保護された様々な共有フォルダに保存されているファイルを個別に暗号化し、ユーザーに共有します。ACFFルールエンジンはAPIを介して接続し、ファイルの復号化要求が提示されるたびに、リスクの脅威を評価します。

コンプライアンスとガバナンス

ACFFは、Azure Security Center、Azure Sentinel、Azure Security Graph APIのガバナンスとコンプライアンスの認証・検証を活用して、Azureエコシステム内にセキュアなプライベートクラウドを構築します。法律、金融、ヘルスケアなどの垂直産業だけでなく、以下のような規格のコンプライアンス基準と認証です。

NIST 800-173

米国標準技術研究所(NIST)が作成したコンピュータセキュリティポリシー、手順、およびガイドラインのセット。この出版物は、脅威と脆弱性を評価して文書化し、有害事象のリスクを最小限に抑えるためのセキュリティ対策を実施するための、NISTが推奨するすべての手順と基準を網羅しています。

ISO 27001

国際標準化機構(ISO)と国際電気標準会議(IEC)27000の規格群の一部として2013年に初版が発行されました。

Azure CIS 1.1.0

オペレーティングシステム、ミドルウェア、ソフトウェアアプリケーション、ネットワークデバイスを硬化させるための推奨される技術的な制御ルール/価値。

Windows仮想デスクトップとの共存

ACFFとMicrosoft Azureの設計と統合により、Windows仮想デスクトップ(WVD)環境内でのファイル保護ソリューションの提供が可能になりました。

WVDは、マルチセッションWindows 10をAzureから直接提供することで、仮想デスクトップの提供方法を変えようとしています。さらに、WVDは、ユーザーにWindows 7の仮想デスクトップを提供するだけでなく、既存のRemote Desktop ServicesやWindows ServerのデスクトップやアプリケーションをAzure上で統一されたエクスペリエンスから管理することも可能にします。

Windows Virtual Desktopと一緒に使用すると、ACFFは、不注意によるデータ損失を防ぎながら、ユーザーデータへのアクセス性とモビリティを可能にする追加機能を提供します。AC を使用すると、Azure Information Protection (AIP) の既存のグループセキュリティポリシーと権限を活用して、Windows Virtual Desktop を使用している間にユーザーファイルを暗号化することができます。ACFFは、Active Directory内の確立されたセキュリティグループ内のファイルを暗号化するためにAIPの内部で動作します。

Microsoft Teamsとの統合

ACFFは、そのユーザーがADセキュリティグループのアクセス権限を持っているファイルとフォルダのみを表示します。各ユーザーがセキュリティ・グループ・メンバーシップに適切なものだけを見るようにビューをセグメント化することで、ACFFはファイル名の機密性を維持します。この原則は、表面化された各保護されたファイルに対して、読み取り専用または読み書き許可を強制することによって、さらに拡張されます。

インストールと展開

システム要件

多くの場合、ソリューションとしての暗号化は、インストール、展開、管理が複雑なために回避されています。私たちの目標は、ファイルを一瞬で暗号化できるように、簡単に導入できる暗号化ソリューションを作成することでした。当社のソリューションは、お客様のデータを悪意のある人の手に渡らないように保護するための最も簡単な方法です。

必要なソフトウェア

  • Microsoft Domain Server 2008 R2以降
  • Windows7以降のクライアント(Windows10が望ましい)
  • Microsoft AzureまたはOffice 365のサブスクリプション

Active CypherがITに求める唯一の要件は、Active Directory内のユーザー、グループ、ファイル共有、および権限の管理という通常の業務を、これまでと同様に継続して行うことです。ACFFはバックグラウンドで静かに動作し、管理者の変更をシャドーイングして適用し、ファイルの復号化をActive Directoryが許可するように設定されているユーザーのみに即座に制限します。

クラウドとゼロトラスト・セキュリティモデルへ

ゼロトラストの4つの重要な要素

Active Cypherでは、マイクロソフトのテクノロジースタックと深く統合しています。それは、マイクロソフトがあらゆる規模の個人、会社、企業、組織、政府にサービスを提供しているからです。

前述の論文を参照して、マイクロソフトは、いわゆる「リフトアンドシフト」アプローチが常に適切であるとは限らず、必要でさえないことを認識しています。しかし、ゼロトラスト・セキュリティをタイムリーに導入することを推奨しています。「大多数の企業は、既存の投資を活用し、ゼロトラストの取り組みの価値をより迅速に実現するのに役立つハイブリッドインフラストラクチャを利用することで大きな利益を得ることができます」Active Cypher File Fortressでは、ゼロトラスト・セキュリティモデルの利点は、オールオアナッシングの提案ではなく、すぐに段階的に実現することができます。

立方体の側面のように、マイクロソフトはゼロトラスト・イニシアチブが6つの要素に対応することを推奨しています。アダプティブインテリジェンス、認証、自動化、データ保護、ポリシーサポート、セグメンテーションです。Active Cypher File Fortress は、これらのうちのいくつかの重要なケイパビリティとリソースのギャップを埋める上で重要であることがわかります。

認証

ACFFは、強力な多要素認証を実施するためにActive Directoryに依存しています。

自動化

イベントドリブン、ルールベース、AIがリスクベースの自動アラートと修復を強化し、攻撃に対する平均応答時間(MTTR)を短縮します。

データ保護

ファイルの内容を難読化し、各ファイルの周囲に防御制御の境界線を設けます。この防御境界線はファイルの一部であり、ファイルと一緒に移動し、機密データを保護しながら、現在および将来、悪意のある、または偶発的な流出からの暴露を排除します。

セグメンテーション

単純な集中型ネットワークベースの境界線から、Active Directory セキュリティグループを使用した包括的で分散型のセグメンテーションに移行し、デジタル資産全体でソフトウェアで定義されたマイクロペリメーターを維持します。

コメント

タイトルとURLをコピーしました