ゼロトラスト : それは何を意味するのか、そして、より速くそこに到達する方法

「ゼロトラストは、ユーザーのコンテクスト、データアクセス制御、位置情報、アプリ、デバイスの体制に基づいたマイクロセグメンテーションと粒度の高いエンフォースメントを活用して、ネットワーク内での横方向の脅威の動きに対処することに戦略的に焦点を当てています」

テクノロジーアナリスト企業Forrester Researchが開発したゼロトラストのコンセプトは、ITセキュリティのリーダーが組織の重要なデジタルビジネスエコシステムを守るための強固な保護、検出、および対応能力を開発するのに役立つセキュリティ戦略とフレームワークとして普及しています。残念ながら、今日のダイナミックでハイブリッドなデータセンターやクラウド環境では、従来のネットワークベースのセキュリティでは、アプリケーションやデータを保護するのに十分ではなくなっています。セキュリティのプロは、リスクを効果的に管理し、脅威を軽減するための新しい方法を見つけなければなりません。本稿では、ゼロトラスト・セキュリティモデルの概要、ゼロトラスト・セキュリティの中核となる原則、およびソリューションとゼロトラストの体制への移行をどのように整合させ、加速させるかについて説明します。

グラウンド・ゼロ:ゼロトラストの起源と進化

Forrester Researchは、従来の「堀と城」のような防御戦略が機能していないという認識の高まりを受けて、2010年にゼロトラスト・セキュリティのコンセプトを発表しました。従来の「堀と城」の防御戦略は機能していませんでした。より高く、より強固な壁を構築しても、決定されたサイバー行為者が境界防御を突破し、企業ネットワーク内に大惨事をもたらすのを防ぐことはできませんでした。ゼロトラストは根本的に異なるモデルであり、ネットワークの外部、内部を問わず、ユーザー、デバイス、アプリケーションのいずれも安全とは見なされず、ネットワーク資産へのアクセスを許可する前に、それぞれが検証されなければならないと仮定しています。

ゼロトラストの概念は、仮想化の時代になってデータセンターがパブリック・クラウドやプライベート・クラウド、さらに一般的にはクラウド/オンプレミスのハイブリッド・インフラへと急速に移行していることから、さらに定着してきています。資産がオンプレミスとクラウドのインスタンスの間を行ったり来たりするこれらのダイナミックな環境では、静的で安定した境界線という概念はほとんど時代遅れになっています。セキュリティの専門家は、すでにデータセンター内に潜んで横行する脅威からアプリケーション、ワークロード、データを保護することに注目しています。Forresterの言葉を借りれば、企業は機密性の高いデータセンター資産の周りに「マイクロペリメーター」を作る必要があるということです。

企業は、仮想化、クラウド、ハイブリッド・データセンターの構成に移行することで、俊敏性と規模の拡大を実現したいと考えています。この目標を達成するためには、ゼロトラスト戦略を採用することが、いくつかのレベルで意味があります。ゼロトラストは、侵害が必ず発生することを認識し、高度な脅威からビジネスを保護し、その影響を最小限に抑えることを支援します。また、スピードと柔軟性に依存する新しいビジネスモデルや運用モデルをより簡単にサポートします。そして、重要な資産と重要でない資産を分離し、消費者データの保護を強化することを求める業界規制への準拠を可能にします。外部からの脅威に焦点を当てた従来のセキュリティアプローチでは、これらすべての対策が不十分でした。

ゼロトラスト・モデルの中核となる要素

ゼロトラストは特定の技術ではなく、ゼロトラストの “ソリューション “も存在しません。これは、Forrester社が「Zero Trust eXtended Ecosystem(ZTX)」と呼んでいるもので、様々な技術、プロセス、およびそれらを使用する人々を包含する戦略的アプローチです。エコシステムの各構成要素には、セキュリティチームの注意が必要です。Forresterはそれらを以下のように分解しています。

ゼロトラストデータ

データを分類し、カテゴリー分けするための方法論であり、送信中や休止中のデータの暗号化など、データを安全に保護・管理するための技術ソリューションを組み合わせたものです。

ゼロトラストネットワーク

ネットワークをセグメント化したり、ネットワーク資産を分離したり、ネットワーク間の通信を制御したりする能力のことで、ゼロトラスト戦略の重要な特徴となっています。

ゼロトラストピープル

ユーザーを認証する技術や、ユーザーのアクセス権限を継続的に監視・管理する技術など、ユーザーのアクセスを制限・強制する戦略を網羅しています。

ゼロトラストワークロード

重要なビジネス・プロセスを実行するフロント・ツー・バックのアプリケーション・スタックの安全性を確保することを意味します。

ゼロトラストデバイス

モビリティやモノのインターネットの台頭により増殖したネットワーク接続されたすべてのデバイスを分離、安全、制御する必要性に対処し、攻撃者が悪用するための巨大な脆弱性を生み出しています。

ゼロトラストの可視性と分析

オペレータが環境で起こっているすべてのことを見るだけでなく、ライブの脅威の存在を含めて理解できるようにする技術のことを指します。

ゼロトラストの自動化とオーケストレーション

セキュリティ対策、ポリシー、ルールを自動的に有効化し、セキュリティチームの負担を軽減しながら、攻撃の軽減を加速するためのツールと技術を網羅しています。

重要な可視性とセグメンテーションを実現

ゼロトラスト・モデルを成功裏に導入するためには、セキュリティ担当者は2つの基本的な能力を必要とします。まず、ワークロードとデータをマイクロペリメータ内でどのように分類するかを決定するためには、ネットワーク環境を完全に可視化する必要があります。可視性の欠如は、通常、ゼロトラストを達成するための最初の躓きであり、見えないものを確保することはできません。完全な可視性を得ることは、安全で効果的に管理されたマイクロペリメータを実現するためのセキュリティポリシーを定義するために、アプリケーションの依存関係とトラフィックの流れを完全に理解するための必須条件です。

可視性が達成されると、セキュリティチームは、マイクロペリメーターを迅速かつ効率的に作成し、その中に存在する資産へのアクセスを管理するセキュリティポリシーを確立して施行することができるセグメンテーション機能を必要とします。従来、組織は内部ファイアウォール、VLAN、ACL などの従来のツールを使用してネットワークのセグメンテーションを実装しようとしてきました。しかし今日では、これらのアプローチでは、変化するビジネス要件への対応が遅すぎたり、ダイナミックなハイブリッド・データセンター環境で管理するには複雑すぎることがわかっています。

可視性と合理化されたセグメンテーションは、中核機能であり、今日のダイナミックで仮想化されたネットワーク環境、ハイブリッドデータセンター、クラウドにおいて貴重な資産を保護するために特別に設計されています。このソリューションは、環境で実行されているすべてのアプリケーションとワークロードを見つけて識別するためのプロセスレベルの深い可視性と、マイクロペリメータのグループ化とポリシー作成を目的とした資産間の関係をオペレータが理解できるようにするグラフィカルな依存関係のマッピングを可能にします。

包括的なログによってキャプチャされたすべてのトランザクションに対してリアルタイムで履歴の可視性を提供するため、継続的な検証という重要なメリットを提供します。これにより、推測やリスクにさらされることがなくなります。

ダイナミックな環境でのセグメンテーションポリシーの迅速な展開と簡素化された管理を可能にします。ソフトウェア定義のセグメンテーションは、内部ファイアウォールやVLANよりも、ネットワークのセグメンテーションとアプリケーションの分離のためのより機敏なアプローチを提供します。これにより、セキュリティチームは、継続的なポリシー管理の複雑さを軽減しながら、より迅速にゼロトラスト体制に移行することができます。

ゼロトラストネットワークの基本原則にどのように適合するか

Forrester社は、ゼロトラストネットワークを実現するための5つの段階を明らかにしました。これは、組織が何をすべきかを示していますが、それをどのように行うかという質問には答えていません。

どのように役立つか
1. 機密性の高いデータと資産を特定する粒度の高い可視性により、機密データや作業負荷の識別と分類が簡素化されます。
2. 機密データのフローをマップ化すべての資産の分類やアプリケーションの依存関係を含む、機密データへのすべてのフローの視覚的なマップを作成します。
3. ゼロトラスト・マイクロペリメーターを設計する直感的なポリシー・ウィザードにより、あらゆるタイプのセグメンテーションまたはマイクロセグメンテーション・ポリシーを迅速に定義できます。
4. セキュリティ分析でゼロトラスト・エコシステムを継続的に監視するSIEMとの統合により、セキュリティインシデントをリアルタイムで監視および分析し、悪意のある活動を迅速に特定します。
5. セキュリティの自動化とオーケストレーションの導入オープンなREST APIと既存のオーケストレーション・ツールとの統合により、複雑な環境でも自動化が容易になります。

組織がゼロトラストネットワークの体制を達成するのを支援するだけでなく、ForresterのZTXエコシステムフレームワークの中核となるゼロトラストの原則と密接に連携しています。具体的には、以下の通りです。

Zero Trust Workloads

プラットフォームには、クラウドに対応した拡張性の高い保護機能が多数搭載されており、重要なワークロードのゼロトラスト・セキュリティをサポートします。例えば、レピュテーションベースの検出により、既知の悪意のある活動に関連する疑わしいドメイン名、IPアドレス、ファイル名に基づいて、潜在的な脅威の存在をオペレータに警告します。攻撃センサーと欺瞞エンジンの広大なネットワークを活用し、定期的な脅威インテリジェンスのフィードとセキュリティアナリストの洞察力を組み合わせています。ファイルの内容を変更または削除しようとする不正な試みに対して、オペレータに警告を発するように設計されたファイル完全性監視(FIM)も組み込んでいます。このプラットフォームには、ブロックされた接続試行などの指標に基づいて不審な活動を積極的に探し出し、それに関与する高インタラクションの欺瞞的なおとりを採用しています。そして、監視、分析、確認のための封じ込め環境に脅威を自動的にリダイレクトします。

Zero Trust People

ユーザーのアイデンティティルールに基づいて、マイクロペリメータ周辺のセキュリティポリシーを定義することができます。つまり、プラットフォームは、特定のアプリケーションへのサードパーティのリモートアクセスを含むユーザーアクセスを効果的に制限または制御することができます。ユーザーIDは、組織のActive Directoryとのオーケストレーションによって生成されます。Active Directoryオーケストレーションが統合されると、管理者はActive Directoryグループにマッピングするユーザーグループを作成することができます。

Zero Trust Visibility and Analytics

前述したように重要なIT資産の詳細で粒度の高い可視性を実現するだけでなく、環境内のアクティビティを深く理解することも可能にします。リアルタイムの分析とコンテクスト情報を組み合わせることで、異常な行動や生きた脅威を表面化させ、セキュリティ・アナリストはより正確に防御を指示することができます。

Zero Trust Automation and Orchestration

機械学習アルゴリズムと人工知能を適用して、ネットワークやデータセンターの資産を自動的に分類し、セグメンテーションやアクセス制御ポリシーを推奨・適用します。
また、AWS、vSphere、Kubernetes、Microsoft Azureなどの一般的なオーケストレーションプラットフォームとも統合されています。これにより、資産の詳細情報を提供するための重要なメタデータが提供され、初期セットアップ時の資産分類のスピードアップや、継続的なポリシー管理に役立ちます。資産の分類とセグメンテーションポリシーの作成を簡素化する柔軟なラベリングを可能にします。例えば、資産を役割、アプリケーション、または環境ごとに分類することができ、同じタイプの資産が多数ある場合に役立ちます。管理者は、割り当てられたラベルに基づいて特定の資産を迅速に識別することができます。

ゼロトラストへのファスト・トラック

近年報告されているデータ侵害の数が驚くほど多いことを考えると、以下のことは明らかです。悪者を排除しようとするだけでは、保護するための戦略としては不十分です。今日のダイナミックなハイブリッド・クラウド・データセンターとコンピューティング環境では、デジタル資産を脅威から保護する必要があります。企業は、貴重なデジタル資産を脅威から保護することに目を向ける必要があります。ネットワークの中で。ゼロトラストのコンセプトを採用する組織が増えるにつれ、以下のようになります。モデルを迅速に実装するためのツールや技術が必要になります。リーズナブルなコストで効率的に、最大限の効果を発揮することができます。ゼロトラスト・モデルの基盤となる可視性とセグメンテーション機能を提供します。また、Forrester社のZero Trust eXtended Ecosystemの中核的な考え方と密接に連携しています。また、セキュリティチームには、ベストプラクティスであるゼロトラストの導入に推奨されている5つのステップをすべて実行するための単一のソリューションを提供しています。要するに、ゼロトラスト戦略を迅速に進めるために信頼できるソリューションです。

コメント

タイトルとURLをコピーしました