ゼロトラストセキュリティとは、組織のデジタル資産やネットワークにアクセスする前に、ユーザが誰であるか、アクセスが許可されているか、悪意を持って行動していないかを証明することを求めるサイバーセキュリティのフレームワークである。
現代のハイブリッドワーク環境が、従来のオンプレミスネットワークベースのセキュリティモデルを時代遅れにしたため、ゼロトラストセキュリティは、特にリモートワークやクラウドベースのサービスが一般的になるにつれて、組織のデータと人々を保護するために注目されるようになりました。
ゼロトラストセキュリティは、デフォルトでユーザーのアプリケーションやデータへのアクセスを拒否する。従来のネットワークエッジがもはや存在しないことを前提とし、ユーザー認証に対してはるかに厳格で継続的かつ動的なアプローチを取る。そこで課題となるのは、ゼロトラストセキュリティがユーザーエクスペリエンスに影響を与えない程度にシームレスであることを保証することである。
ゼロトラストの利点
ゼロトラストに基づくサイバーセキュリティソリューションは、従来のシステムよりもはるかに高いレベルのセキュリティを提供し、多くのメリットをもたらします。
1. ビジネスリスクの低減
ゼロトラストは、完全に検証されるまで、アプリケーションとサービス間の通信を防止します。これにより、ビジネスリソースの使用状況をより詳細に監視できるようになり、悪意のある不正使用のリスクが低減します。
2. 統一されたアクセスコントロール
クラウドとコンテナ環境を、従来のリソースと同様に、統一されたゼロトラストセキュリティのフレームワークの下に置くことは、認証が、保護が必要なワークロードと資産に結び付けられることを意味する。したがって、ユーザーとビジネスリソースがどこにあっても、セキュリティは同じ高水準に保たれます。
4. 侵害の削減
認証されるまで、すべてのエンティティは敵対的であると見なされるため、ネットワーク内部でアクセス権を得た攻撃者がデータにアクセスし、それを侵害することを防ぐことができます。
5. コンプライアンスのサポート
ゼロトラストは、ユーザーとワークロードをインターネットから保護します。この露出の少なさにより、プライバシー基準や規制へのコンプライアンスを実証することが容易になります。また、規制対象データと非規制対象データを分離するための特別な保護を作成することも可能です。
ゼロトラストアーキテクチャ
ゼロトラストアーキテクチャ(ZTA)は、ゼロトラストセキュリティの原則に基づいて構築され、エンドユーザーにとって継続的な認証が強固で可能な限りシームレスになるように設計された一連のコンポーネントを使用する。
ユーザは、継続的に、しかし控えめな方法で強く認証される。これと並行して、ユーザが使用するデバイスは、侵害がないか常に監視される。インフラへのアクセスは、ユーザー認証とデバイス認証によって制御される。アプリケーションへのアクセスは、ユーザーのニーズに応じて細かく設定され、複数の要因によって保護される。
システムは、高度なサイバーセキュリティAIを活用して脅威をリアルタイムで検出するセキュリティ分析を使用して全体的に監視されます。ポリシーの自動導入により、アプローチの費用対効果を最大化します。NIST 800-207規格への適合は、ゼロトラストアーキテクチャがゼロトラスト手法の中心的な信条を支持していることを示しています。
ゼロトラストの仕組み
ゼロトラストと従来のセキュリティシステムの決定的な違いは、認証は決して仮定されず、デフォルトで拒否されることである。従来のセキュリティでは、一度ネットワーク境界内でアクセスが許可されると、通常、リフレッシュの必要なく、永続的または長期間持続する。
対照的に、ゼロトラストはユーザーの行動を継続的に監視し、ユーザーとそのデバイスが適切な権限と属性を持っていることを検証する。ユーザとそのデバイス、およびコンテキストに関連するリスクは、ユーザとアプリケーションのアクティビティのリアルタイムの可視性に基づいて考慮されます。
ゼロトラストは、企業やクラウド資産へのアクセス中に最適なセキュリティレベルを維持するために、以下のようなさまざまなID属性を活用する:
- ユーザーの身元確認を提供するクレデンシャルのタイプ。
- クレデンシャルに関連付けられた特権。
- デバイスの場所およびユーザの行動を含むコンテキスト。
- 多要素およびバックグラウンド生体認証を含む可能性のある継続的認証。
- オペレーティングシステムのバージョン、パッチレベル、ファームウェアの更新など、デバイスの健全性。
- エンドポイントにインストールされたアプリケーション、脅威となりうるアプリケーションの評価。
- ユーザー、デバイス、コンテキストからの不審な活動の検出。
Zero Trust Securityは、これらの属性を常に動的に監視し、アナリティクスとAI/MLを適用して、プロアクティブなポリシー対応を提供します。ほとんどのサイバー攻撃はクレデンシャルとアイデンティティストアに対するものであるため、この動的な脅威監視によってシステムの完全性がより確実になります。
ゼロトラスト評価
ゼロトラストセキュリティは単一の製品やサービスではなく、エコシステムに支えられた方法論である。そのため、既存のセキュリティインフラを全面的に置き換える必要はないかもしれない。組織は、ゼロトラストに向けた旅に役立ついくつかのコンポーネントをすでに導入している可能性がある。また、ユーザーをこの旅に連れて行く必要があることを考慮すると、使い慣れたプロセスと慣行を維持することは、移行を円滑に進めるのに役立つ。
組織の準備態勢の評価とゼロトラストの実装に必要な手順は、ID が組織でどのように明確化されているかに左右される:
1. 断片化された ID
この段階にある組織は、おそらくMicrosoft Active Directoryに依存して、ネットワーク境界セキュリティシステムで権限を管理している。しかし、従業員は複数のアカウントで同じ弱いパスワードを使用する傾向があり、1つのシステムの侵害が別のシステムへのアクセスにつながることを意味する。外部リソースの利用が大幅に増えたことで、この段階は以前よりもはるかに大きなリスクにさらされている。
2. 統合IDとアクセス管理
統合アイデンティティアクセス管理(IAM)システムは、ゼロトラストセキュリティの基盤となる。これにより、すべてのユーザーがどの企業リソースにアクセスできるかを追跡する中央ディレクトリに統合される。
シングルサインオン(SSO)は、クラウドベースのアプリケーションのポートフォリオで異なるログインの必要性を排除します。SSOは、ユーザーが使用権限を持つすべてのリソースへのアクセスを提供し、ユーザーにとっても使いやすくなる。IAMはまた、セキュリティをさらに強化するための多要素認証(MFA)の導入を容易にする。
3. 自動プロビジョニングによるコンテキストアクセス
統合IAMの先にあるのは、ポリシーが行動を追跡するシステムである。例えば、ユーザーが通常の場所とは異なる場所からログインすると、MFAが発動する。同様に、公共の場所にあるデバイスが典型的な時間枠を超えて使用されずに放置された場合も、MFAが発動する可能性がある。このシステムはまた、自動化されたプロビジョニングとプロビジョニング解除を可能にし、従業員が退職したり部署が変わったりした場合などに、システム管理者が権限を追加したり制限したりできるようにする。
4. 適応型ワークフォース
ゼロトラストは静的な実装ではなく、動的な方法論である。パスワード不要の生体認証など、新しい技術が登場すれば、セキュリティと効率を向上させるために追加することができる。AIやMLを適用して、新たな脅威の出現や検知に応じてポリシーを進化させることができる。
