Lorna Garey|シニア・ライター| 2024年10月7日
長く活躍しているセキュリティのプロフェッショナルは、多くのことを目にしてきました。2000年代は、強力なパスワード、ファイアウォール、アンチウイルス、およびソフトウェアのパッチ適用がすべてでした。その後、健康保険の相互運用性と説明責任に関する法律(HIPAA)や支払カード業界データ・セキュリティ基準(PCI DSS)などの要件により、IDベースのアクセス制御および暗号化など、データに特有の保護対策が重視されるようになりました。クラウドとモバイル・デバイスは、さらに新しいツール、プロセス、トレーニングをもたらしました。
もちろん、攻撃者の戦略も進化しています。これに対し、先手的な組織は、セキュリティ・ポスチャを強化し、不正なアクセスや操作から資産を保護するために、ますますゼロトラスト原則を使用されるようになっています。こうした組織は、きめ細かなセグメンテーションを使用して攻撃対象領域を限定し、敵はすでにゲートの内側にいることを前提条件とする「決して信用せず、常に検証する」というスタンスを堅持しています。
今求められていることは、被害の範囲を縮小することです。
ゼロトラスト・セキュリティ・モデルは、頻繁なユーザー認証と権限付与を使用して資産を保護する一方で、侵害の兆候を継続的にモニタリングします。また、エンティティが再認証なしでアクセスできるデータや資産を制限するためにセグメンテーションを使用します。ゼロトラストは、ネットワークが脅威エージェントによって侵入されたことを前提とするため、セキュリティ対策は単に「城と堀」モデルである境界ではなく、深部に導入されます。
ゼロトラスト・セキュリティは、ゼロトラスト・アーキテクチャまたはペリメーターレス・セキュリティとも呼ばれ、ネットワークの内外を問わず、誰も、そしてどのデバイスもアプリケーションも、普遍的に信頼されることはないと想定しています。継続的な検証が必要とされます。アクセスはリクエストのコンテキスト、信頼レベル、アセットの機密性に基づいて許可されます。ゼロトラスト・アーキテクチャは、クラウド・アプリケーションを使用し、多くのリモート従業員や拠点がある組織には特に効果的です。
主なポイント
NIST(National Institute of Standards and Technology)は、ゼロトラストを、静的なネットワークベースの境界から、ユーザ、資産、リソースに焦点を当てた防御に移行する、進化する一連のサイバーセキュリティ・リソースとして定義しています。ゼロトラストは、物理的な場所またはネットワークの場所(ローカル・エリア・ネットワークかインターネットかなど)、あるいは資産が企業所有か個人所有かにのみ基づいて、資産またはユーザー・アカウントに付与される暗黙の信頼がないことを前提としています。
ゼロトラスト・セキュリティは、暗黙の信頼を排除し、その代わりに、組織が許可された人、デバイス、アプリケーションのみがシステムやデータにアクセスできるようにする強力なID・アクセス管理(IAM)コントロールに基づきます。ゼロトラスト・セキュリティのアプローチには、いくつかの重要な原則があります。
ゼロトラストはまた、深層防御のアプローチも取ります。深層防御は、レイヤード・セキュリティと呼ばれることもあり、組織のネットワーク、システム、データを保護するために、システム内のさまざまなポイントにさまざまなセキュリティ・コントロールの導入を行います。これは、複数の防御策を備えた城に例えると、堀を突破しても王冠の宝石を手に入れることはできません。門や強固な鍵のかかったドア、砲台の射手などもあります。
深層防衛の管理には、物理的なもの、技術的なもの、管理などがあります。物理的なセキュリティ対策には、フェンス、アクセス制御システム、データセンターを守るセキュリティ・ガードがあります。技術的な制御には、ファイアウォール、侵入検知・防止システム(IDS/IPS)、データの暗号化、マルウェア対策ソフトウェアなどがあり、技術的な障壁を提供します。管理対策としては、ポリシー、手順、セキュリティ認識トレーニング、アクセス制御などがあり、セキュリティの人的要素に対処することを目的としています。
ゼロトラスト・モデルが重要なのは、暗黙の信頼ゾーン内やVPNで接続されたユーザーやデバイスを無料で使用できるという従来のアプローチでは、単純に機能しないからです。組織の境界がもはやオンプレミス・システムに限定されていないため、このような時代遅れの境界防御モデルでは、データを確保できなくなりつつあります。リモート勤務の従業員やモバイル・デバイスはネットワーク境界の外部にあり、クラウド・テクノロジーの導入はセキュリティ境界をさらに拡大します。一方、サイバー攻撃はますます複雑化し、影響力を増しています。ランサムウェア攻撃をまともに受けると、組織は機能不全に陥り、重要な機能が失われ、機密情報が流出する可能性があります。いかなる組織もこのような攻撃から無縁では いられず、大企業や自治体、さらには病院までもが身代金要求に見舞われる事態に陥っています。
システムやデータの確保には、より積極的なアプローチを導入することが重要です。
クラウド・サービスの利用が急速に拡大するにつれ、サイバー犯罪者の新しい標的も生まれています。よくある悪用は、権限を持つ管理者やアプリケーションの認証情報を盗んだり推測したりして、ネットワーク全体を自由に移動することです。A ゼロトラストの導入により、システム、ネットワーク、データへのアクセスをきめ細かく規制できるようになります。そのため、データ侵害のリスクを低減し、サイバーセキュリティ・インシデントを検出し、サイバー攻撃による被害を防止するために、ゼロトラスト・セキュリティ・モデルに移行する組織が増加しています。
ゼロトラストというトピックは、米国国防総省(DoD)、そして米国政府全体にとって大きな焦点となっています。2021年5月、ホワイトハウスは、セキュリティのベストプラクティスを導入し、セキュリティ戦略を達成するための主要なツールであるゼロトラスト・アーキテクチャに向けて前進することで、コンピューター・システムを保護および確保するよう連邦政府機関に指示する大統領令14028を発表しました。
ゼロトラスト・アーキテクチャを開発するチームを支援するモデルとフレームワークは複数あります。NISTは、6つの原則に基づくモデルを考案し、Special Publication 800-207で発表しました。ybersecurity and Infrastructure Security Agency(CISA)は最近、5つの柱からなるゼロトラスト成熟度モデルのZero Trust Maturity Modelのバージョン2.0を最近公発表しました。
最後に、Defense Information Systems Agency(DISA)は、エンタープライズ・テクノロジと7本の柱を連携させたリファレンス・アーキテクチャを発表しました。
これらの機関はすべて、組織がゼロトラスト戦略を導入できるように支援することを目的としています。これらのモデルとそれに関連するアーキテクチャは、構造をもたらし、成功に必要な予算と取り組みの設定を支援します。
ゼロトラストは、データ、アプリケーション、リソースのリクエストを暗黙のうちに信用せず、リクエスト元が悪質なアクターである可能性を想定することで機能します。そうしたレンズを通してセキュリティを見ると、ツールとポリシーに新しいレベルのきめ細かさが生まれますゼロトラスト・セキュリティ・アーキテクチャの開発は、機密データと重要なアプリケーション、および許可されたユーザとデータフローを特定することから始まります。ポリシー・コントローラーで構成されるコントロール・プレーンがあり、自動化とオーケストレーションが重要です。ITチームだけで必要な警戒レベルを達成することはできません。それには、統合的なアプローチとAI/MLが必要です。
ゼロトラスト・アーキテクチャは、NISTが示した6つの原則に従います。
ゼロトラストの基本原則は、英国政府の国家サイバー・セキュリティ・センター(NCSC)が策定した8つのゼロトラスト原則というレンズを通して見ることができます。これらの考え方は、組織がゼロトラスト・アーキテクチャの構築に向けた取り組みに着手する際に役立つフレームワークとなります。
さらに、ゼロトラスト・セキュリティの導入は、組織にとって大きな文化的調整を必要とする可能性があります。
セキュリティ・アーキテクチャの設計には、既存の資産を十分に理解することが必要となります。ほとんどの組織は、保護が必要なユーザ、デバイス、サービス、データを定期的にドキュメントにまとめ、評価します。ゼロセキュリティ導入の場合、資産発見活動は、純粋に技術的な作業ではなく、プロジェクトのドキュメントや調達記録のレビュー、同僚との会話などの作業を伴うことがほとんどでしょう。多くの場合、部門や事業部門は独自のシステムを導入しています。
アイデンティティは、人間、アプリケーション、またはデバイスに関連付けることができます。データまたはサービスへのアクセスを誰かまたは何かに与えるべきかを判断するには、すべてを識別する必要があります。説明したように、クラウドへの段階的な移行により、従来のネットワーク・ペリメーターの侵食が加速しています。それに伴い、アイデンティティは新しい境界として認識されつつあります。アイデンティティ・プラットフォームは、ユーザー・アイデンティティ、属性およびアクセス権限を管理する機能を提供します。アイデンティティ・プラットフォームはメインのアイデンティティ・リポジトリとして機能しますが、多くの組織では複数のアイデンティティ管理システムを導入します。組織がゼロトラスト・アーキテクチャの構築を目指す場合、これらすべてのシステムを検出および管理する必要があります。
NCSCは、ユーザーとデバイスからの「健全性シグナル」を継続的にモニタリングすることを推奨しています。これらのシグナルは、ポリシー・エンジンによる信頼性とサイバー衛生の評価を可能にする行動およびシステム・インジケーターであり、ある程度の信頼性をもってアクセスに関する意思決定を行うことができます。たとえば、ラップトップがログインを試みている場所の位置情報を確認したいと考える場合があります。米国東海岸にいるユーザーの場合、ニューヨークの午前 3 時にログインを試みると、フラグが立つ可能性があります。
ゼロトラストアーキテクチャの利点の1つは、ポリシー・エンジンによって実行されるアクセス・ポリシーを定義できることです。ポリシーの決定には、要求者が真正であり、デバイスのサイバー健全性が良好であるという確信をもたらすために、過去の接続情報やリアルタイムの接続情報など、これまでに述べた健全性のシグナルを考慮する必要があります。NCSCは、新しい管理者レベルのユーザー・レベルの作成や顧客リストのダウンロードのような影響の大きいアクションは、仕事のスケジュールをチェックするような比較的影響の小さいアクションに比べて、厳格なポリシー要件を満たす必要があると助言しています。ゼロトラスト・アーキテクチャのためのテクノロジーを選択する際には、ベンダーがどのようにシグナルを収集し、アクセス制御に組み込んでいるかを評価します。少なくとも、ユーザー・ロールと物理的な場所、認証ファクター、デバイスの健全性、時間帯、アクセスするサービスの価値、リクエストされたアクションのリスクを含む必要があります。
ネットワークが敵対的で、攻撃者がシステム内にいると仮定した場合、強力な認証方法を用意し、ポリシー・エンジンからのアクセス決定を受け入れるアプリケーションを構築する必要があることは明らかです。強力な認証がサービスのユーザビリティを妨げないのであれば、組織全体で文化的に受け入れられやすくなります。NCSC は、機密データや 新しいユーザーの作成を含む特権的な操作など、影響が大きい要求の場合にのみ、認証ファクターの追加を求めることを推奨しています。すべてのサービスで強力かつ一貫性のある有意義なユーザー・エクスペリエンスを実現するために、シングルサインオン、多要素認証、パスワードレス認証の方法を検討します。
モニタリング・ソフトウェアをデバイスにインストールし、これらのシステムで生成されたデータを、VPNなどのセキュアなトランスポート・メカニズムを介して中央の分析場所にエクスポートする必要があります。モニタリング・ソフトウェアをデバイスにインストールし、これらのシステムで生成されたデータは、分析のためにVPNなどのセキュアなトランスポート・メカニズムを介して中央ロケーションにエクスポートする必要があります。
ゼロトラストはネットワークを敵対視し、デバイスとアクセス先のサービス(LANを含む)間の接続を一切信頼しないようアドバイスする、とNCSCは述べています。データやサービスにアクセスするための通信には、データを暗号化するトランスポート・レイヤー・セキュリティ(TLS)プロトコルなどのセキュアなトランスポートを使用する必要があります。NCSCはまた、DNSスプーフィングや中間者攻撃(man-in-the-middle)などの攻撃のモニタリング、未承諾のインバウンド接続の拒否、暗号化やカプセル化の使用も推奨しています。
ゼロトラスト・アーキテクチャでは、ネットワークを信頼できないため、サービスは潜在的な攻撃ソースから自らを守るように設計されている必要があります。レガシー・システムの中には、多額の費用がかかる改修が必要なものもあり、ユーザビリティに問題が残る可能性もあります。NCSCは、「車輪の再発明」を避け、ゼロトラスト・アーキテクチャ向けに設計および構築された製品とサービスを推奨しています。可能な限り、OpenID Connect、OAuth 2.0、SAMLなど、相互運用性を可能にする標準ベースのテクノロジーを使用し、クラウド・サービスプロバイダーにゼロトラストのサポートを依頼します。
一般的なネットワーク・セキュリティ・ポスチャは、ネットワーク・ペリメータの外側から侵入する脅威を阻止することに重点を置いていますが、壁の内側からの盗難に対してデータが脆弱なままになっている可能性があります。境界セキュリティは、ファイアウォール、VPN、侵入検知システム、およびサイバー犯罪者が侵入方法を知っている可能性のあるその他のテクノロジーを使用しています。これは、正しい資格証明を持つ第三者が任意のネットワークのサイト、アプリケーション、デバイスにアクセスできる可能性があることを意味します。ゼロトラスト・セキュリティでは、デフォルトでネットワークの内部、外部の誰も信頼しません。
その他の主なメリットは次のとおりです。
ゼロトラスト・セキュリティの概念は、機密性の高い金融データを扱う銀行や投資会社などの金融機関、プライバシー規制の対象となる患者のデータを大量に保有する医療機関など、サイバー攻撃の格好の標的となる組織を中心に、近年大きな注目を集めています。前述したように、政府機関もデータと重要インフラストラクチャを保護するためにゼロトラストを使用しています。クラウド・アプリケーション・サービスに強く依存し、リモート勤務の従業員を抱え、大規模で複雑なデジタル・インフラストラクチャを維持している組織など、最新のIT環境を持つ組織もまた、そうした傾向があります。
細かいレベルでは、ゼロトラストが活躍する領域がいくつかあります。
ゼロトラストの達成は、1回限りのプロジェクトではなく、継続的なジャーニーですまた、最初から変革する必要はなく、NIST、CISA、DISA、または NCSC のモデルのいずれかを技術的なロードマップとして使用することを検討してください。混乱を最小限に抑え、従業員、パートナー、IT スタッフが適応できるように、プロジェクト ・ レベルでは、ゼロトラストを段階的に導入する計画を立てます。取り組みの根拠をステークホルダーに明確に伝え、懸念事項には透明性をもって対応します。また、成長に合わせてスケールし、セキュリティの現実の変化に適応できるセキュリティ製品を慎重に選択します。
成功へのさらなるステップ:
1.資産の特定と優先度設定。ゼロトラストのセキュリティ・アプローチとは、機密性の高い貴重なデータを保護することです。そのためには、自社の資産を把握する必要があります。このマップは、ゼロトラスト計画の基礎となります。
2.ユーザーとその要件の特定。 ゼロトラスト・モデルでは、ユーザー情報を取得し、ユーザー・アイデンティティを管理し、アクセス権限を整理する必要があります。資産にアクセスするすべての人とシステムをマッピングし、不要な権限を探します。
3.ゼロトラスト戦略の立案。資産とユーザーに基づいて、リスクを軽減するための設計を計画します。各フェーズのスケジュールを決定する際には、予算編成、ITリソース、インフラストラクチャの複雑さを考慮します。
4.データの調査実施。システムがデータアクセスの異常を特定し、ポリシーに反してシステムにアクセスしようとする試みを検出したら、そのデータを徹底的に調べます。ほとんどのアクティビティは繰り返し行われるため、異常はデータ盗難未遂の初期指標となることがよくあります。その情報を軽減に向けた取り組みに役立てましょう。
5.トラフィック・フローのマッピング。ここでは依存関係を明確にします。機密データを含むデータベースにアクセスできるすべての人や システムは、その情報を必要としているのでしょうか。
6.可能な限りの自動化。プロセスの改善とツールでギャップを埋めます。たとえば、リソースと活動のモニタリングを自動化しなければ、組織がゼロトラストで成功する可能性はほとんどありません。適切な作業を行うには、ユーザーのアイデンティティとアクセス権を一元管理する堅牢なIAMシステムと、すべてのアクセス試行を審査する多要素認証(MFA)を含む最新のセキュリティ・ツールが必要です。保存中および移動中のデータの暗号化は、不正なアクセスから機密データを保護するためのカギです。
7.指標の設定。ゼロトラスト導入の成功を測定する方法を定義します。主要業績評価指標としては、アクセス権限の削減、多要素認証の利用増加、エグゼクティブや事業部門のリーダーからの賛同などを挙げることができます。
CISAはゼロトラスト・モデルにおいて、連邦政府を含むほとんどの大企業が共通の課題に直面していることを指摘しています。レガシー・システムは「暗黙の信頼」に依存していることが多く、固定された属性に基づいてアクセスと権限が評価されることはほとんどありません。これを変更するには、エグゼクティブ、パートナー、サプライヤーを含むさまざまなステークホルダーの賛同とともに、多額の投資が必要となる場合があります。ベストプラクティスには、次のようなものがあります。
1.検証と認証。ゼロトラストの基本は、システム、ネットワーク、データへのアクセスを要求するたびに、すべてのユーザーとデバイスの信頼できる認証を必要とすることです。このプロセスには、特定のシステムに対するアイデンティティと関連するアクセス権限の検証が含まれます。たとえば、従業員が朝、限られた時間だけ有効なトークンを発行するOAuthなどの認証サービスを使用して、一定時間認証するとします。その従業員がデータベースにアクセスする必要があるとき、そのシステムに対する権限がトークンによって確認されます。ゼロトラストでは、デバイスの行動分析などの高度な管理も推奨しています。これに加えて、ログとジャーナルは、ITが活動の追跡、レポートの作成、ポリシーの適用を行うことを支援します。
2.マイクロセグメンテーションの使用。パフォーマンスを低下させることなく、横方向の動きをより細かく制限できれば、それに越したことはありません。CISAでは、動的なジャストインタイムおよびジャストイナフな接続性を備えた、分散イングレス/エグレス・マイクロペリメータと、アプリケーション・アーキテクチャに基づく幅広いマイクロセグメンテーションを推奨しています。これは、あらゆる場所にファイアウォールを設置するという意味ではありません。マイクロセグメンテーション技術には、アプリケーションごとの仮想マシン、東西トラフィックの暗号化、物理ネットワーク内のソフトウェア定義ネットワークの構築などがあり、個々のセグメントを効果的に分離して確保します。インテリジェントなルーティング・アルゴリズムは、トラフィック・フローを最適化し、レイテンシの削減を支援します。ネットワーク・パフォーマンスとセキュリティのバランスを取るには、セグメンテーション戦略の定期的なモニタリングとファインチューニングも重要です。
3.継続的なモニタリングゼロトラストでは、ユーザー・アクティビティとシステムの健全性をモニターし、ログに記録するシステムを導入します。侵害の既知の指標に基づきネットワーキング・モニタリングを行い、時間とともにプロセスを改善し、可視性のギャップに対処することを理解します。AIを活用したシステムは、正常な行動がどのようなものかを学習し、異常を監視してアラートを発します。
4.コンテキストに応じたロギング。ログ・エントリには、アクセス試行と、ユーザー・アイデンティティ、デバイスの詳細、アクセスした特定のリソースなどのコンテキストの情報が含まれます。このデータによって包括的な分析が可能になり、潜在的なセキュリティ・インシデントや不審な活動の特定を支援します。モニタリング・システムは詳細な監査ログを作成し、データ・アクセスの追跡を必要とする規制の順守を実証するうえで役立ちます。この場合も、AI対応ツールによって検出を向上させることができます。
5.広範な暗号化。データはほとんどの組織にとって最も重要な資産であり、保存中、転送中、使用中のデータの保護には、広範な暗号化と不正なアクセスの試みを検出するための活動のモニタリングが必要です。
6.最小権限アクセス。ゼロトラストという観点では、最小権限アクセスは中核であり、非常に分かりやすい原則です。これは、ユーザー、アプリケーション、およびデバイスに、それぞれのタスクを実行するために必要となる最低限のアクセスのみを許可することを必要とします。これは従業員に対する信頼の欠如を示すためではなく、悪質なアクターが盗んだ認証情報、漏洩したデバイス、または脆弱性を通じてアクセスした場合の潜在的な損害を最小限に抑えるためです。
7.デバイスの信頼性の重視。ゼロトラストの原則に基づくネットワークでは、境界内にあるか、企業が所有しているか、以前にアクセスを許可されているかにかかわらず、いかなるデバイスも本質的に信頼しません。これにより、許可されたコンプライアンス準拠のデバイスのみにアクセスが付与されるようにします。この場合、コンプライアンスには、ソフトウェアの更新、ウイルス対策、その他のモニタリングソフトウェアの導入など、セキュリティ・ポスチャの要件を満たすことが含まれている場合があります。
8.セキュアなアクセス制御。ゼロトラストは、今日多くの組織で使用されているクラウドベースのアプリケーションや作業環境にも適用されています。このアーキテクチャでは、これらのアプリケーションが既知の承認されたセキュリティ・ポスチャを持ち、それらへのアクセスが制御されていることが求められます。
9.ゼロトラスト・ネットワーク・アクセス。ソフトウェア・デファインド・ペリメータとしても知られるZTNAは、ユーザーが認証されるとネットワーク全体へのアクセスが許可される従来のVPNよりも、はるかに緻密な方法で内部アプリケーションやリソースへのアクセスを制御するセキュリティ・アプローチです。ZTNAは、リソースへのアクセスが要求されるたびにセキュリティ認証情報を評価します。システムはコンテキストを考慮し、部分的なアクセスのみを許可することもあります。アクセスが付与された場合、リクエストしたエンティティと特定のアセット間のセキュアなセッションを経由します。その後、脅威を示す可能性のある異常な行動がないか、活動とデバイスの健全性が継続的にモニターされます。
10.エンドポイント・セキュリティ。ソフトウェアのバージョンやマルウェア・シグネチャの更新が遅れがちなユーザーや、セキュリティ・ソフトウェアを個人のデバイスにインストールすることに抵抗があるユーザーはいませんか。ゼロトラストは、セキュリティ・ポリシーで定義されたセキュリティ・プロファイルを持たないエンドポイントへのアクセスを単純に許可しないため、そのようなユーザーも対応せざるを得なくなります。IT部門は、企業が所有するデバイスのエンドポイント・セキュリティを管理し、新しいセッションが開始されたときにコンプライアンスを検証する必要があります。
11.ユーザー教育と意識向上。従業員がゼロトラスト原則に反発するのは、少なくとも最初は当然のことです。教育セッションを提供し、このアーキテクチャがどのように企業のコストと風評被害を削減できるかについて具体例を提示することが支援となる可能性があります。
従来のネットワーク・セキュリティ・モデルでは、ユーザーがネットワーク境界の内側に入れば、特定のレベルの信頼が得られると想定されがちです。ゼロトラストはこれに困難な課題を課すものであり、ITスタッフにとっても、ネットワーク内の自由なアクセスに慣れている従業員にとっても、大きな意識改革となります。
さらに、ゼロトラストでは、より厳格なパスワード・ポリシー、多要素認証、ユーザー・アイデンティティとアクセス権限のより集中的な管理など、強固なID・アクセス管理が重視されます。繰り返しますが、あまり厳密でないアクセス制御に慣れていると、こうした変更を不便に感じる可能性があります。ゼロトラストでは、ユーザーの活動とデバイスの健全性がより厳しく監視されるため、自分の行動が監視されすぎていると感じる一部の従業員の間でプライバシーに関する懸念が生じる可能性があります。従業員の中には、パーソナライズされたソフトウェアを個人のデバイスにインストールすることを拒否する者も出てくるでしょう。その場合の対応はどうすべきでしょうか。また、セキュリティ、ネットワーク運用、アプリケーション開発のプロも、不満を免れることはできません。
要点はお分かりでしょう。これは文化的な転換であり、成功はユーザーの同意にかかっています。スムーズな移行のための戦略には、次のようなものがあります。
ゼロトラスト導入の理由を明確に伝え、セキュリティとコンプライアンス向上のメリットを強調します。従業員が抱く可能性のあるプライバシーに関する懸念に率直に対応し、ゼロトラストが実際にどのようにデータを保護するかを説明します。
段階的な導入により、従業員、パートナー、ITスタッフが新しいセキュリティ対策に徐々に適応する時間を確保します。ワークフローへの混乱を最小限に抑え、ユーザー・エクスペリエンスを有意義に維持する方法でゼロトラストを導入することを優先します。ここでは、クラウドベースのテクノロジーが大いに役立ちます。
ゼロトラストの原則、アクセス制御手順、新しい環境でリソースをセキュアに使用するためのベストプラクティスに関する包括的なトレーニングを実施します。
ゼロトラストの導入を成功させ、よりセキュアで耐障害性の高いIT環境を構築するためには、関係する文化的な変化を認識し、取り組みに感謝の意を示すことが重要です。
ゼロトラストという概念は、2004年にPaul Simmonds氏がJericho Forumで行ったプレゼンテーションから生まれました。Simmonds 氏は、「Deperimeterization」という言葉を作り出し、ほとんどの攻撃者は容易に境界セキュリティを通過することを根本的に認める新しいモデルを提案しました。さらに、侵入検知テクノロジーがぺリメーターではほとんど何のメリットもなく、データに近づけば近づくほどデータを保護することが容易になり、ハード化されたぺリメーター戦略は持続不可能であると付け加えました。
2011年、Googleはゼロトラストを導入する試みとしてBeyondCorpを生み出しました。当初はリモート・ワークを実現し、VPNの使用を排除するために開発されたBeyondCorpは、単一の製品ではなく、ツールとベストプラクティスのセットです。Google Cloudは、BeyondCorpのセキュリティ・ポスチャを実現するために導入できる様々なサービスを提供しています。
そして2020年8月、NISTはゼロトラスト・アーキテクチャ(ZTA)の抽象的定義を含むゼロトラスト・アーキテクチャ・ドキュメントを発表し、ゼロトラストが情報技術セキュリティ・ポスチャを改善できる導入モデルとユースケースを提供しました。2021年5月、ホワイトハウスはゼロトラストを成文化した「国家のサイバーセキュリティの改善に関するエグゼクティブ・オーダー」を発表し、同年9月、CISAのゼロトラスト成熟度モデル・バージョン1.0が、管理予算局の連邦ゼロトラスト戦略を補完するために発表されました。CISAのモデルは、米国連邦政府機関にゼロトラスト環境を構築するためのロードマップとリソースを提供するもので、企業でも利用可能です。
2022年1月、行政管理予算局は連邦政府機関向けに 「Moving the U.S. Government Toward Zero Trust Cybersecurity Principles 」という件名のメモM-22-09を発行しました。7月には、米国国防総省(DoD)と国家安全保障局(NSA)のゼロトラスト・エンジニアリング・チームが作成したゼロトラスト・リファレンス・アーキテクチャが発表されました。このアーキテクチャは、サイバーセキュリティを強化し、データ中心の戦略に焦点を当てるために既存の機能の進化を導くためのエンドツーエンドのビジョン、戦略、フレームワークを提供しました。DISAのアーキテクチャは、クラウドに移行する組織が従うべき優れたモデルです。
ゼロトラスト原則の導入を支援するために、オラクルのセキュリティファーストのアプローチでは、Oracle Cloud Infrastructure(OCI)へのアクセスを許可するために明示的なポリシーを必要とします。つまり、各コンポーネントはOCI内のリソースと見なされ、アクセスは明示的に許可される必要があります。OCI内の通信はすべて暗号化され、アクセス権は既存のポリシーと照合されます。これらのポリシーは、動的アクセスの導入を含め、リソースごとにきわめてきめ細かいアクセス制御をを付与するように構成することができます。
OCIはクラウド・リソース上にモニタリングおよび監査を実装しているため、既存のオブジェクト・ストレージを使用して分析を行うこともできますし、最適なセキュリティ情報およびイベント管理(SIEM)ツールを利用することもできます。Oracle Cloud Guard Instance Securityは、トリガーされたイベントに対する自動応答を提供し、潜在的な脅威に対する反応時間の短縮を支援します。
組織がゼロトラストを導入するのは、従来のセキュリティ戦略では今日の脅威に対応できないことを認識しているからです。すべてのステークホルダーが、攻撃者がすでにネットワーク内部にいる可能性があることを理解するよう教育されると、攻撃が成功するリスクを低減し、機密情報をより適切に保護し、パートナーおよび顧客との信頼関係を構築できる、より厳格な管理を受け入れる傾向があります。
AIセンター・オブ・エクセレンスは、AIエージェントの導入を監督および管理する上で極めて重要な役割を果たします。まだご用意がない場合は、こちらで今すぐ導入して稼働させる方法をご覧ください。
ゼロトラストの5つの柱について教えてください。
Cyber Security and Infrastructure Security Agencyが最近発表したZero Trust Maturity Model Version 2に基づくゼロトラストの5つの柱は、アイデンティティ、デバイス、ネットワーク、アプリケーションおよびワークロード、データです。これら5つの柱は、連携して、すべてのユーザー、デバイス、アプリケーション、およびアクセス・リクエストを継続的に検証することを前提とした包括的なセキュリティ戦略を構築します。この階層化されたアプローチは、攻撃者が入り込む足がかりを作ることをより困難にすることを目的としています。
ゼロトラストの4つの目標を教えてください。
ゼロトラスト・セキュリティの4つの主な目標は、攻撃対象領域を限定すること、強力な認証、最低限の権限によるアクセス制御、継続的なモニタリングによって組織のセキュリティ・ポスチャを強化すること、クラウド・サービスなど従業員とパートナーが必要とするツールをあらゆるデバイスから安全に提供すること、そしてコンプライアンスを改善することです。