ゼロトラストとは何か?背景や必要な機能、メリットや事例も解説

急速に進化するビジネス環境とリモートワークの増加に対応するため、企業はデジタルトランスフォーメーションの取り組みを加速させています。ビジネスに不可欠なデジタルトランスフォーメーションの取り組みを成功裏に実施するためには、仕事を遂行するために必要なあらゆるアプリケーションやツールにアクセスできる効率的で効果的な人材が必要です。
しかしながら、セキュリティリーダーは、組織の安全性を確保しつつ、従業員の生産性を維持し、いつでもどこからでもリソースにアクセスできるようにするという難しい課題に直面しています。このバランスを維持するためには、アクセスを要求する従業員の身元を完全に信頼し、使用を許可された正しいユーザーのみが会社のリソースにアクセスできるようにする必要があります。

これを受けて、企業は、生産性が高く、安全で俊敏な企業を実現するために、企業ネットワークに依存するセキュリティ戦略ではなく、新しいアイデンティティ中心のアプローチへと移行しています。ゼロトラストは、セキュリティ・チームがネットワーク境界の安全性よりも、ユーザーのアイデンティティと、企業リソースがどこにあるかに関係なく、企業リソースに直接適用できる安全なプロセスと技術に頼ることを奨励する戦略的な概念です。

ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!

ゼロトラストとは?

  1. ネットワークは常に敵対的であると仮定している。
  2. 外部脅威と内部脅威は常にネットワーク上に存在する。
  3. ネットワークの局所性は、ネットワークの信頼性を決定するのに十分ではない。
  4. すべてのデバイス、ユーザー、ネットワークの流れは認証され、認可されていなければならない。
  5. ポリシーは動的であり、可能な限り多くのデータソースから計算されなければならない。

デジタルトランスフォーメーションの取り組みを可能にするために企業がゼロトラスト戦略を採用している理由と、企業のリソースを確保するためにアイデンティティを中心としたアプローチに向けた第一歩を踏み出す方法をご紹介します。

ゼロトラストの原点はどこにあったのか?

ゼロトラストが名前を持つ前に、非境界化の概念は早くも2004年にJericho Forumによって推進されました。この最高情報セキュリティ責任者のワーキンググループは、最終的にJericho Forumの戒律をまとめ、「非境界化された将来を計画する際に観察すべき領域と原則 」を定義しました。

2010年秋、Forrester Research社アナリストのJohn Kindervag氏が「噛みごたえのあるセンターはもうない:情報セキュリティのゼロトラスト・モデルの導入」から始まる一連のレポートの中で、ゼロトラストという言葉を初めて紹介しました。ゼロトラストの概念、アーキテクチャ、およびケーススタディを主な指示とともに説明する一連の3つのレポートが公開されました。


「ゼロトラストでは、すべてのネットワークトラフィックは信頼されていません。したがって、セキュリティの専門家は、すべてのリソースを検証して安全を確保し、アクセス制御を制限して厳格に実施し、すべてのネットワークトラフィックを検査して記録する必要があります」


現実的な観点から見ると、これはすべての形式の暗黙の信頼とその結果としての権限がもはや有効ではないことを意味します。代わりに、組織はユーザーがリソースへのアクセスを許可すべきか、トランザクションの実行を許可すべきかを決定する前に、可能な限り多くのデータソースに根ざした動的な信頼の明示的な評価に頼らなければなりません。

今日、ゼロトラストは独自の人生を歩んできました。複数のアナリスト会社が定期的にこの概念についてのガイダンスを提供しており、Google のような組織がゼロトラストへの移行経験に関するケーススタディを発表しており、ソリューションプロバイダもそれぞれ独自の見解を持っています。しかし、世界は変化しており、それに伴ってセキュリティに対する我々のアプローチも変化しなければならないということは、すべての関係者が同意しています。

なぜ今、ゼロトラストの採用を始めるのか?

2020年前半には、世界的なCOVID-19パンデミックに対応して従業員がリモート勤務にシフトしたため、企業はオフィスが空室になるのを目の当たりにしました。企業は、ネットワーク境界線の外から企業リソースにアクセスするリモート従業員に対応できるかどうかを、IDおよびアクセス管理(IAM)システムで早急に評価する必要がありました。

残念なことに、長年のデフォルトオプションである仮想プライベートネットワーク (VPN) を使用して、正当な従業員にすべての企業リソースへのリモートアクセスを許可するという方法は時代遅れであり、従業員全体がリモートにいる場合には十分なセキュリティを提供していません。VPN を使用すると、組織は、アクセスを要求する従業員が自分の言う通りの人物であり、そのリソースの使用を許可されているかどうかを信頼できなくなります。

企業は現在、変化するビジネス要件と新しいリモートワークフォースに適応するために、デジタルトランスフォーメーションの取り組みを急速に進めています。これらの行動は短期的な投資ではなく、長期的な戦略の一環であり、Gartner社が実施した経営者を対象とした調査では、74%のCFOがCOVID後も従業員の一部を恒久的に遠隔地に置くことを意図していることが明らかになっています。

ゼロトラスト戦略は、企業ネットワークへの依存度を、リソースにアクセスする前にユーザーの身元が常に確認されているアプローチに移行することで、従業員のリモートアクセスを確保するのに役立ちます。ゼロトラストを採用することで、組織はアクセスを要求するユーザーの身元に対する信頼性を確保し、生産性の高いリモートワークを可能にすると同時に、企業の安全性を維持することができます。

ネットワーク境界線に基づく暗黙の信頼はなぜ不十分なのか?

企業全体での在宅ワーク、クラウドの導入、BYOD などのトレンドにより、企業の境界線(ファイアウォール、VPN など)を介したトラフィックのルーティングが、アクセス要求が「安全な」IP アドレスからのものであることを証明するためにのみ必要となるシナリオがますます増えてきています。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

バックホーリングとして知られるこのプロセスは、そもそも境界線ベースのセキュリティが有効であったという神話を補強しています。悪質な行為者が企業ネットワークに侵入する方法は数え切れないほどありますが、データを盗んだりビジネスを混乱させたりするために、彼らがネットワークを介して横方向に移動することはよく理解されています。どうにかしてネットワークにアクセスできるようになったユーザーに、あらゆる種類の信頼を与えることは、次の4つの方法で組織のセキュリティ態勢を弱体化させることになります。

侵害された資格情報を無視

Verizonの2019年データ侵害調査報告書によると、侵害の22%がフィッシングに関与し、37%が盗まれた資格情報の使用に関与していることがわかりました。多くの場合、適切な資格情報だけが企業ネットワークの鍵となります。

不正使用されたデバイスを無視

Symantecの2019年のインターネットセキュリティ脅威レポートでは、「組織で使用されている36台のデバイスに1台が高リスクに分類されました。これには、ルート権限を取得した、またはジェイルブレイクされたデバイスと、マルウェアがインストールされたことがかなり確実なデバイスが含まれます」 侵害されたデバイスを使用している正当なユーザーは、企業ネットワークへの自分のアクセスを通じて機密情報を偶然に悪意のある人物に公開する可能性があります。

コンテキストの変更を無視

IP アドレスは、ユーザーが「信頼できるネットワーク」からのアクセスを要求していることを証明するのに役立ちます。しかし、このデータポイントだけに頼るだけでは十分ではありません。企業リソースの保護が不十分な場合、ユーザーのタイプ(部署、年功序列、特権)、要求のコンテキスト(時間帯、デバイス、地理的位置)、要求されたリソースのリスク(財務アプリと休日カレンダー)に基づく他のリスク源を無視します。

セキュリティのファサードを作成

ファイアウォールの背後にある安全神話は危険なものです。ネットワークがすでに破られているという前提がなければ、一般的なセキュリティのベストプラクティスは、「誰もこのリソースに外部からアクセスしないだろうし、いずれにしてもファイアウォールの後ろにあるから」という理由で遅れたり、無視されたりする可能性があります。

ゼロトラストはどのようにしてセキュリティを向上させるのか?

ゼロトラストアプローチを採用すると、上記のような境界に基づく暗黙的または慎重なアプローチの弱点がすぐになくなります。侵害された資格情報とデバイス、およびコンテキストの変更は、ゼロトラスト戦略の基礎となる機能によってそれぞれ対処されます。ファイアウォールの背後にある安全性の前提が取り除かれると、リソース所有者とセキュリティチームは、十分な保護を確保するために、各リソースのセキュリティとリスクプロファイルを非常に慎重かつ定期的に評価する傾向があります。

ゼロトラストは、ユーザー、デバイス、アクセスを要求しているリソースのリスクプロファイルに基づいて、正しい質問をすることを保証します。

認証時

  • このユーザーは合法ですか?
  • このユーザーは、実行されるタスクに適した方法で特定されていますか?
  • そのユーザーのデバイスは、実行しているタスクに対して十分に健全ですか?
  • このユーザーは彼らの言う通りの人物ですか?

承認中

  • このユーザーは、どのような状況下でもアクセスする必要がありますか?
  • このユーザーは、現在の状況を考慮してアクセスする必要がありますか?

トランザクション中

  • このセッションはまだ実際のユーザーによって動かされていますか?
  • ユーザーIDに対する信頼の量は、このトランザクションに関連するリスクのレベルと一致していますか?
  • リクエストは確認されましたか?

データアクセス中

  • ユーザーはアクセスの同意を誰に提供しましたか?
  • どのようなトランザクション(READ、MODIFY、DELETE)に同意しましたか?
  • このデータは暗号化されるべきですか?

ゼロトラストにおけるインテリジェンスの役割

成熟したゼロトラストの導入は、ネットワークの信頼を取り除くだけではありません。さらに、二元的な信頼(私はあなたを信頼している、または信頼していない)という概念を取り除き、あらかじめ決められた期間の信頼という概念を否定します。O’Reillyのゼロトラストの第5原則では、「ポリシーは動的でなければならず、可能な限り多くのデータソースから計算されなければならない」と述べていますが、これは一般的にリスクシグナルやインテリジェンスの使用として知られているものを強制する概念です。

ゼロトラスト・アーキテクチャは、様々な信号を使用してデジタルリスクを評価し、それらの信号の出力に基づいてアクセス制御の決定を強制します。これらの信号によって提供される可変レベルの信頼性は、ユーザーを以下のようないくつかの適応的なアクセスパスに導くことができます。

  • アクセスを許可する
  • 再認証後のアクセスを許可する
  • ステップアップ認証後にアクセスを許可する
  • アクセスを許可するが、一定の制約がある
  • アクセス拒否

バイナリの信頼を取り除くことで、ユーザー体験が向上するという利点があります。また、各アクセスリクエストの時点で信頼度を評価し、セッションの動作を継続的に観察することで、信頼度が長続きせず、バイナリでもないことを保証し、セッションや有効なアカウントが悪者に乗っ取られた場合のセキュリティを向上させます。

ゼロトラストには他にどんなメリットがあるのか?

組織は、ネットワークの信頼をゼロトラスト戦略に置き換えることで、セキュリティの向上だけでなく、多くのメリットを得ることができます。企業は、従業員がネットワークの外で仕事をするようにシフトしていく中で、すべての企業リソース全体のアクセス制御を標準化することで、ゼロトラストで従業員の生産性を向上させることができます。従業員が企業ネットワーク上にいるかどうかだけを判断するのではなく、アクセスした従業員、デバイス、リソースのリスクプロファイルを考慮に入れることで、組織はより自信を持ってリモート従業員へのアクセスを開放し、仕事を遂行するために必要なリソースを従業員に提供することができます。

ゼロトラストのアプローチを採用することで、ビジネスの俊敏性を高め、企業が迅速に新しいテクノロジーに適応し、デジタルトランスフォーメーションの取り組みを成功させるために活用できるようにします。企業は、ネットワークを経由してトラフィックをバックホールすることなく、インフラストラクチャ、アプリケーション、データのあらゆる展開オプションを活用することができます。ゼロトラストを利用することで、企業は特定のリソースに最も適したものに応じて、オンプレミスのデータセンター、プライベートクラウド、パブリッククラウド、およびその間のすべてのものを選択することができます。各リソースに最適な展開を選択することで、企業はホスティングや管理費を最適化し、VPNやその他の境界ベースのツールのライセンス費用を削減することで、コストを削減することができます。最後に、コンプライアンスの「マイクロセグメント」を設定して、そのセグメント内でホストされているすべてのものが、標準的な方法で適用される各コンプライアンス体制で必要とされるコントロールを持っていることを保証することができます。

VPNがなぜテレワークに適していないのか、より詳しい内容はホワイトペーパーでまとめております。
今だけ無料でダウンロード出来ますので、興味のある方は是非ご覧ください。

ゼロトラスト・セキュリティを構築するために必要な主要な機能とは?

以下の機能フレームワークは、業界アナリスト、顧客、オピニオンリーダー、パートナーからの情報をもとに構築されたもので、ゼロトラストに関する会話の指針となり、組織がセキュリティへのアプローチを成熟させるのに役立ちます。

ゼロトラスト・セキュリティを構築するためには、6つのカテゴリに分類されるコントロールが重要です。これらを組み合わせることで、企業のリソースがどこに配置され、誰がアクセスを必要としているかに関わらず、企業のリソースを安全に保護するための防御のための詳細なアプローチを提供します。

強力な識別と認証

登録の瞬間からアクセスの各リクエストに至るまで、ユーザーの身元を確認して認証することは、セキュリティを向上させる上で非常に重要です。これらの機能により、すべてのユーザー(特権を持つユーザーと持たないユーザー)とすべてのリソースが、どこに配置されていても保護されていることを保証します。

エンドポイントセキュリティ

合法的なユーザーは、侵害されたデバイスを使ってリソースにアクセスすることで、偶発的に組織を高レベルのリスクにさらしてしまうことがよくあります。これらの機能により、デバイスが侵害されてもアクセスが提供されないようにします。

ネットワークセキュリティ

違反の影響を最小限に抑えるには、多くの場合、セグメント間の横方向の移動を防ぐことが最も効果的な方法です。これらの機能により、悪意のある行動が検出されたり、リスクのしきい値を超えたりするとすぐにアクセスを停止して、違反を確実に食い止めることができます。

ワークロードのセキュリティ

攻撃は、有効な資格情報を持つ者からだけでなく、外部からも行われます。これらの機能により、コンテキストがすべての権限決定に含まれ、アプリケーションや API の脆弱性がカバーされていることを保証します。

トランザクションのセキュリティ

特定のタイプのトランザクションは、他のトランザクションよりもリスクが高く、そのように扱われるべきです。これらの機能は、高リスクのトランザクションがユーザーによって検証されることを保証すると同時に、トランザクションが異常な動作を示すかどうかを認識します。

データセキュリティ

機密性の高いIPであれ、世界中に飛び出している多くのプライバシー規制に覆われたユーザーデータであれ、データセキュリティは多くの組織にとって最重要事項となっています。これらの機能により、データが必要な場所で暗号化され、ユーザーが常にデータを管理できるようになります。

上の図で注意すべき項目の一つは、ユーザーとユーザーが所有するデータとの間に強い拘束力がないと思われることです。ゼロトラストでは、データの所有権が最も重要であり、同意が明示的に提供されていない限り、このデータへのアクセスは許可されるべきではありません。さらに、ユーザーのデータへのアクセスは、コンテキストに基づいて絶えず再評価されるデジタル信頼と、さまざまなレベルの信頼として存在するデジタルリスクに基づいている必要があります。 これらの評価はどちらも一時的なものであり、O’Reillyの4番目と5番目の原則に準拠する個々のリクエストのコンテキスト内にのみ存在します。

#4 すべてのデバイス、ユーザー、ネットワークフローが認証され、認可されていること。
#5 ポリシーは動的であり、可能な限り多くのデータソースから計算されなければならない。

ゼロトラストの旅はどこから始めるべきか?

Forrester社のプリンシパルアナリストであるChase Cunningham氏は最近、少なくとも毎週、場合によってはほぼ毎日のように質問される質問について書いています。


「ゼロ・トラストのために何から始めればいい?」


彼の反応は? 「IAMと方程式のユーザー側を修正します」 当然のことながら、IDおよびアクセス管理プログラムを開始および/または改善することは、多くの組織がゼロトラストの旅を始める場所です。悪質な行為者が最も一般的に利用しているのは、認証と認可のコントロールが完全に欠如していたり、誤った設定をしていたりすることです。ほんの数週間前、この脆弱性は、認証を必要としない誰もがアクセスできる可能性のある885Mのタイトル保険記録の侵害によって、またもや強調されました。

すべてのアクセスが認証されたアクセスであることを保証するための出発点として、強力な識別と認証が最も理にかなっていることは明らかです。しかし、アイデンティティとアクセス管理技術は、ゼロトラスト・アーキテクチャのコントロール・プレーンでもあります。企業は、グローバルな適応型認証を戦略的に展開することから始める必要があり、この能力をポリシー管理および決定ポイントとして使用することで、すべてのリスクシグナルとポリシー決定ポイントが統合され、今日のゼロトラスト環境を構築しています。

ゼロトラストの事例はあるのか?

企業のセキュリティに対する他のアプローチと同様に、ゼロトラストにはゴールはありません。また、最初の原則(ネットワークは常に敵対的であると想定されている)を採用するだけの体制を整えるには、組織が達成するまでに何年もかかる可能性があります。幸いなことに、すでに何年もかけて境界線ベースのモデルからゼロトラスト・セキュリティに移行している組織の例がいくつかあります。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

Netflixは、従業員やパートナーに企業リソースへのセキュアなアクセスを提供するためには、ネットワークの境界線だけではニーズを満たすには十分ではないことを認識していました。現在、Netflixは、ユーザー、デバイス、アプリケーションにID定義のマイクロペリメーターを採用し、企業ユーザーがどこからでも安全にアクセスできるようにすることで、ゼロトラストの旅に乗り出しています。

Gates Corporationは、大規模な認証システムを近代化するにあたり、成長を続けるモバイルワーカーが必要なリソースに安全にアクセスできるようにするためには、アイデンティティを中心としたアプローチを使用する必要があることを発見しました。「セキュリティ境界はずっと前に去りました…しかし今では、多くの人が遠隔地にいて、多くの人がオフサイトにいて、多くの人がネットワークから外れています」とGatesのCISO、Sam Masiello氏は述べています。「あなたは、あなたの部下がどこにいるかまで境界線を拡大する必要があります。彼らが組織内のアプリケーションにどのようにアクセスしているかこそが、デジタル資産をどのように保護しているかという境界線について考える必要があるのです」中央認証局を採用することで、Gates社は、従業員がどこに住んでいても、リソースに安全かつシームレスにアクセスできるようになりました。

企業は、デジタル・トランスフォーメーションやリモートワークへの急速なシフトが進むこの時代に、組織の安全性を確保するために、ゼロトラスト・イニシアチブを倍増させ、加速させています。従業員のアイデンティティに対する組織のアプローチを変革することで、アイデンティティ中心のセキュリティを採用するための第一歩を踏み出すことができます。

コメント

タイトルとURLをコピーしました