ゼロトラストは、新しいプライバシー規制に準拠しながら、機密データを安全に保つことを目指したITセキュリティ・アプローチです。クラウドサービスの使用が急速に拡大するにつれて、権限を持つ管理者やアプリケーションの資格証明が漏洩または盗まれる危険も新たに生まれています。また、効果的なセキュリティ・コントロールは後から思い付くことが多いため、データの盗難やサイバー犯罪者によるサイバー詐欺の可能性を広げていることがあります。ゼロトラストによって、組織は制御をあきらめることなく、システム、ネットワーク、およびデータへのアクセスを規制できるようになります。このため、ゼロトラスト(誰も信頼しない)・セキュリティ・モデルに移行する組織が増えています。これにより、企業は特定のポリシーに従ってデータへのアクセスを制限するセキュリティ制御によってデータを保護できます。
標準のネットワーク・セキュリティ・ポスチャは、ネットワーク・ペリメータの外側から来る脅威を阻止することに重点を置いていますが、ネットワーク内部の盗難に対してはデータが脆弱のままであることがあります。このアプローチでは、ファイアウォール、VPN、アクセス制御、IDS、IPS、SIEM、および電子メール・ゲートウェイを利用して、サイバー犯罪者がすでに突破する方法を知っているペリメータ上でセキュリティを講じています。これは、正しい資格証明を持つ第三者が任意のネットワークのサイト、アプリケーション、デバイスにアクセスできる可能性があることを意味します。ゼロトラスト・セキュリティでは、デフォルトでネットワークの内部、外部の誰も信頼しません。ゼロトラストは、最初から機能し、リソースにアクセスしようとするすべてのユーザーに検証を求めます。これにより、ユーザーを認証し、システム、ネットワーク、およびデータへのアクセスを規制します。このプロセスには、特定のシステムに対するユーザー・アイデンティティとそれに関連するアクセス権の検証が含まれます。これにより、組織はユーザーのデジタル・アイデンティティを管理できるようになり、適切なアクセスを確保できます。また、ゼロトラストでは、認証を強化するために、ネットワークデバイスやリソースをサポートするサーバーへのアクセスに対して高度なアクセス制御が重層的に使用されています。このアプローチにより、ユーザー・アクティビティを追跡し、それらのアクティビティに関するレポートを作成し、コンプライアンスを確保するためのポリシーを適用できます。
National Institute of Standards & Technology(NIST)によって確立されたゼロトラスト・アーキテクチャの原則は、次のとおりです。
リスクの軽減
セキュリティ・ファーストの設計原則によって、絶え間ない脅威からのリスクを軽減します。テナント分離の組込みや最小限のアクセス権限などのテクノロジもコンプライアンスやプライバシー規制に役立ちます。アイデンティティを適切に管理することで、組織はユーザーアクセスをより細かく制御できるようになります。このことは、内部および外部からの侵害のリスクの軽減につながります。
アクセスの制御
ゼロトラスト・セキュリティ・アプローチには、ユーザー情報の取得、ユーザー・アイデンティティの管理、およびアクセス権限の整理が含まれているため、組織内の個々のユーザーのシステムまたはネットワークへのアクセスを規制するのに役立ちます。
組織のセキュリティ・ポスチャの強化
競争力の強化
標準のペリメータ・セキュリティ・アプローチからゼロトラストモデルに適応することで、組織は自動化、セキュリティ、ガバナンスを活用できるようになり、全体的な競争優位性とビジネスの敏捷性を向上させることができます。
ゼロトラスト・セキュリティ・モデルを目指す組織は、次のことを行う必要があります。
効果的なゼロトラスト・セキュリティ・モデルでは、次のことを実現できます。
- 分離されたネットワーク仮想化
- 細かい職務の分離
- 最小限のアクセス権限
- 脅威の軽減と修正の自動化
- デフォルトで有効になっているユビキタス暗号化
- ユーザーの行動の継続的なモニタリング
- コンテキスト対応アダプティブ認証