ゼロトラスト・セキュリティ・モデル

ゼロトラストは、新しいプライバシー規制に準拠しながら、機密データを安全に保つことを目指したITセキュリティ・アプローチです。クラウドサービスの使用が急速に拡大するにつれて、権限を持つ管理者やアプリケーションの資格証明が漏洩または盗まれる危険も新たに生まれています。また、効果的なセキュリティ・コントロールは後から思い付くことが多いため、データの盗難やサイバー犯罪者によるサイバー詐欺の可能性を広げていることがあります。ゼロトラストによって、組織は制御をあきらめることなく、システム、ネットワーク、およびデータへのアクセスを規制できるようになります。このため、ゼロトラスト(誰も信頼しない)・セキュリティ・モデルに移行する組織が増えています。これにより、企業は特定のポリシーに従ってデータへのアクセスを制限するセキュリティ制御によってデータを保護できます。

ゼロトラスト・セキュリティ・モデル


ゼロトラスト・アプローチとは?

標準のネットワーク・セキュリティ・ポスチャは、ネットワーク・ペリメータの外側から来る脅威を阻止することに重点を置いていますが、ネットワーク内部の盗難に対してはデータが脆弱のままであることがあります。このアプローチでは、ファイアウォール、VPN、アクセス制御、IDS、IPS、SIEM、および電子メール・ゲートウェイを利用して、サイバー犯罪者がすでに突破する方法を知っているペリメータ上でセキュリティを講じています。これは、正しい資格証明を持つ第三者が任意のネットワークのサイト、アプリケーション、デバイスにアクセスできる可能性があることを意味します。ゼロトラスト・セキュリティでは、デフォルトでネットワークの内部、外部の誰も信頼しません。ゼロトラストは、最初から機能し、リソースにアクセスしようとするすべてのユーザーに検証を求めます。これにより、ユーザーを認証し、システム、ネットワーク、およびデータへのアクセスを規制します。このプロセスには、特定のシステムに対するユーザー・アイデンティティとそれに関連するアクセス権の検証が含まれます。これにより、組織はユーザーのデジタル・アイデンティティを管理できるようになり、適切なアクセスを確保できます。また、ゼロトラストでは、認証を強化するために、ネットワークデバイスやリソースをサポートするサーバーへのアクセスに対して高度なアクセス制御が重層的に使用されています。このアプローチにより、ユーザー・アクティビティを追跡し、それらのアクティビティに関するレポートを作成し、コンプライアンスを確保するためのポリシーを適用できます。

ゼロトラスト・アーキテクチャ

 

National Institute of Standards & Technology(NIST)によって確立されたゼロトラスト・アーキテクチャの原則は、次のとおりです。

  1. すべてのデータソースおよびコンピューティング・サービスがリソースとみなされます。
  2. ネットワークの位置に関係なく、すべての通信が安全です(ネットワークの位置によって信頼性が暗示されることはありません)。
  3. 個々のエンタープライズ・リソースへのアクセスは接続ごとに付与され、アクセスが付与される前に要求者の信頼性が評価されます。
  4. リソースへのアクセスは、ユーザー・アイデンティティや要求元システムの識別可能な状態(その他の行動属性が含まれる場合がある)などのポリシーによって判断されます。
  5. 企業は、所有および関連するすべてのシステムが可能なかぎり安全な状態になるようにし、その状態が維持されるようにシステムを監視します。
  6. ユーザー認証は動的で、アクセスが許可される前に厳密に実施されます。ユーザー認証では、アクセス、脅威のスキャンおよび評価、適応、継続的な認証が絶えず繰り返されます。

ゼロトラスト・セキュリティにはどのようなメリットがありますか?

リスクの軽減
セキュリティ・ファーストの設計原則によって、絶え間ない脅威からのリスクを軽減します。テナント分離の組込みや最小限のアクセス権限などのテクノロジもコンプライアンスやプライバシー規制に役立ちます。アイデンティティを適切に管理することで、組織はユーザーアクセスをより細かく制御できるようになります。このことは、内部および外部からの侵害のリスクの軽減につながります。

アクセスの制御
ゼロトラスト・セキュリティ・アプローチには、ユーザー情報の取得、ユーザー・アイデンティティの管理、およびアクセス権限の整理が含まれているため、組織内の個々のユーザーのシステムまたはネットワークへのアクセスを規制するのに役立ちます。

組織のセキュリティ・ポスチャの強化

  • アクセス/権限制御の誤用によるデータの露出
  • 認可されていないクラウドサービスの使用によるデータの損失
  • ネットワーク・ペリメータとクラウドサービス間のデータの移動に対する可視性の欠如
  • クラウドサービスを介して外部の第三者のユーザーと機密データを共有するユーザー
  • リモートユーザーおよび個人用デバイスからのデータの露出
  • アクティブなアカウント/権限を持っている元従業員などの内部関係者の悪意のあるアクティビティ
  • 承認されたクラウドサービスの不適切な使用によるデータの損失
  • 暗号化されていないデータ
  • 盗んだ資格情報を使用して従業員になりすました攻撃者
  • 正しく構成されていないオブジェクト・ストレージ・アカウント
ゼロトラストモデル

 

競争力の強化

標準のペリメータ・セキュリティ・アプローチからゼロトラストモデルに適応することで、組織は自動化、セキュリティ、ガバナンスを活用できるようになり、全体的な競争優位性とビジネスの敏捷性を向上させることができます。

ゼロトラスト・セキュリティのベスト・プラクティスとは何ですか?

ゼロトラスト・セキュリティ・モデルを目指す組織は、次のことを行う必要があります。

  • 現在のシステムを評価して状態を判断し、改善計画を作成します。組織は、アクセスを規制する場所を把握するために、まずデータを識別して優先順位を付ける必要があります。ゼロトラスト・セキュリティ・アプローチでは、データを保護する必要がありますが、それらのデータとは、知的財産、財務データ、顧客やスタッフの個人データ、またはそれら3つのすべての組合せ(むしろこちらの方が多い)であるかもしれません。
  • ポリシーに違反したデータへのアクセスの試行を検出し、異常なデータアクセスを識別します。ほぼすべてのアクティビティは繰り返し行われるため、異常はしばしばデータ盗難の試みを示す最先端の指標となります。ゼロトラスト・モデルに移行するには、ユーザー情報の取得、ユーザー・アイデンティティの管理、およびアクセス権限の整理が必要になります。
  • データへのアクセスを防止します。企業は、リソースとアクティビティを自動的に監視しないと、ユーザーおよびデータ侵害に脆弱になります。ゼロトラストにより、組織のユーザーおよびアクティビティに対する可視性を向上させることができます。

効果的なゼロトラスト・セキュリティ・モデルでは、次のことを実現できます。

  1. セキュリティを組み込んだセキュリティ・ファーストの設計原則によるリスクの軽減

        -  分離されたネットワーク仮想化
        -  細かい職務の分離
        -  最小限のアクセス権限

  1. 自動化されたセキュリティによる複雑さの軽減と人的エラーの防止

        -  脅威の軽減と修正の自動化

  1. 継続的な常時稼働中のセキュリティによるシームレスな保護

        -  デフォルトで有効になっているユビキタス暗号化
        -  ユーザーの行動の継続的なモニタリング
        -  コンテキスト対応アダプティブ認証