メインコンテンツまでスキップ
画像
紫色の六角形のパターン

“Zero Trust is a collection of concepts and ideas designed to minimize uncertainty in enforcing accurate, least privilege per-request access decisions in information systems and services in the face of a network viewed as compromised.” - National Institute of Standards and Technology (NIST)

サイバー脅威のない世界を想像してみてください。

ハッカーや悪意のある内部関係者はおらず、データ漏洩もない、心配する必要がまったくない世界です。 そもそもセキュリティチームすら存在しない可能性もあります。

残念ながら、私たちは完璧な世界に住んでいるわけではありません。また、あなたの機密データも完璧な世界にはありません。 実際には、脅威ベクトルは多数あり、攻撃対象領域は拡大しており、次のデータ侵害はすぐそこまで来ています。

幸いなことに、安全なアクセスは単なる夢物語ではありません。 ゼロトラスト フレームワークを使用すると、自信を持って企業資産を保護し、今日の急速に進化するビジネス環境の障害を軽減できます。

ゼロトラストの重要性、ゼロトラストが企業のセキュリティにどのようなメリットをもたらすか、組織がゼロトラスト アーキテクチャに正常に移行するために何ができるかを学びましょう。

ゼロトラストとは?

元ForresterアナリストのJohn Kindervagは、2010年にゼロトラスト セキュリティの概念を開発しました。 彼はこれを、あらゆる接続、デバイス、ユーザーが潜在的な脅威であり、そのように扱う必要があると想定するフレームワークとして定義しました。

他のほとんどのサイバーセキュリティ戦略とは対照的に、暗黙の信頼を排除し、組織の内外を問わずすべてのユーザーが、ネットワークアクセスを許可される前に継続的に認証されることを要求します。 簡単に言うと、ゼロトラストとは次のようなものです。 役割や責任に関係なく、本質的に誰もが安全であると想定されていないセキュリティポリシー。

さらに、ゼロトラスト モデルはネットワークエッジの想定を拒否します。 今日のポスト境界環境では、ネットワークは従来の境界をはるかに超えて拡張されており、ローカル、クラウド、またはその2つの組み合わせに存在することができます。 さらに、リモートアクセスの台頭により、リソースがどこにあるのかほとんどわかりません。

したがって、ゼロトラスト アプローチは、現代のデータセキュリティの課題に対処するために特別に設計されており、いつでもどこでも重要な資産への安全なアクセスを保証します。 大まかに言うと、ゼロトラスト ネットワークは次のことを行います。

  • すべてのトラフィックをログに記録して検査し、不審なアクティビティと潜在的な脅威ベクトルを特定します
  • ユーザーのアクセスを制限および制御し、ユーザーの身元が確認された後にのみリクエストを許可します
  • 企業資産を検証して保護し、不正なアクセスや漏洩を防止します

Why Zero Trust Matters

企業は、社内と社外の両方で、前例のない量のサイバー脅威に直面しています。 サイバー犯罪者はその取り組みを大幅に強化しており、今や容赦ないペースで機密データをターゲットにしています。

実際、2021年末までに、1つの組織につき毎週900以上の攻撃が行われています。 さらに悪いことに、2022年にはハッカーによる企業ネットワークへの攻撃の頻度が前年よりも50%増加しました。

当然のことながら、サイバー犯罪者は少しも手を緩めていません。 PwCのデータによると、組織幹部の3分の2が、サイバー犯罪が当面の最も重大な脅威であると考えています。 またほぼ半数(45%)が、今後ランサムウェア攻撃がさらに増加すると予想しています。

事態をさらに複雑にしているのは、組織が近年、リモートワークやハイブリッドワークポリシーを急速に採用していることです。 これにより、企業ネットワークに接続する管理対象外の個人デバイスが急増し、企業の攻撃対象領域が増大しました。

これらのエンドポイントが保存およびアクセスする機密データを保護したり監視したりする機能がないため、組織はこれまで以上にデータ侵害のリスクにさらされています。 脅威に対する不十分な防御の大きな代償を考慮すれば、これは特に重要なことです。 IBMの報告によると、1件のデータ侵害の平均コストは450万ドルです。 ただし、ゼロトラスト セキュリティモデルを実装していれば、インシデントごとに100万ドル以上を節約できます。

企業はデジタル変革に関連するリスクも考慮する必要があります。 オフプレミスのクラウドベースのアプリケーションへの依存度が高まるにつれ、企業はアクセス制御とセキュリティポリシーの適用のための新しい洗練された戦略を実装する必要があります。

ゼロトラストは従来のサイバーセキュリティとどう違うのでしょうか?

従来の戦略は、「信頼するが検証する」というアプローチを採用しています。 言い換えれば、企業のファイアウォールの内側にあるものはすべて本質的に安全であると想定しているのです。

ゼロトラストセキュリティは、名前が示すように、その逆のことを行います。 「決して信頼せず、常に検証する」という視点でアクセスポリシーを組み立てるのです。 リクエストの発信元や使用目的のリソースに関係なく、ゼロトラスト環境では、必ずネットワークアクセスを許可する後ではなく前に、完全に認証、認可、暗号化が行われます。

したがって、デフォルトでは企業リソースにアクセスできません。 従業員は、さまざまな状況要因によって決定される、適切な状況下でのみそれらを使用できます。 これらには、ユーザーID、組織での役割、要求されたリソースの機密性、使用中のデバイスなどが含まれます。

ゼロトラストフレームワークの主要コンポーネント

米国国立標準技術研究所(NIST)の特別出版物800-207で概説されている通り、ゼロトラスト アプローチは、いくつかの中心的な哲学に基づいています。 基本的に、この独自のセキュリティポリシーには3つのゼロトラスト原則が不可欠です。

  • 継続的認証: これは、許容可能なリスクレベルに基づいて安全なアクセスを許可する手段を指します。 ゼロトラスト アプローチに合わせて、ID、場所、デバイス、サービス、ワークロード、データ分類などに基づいてユーザーを承認する必要があります。 このコンテキスト分析の後、ユーザーは接続を許可されるか、別の認証チャレンジを介して追加情報の提供についてプロンプトされるか、リスクが非常に高い場合はブロックされます。
  • 影響範囲を制限する: 組織は常にデータ侵害を想定する必要があります。 つまり、ネットワークを細かいレベルで継続的にセグメント化し、エンドツーエンドのトラフィックを検証し、ユーザー アクティビティの可視性を最大限に高める必要があります。 これにより、脅威の検出を推進し、異常を特定し、常に防御を強化できるようになります。
  • 最小限の特権アクセス: ユーザーのアクセスは、ジャストインタイムおよび十分なアクセス制御ポリシーに基づいて制限される必要があります。 言い換えれば、ユーザーは自分の仕事を実行し、重要なタスクを完了するために必要なリソースを使用する権限のみを持つ必要があります。

ゼロトラスト成熟度モデルの5つの柱

2021年に、サイバーセキュリティ インフラストラクチャセキュリティ庁(CISA)は、ゼロトラストを実装するためのロードマップを作成しました。 この文書は、ゼロトラスト成熟度モデルとして知られており、組織が次の5つの核となる柱全体にわたってゼロトラストの原則を最適な形で適用する方法について説明しています。

  • ID: この領域では、ネットワークアクセスを許可する前にユーザーとデバイスを検証して承認することに重点を置いています。 これには、IDおよびアクセス管理(IAM)ソリューションまたは多要素認証(MFA)の実装が含まれる場合があります。
  • デバイス: 企業ネットワークに接続されているすべてのIoTおよびその他のデバイスが悪用されて、機密データが侵害される可能性があります。 この柱には、すべての接続のインベントリを作成し、脅威を迅速に検出するために接続の整合性を監視することが含まれます。
  • ネットワーク: ゼロトラスト ネットワークは、場所やリソースに関係なくすべてのトラフィックを保護し、ネットワーク自体をセグメント化して横方向の移動を制限します。
  • アプリケーションとワークロード: この柱には、アプリケーションレベルのアクセスポリシーやその他のメカニズムを通じて、オンプレミスおよびクラウド ベースのワークロードを保護することが含まれます。
  • データ: 保存中、使用中、移動中のすべてのデータは暗号化され、監視され、不正な開示を防ぐために保護されます。

1回で完了するゼロトラスト ソリューションなどというものは存在しないことを知っておくことが重要です。 より正確に言えば、企業はさまざまな階層化されたツールとテクノロジーを必要としています。 これらの機能を組み合わせて使用すると、ゼロトラスト アーキテクチャ(ZTA)が形成されます。

大まかに言うと、これらのテクノロジーには次のようなものがあります。

  • 行動バイオメトリクス
  • リスクベースの適応型認証
  • マイクロセグメンテーション
  • コンテキストアウェアネス
  • シングル サインオン(SSO)
  • パスワードレスログイン
画像
ゼロトラスト フレームワーク

ゼロトラストアーキテクチャの利点

ゼロトラストはまだ初期段階にありますが、多くの組織がその原則に真っ先に取り組む準備を整えています。 実際には、CISOの36%がすでにゼロトラストの導入を開始しており、さらに25%が近い将来導入を計画していると回答しています。 さらに、ガートナーは、2026年までに、大企業の少なくとも10%が成熟した測定可能なゼロトラスト アーキテクチャを導入すると予想しています。

利点を考慮すると、その理由が明らかになります。 堅牢なゼロトラスト セキュリティポリシーにより、次のことが可能になります。

  • 従来のネットワークセキュリティを超えて、暗黙の信頼を最小限に抑えることで、組織のリスクを軽減します
  • 機密データを保護し、脅威ベクトルを軽減することでコンプライアンスをサポートします
  • アプリケーションレベルのアクセス制御でマルチクラウドおよびハイブリッドクラウド展開を保護します
  • VPNを置き換えまたは強化して、リモートアクセスと暗号化を強化します
  • 従業員を迅速にオンボードし、攻撃対象領域が十分に防御されているという自信を持ってビジネスを拡大します

ゼロトラストをどのように実装しますか?

一般的に、実装プロセスはいくつかの基本的な手順に分類できます。

  1. 保護面を特定する: 言い換えると、ハッカーが標的とする可能性のあるすべての重要な資産(エンドポイント、ユーザー、アプリケーション、サーバー、データセンターなど)を評価します。
  2. トラフィックの流れをマッピングする: これにより、ネットワーク トランザクションを検査および検証して、適切なユーザーとアプリケーションのみが適切な資産にアクセスできるようにすることができます。
  3. IAMポートフォリオに投資する: ユーザーIDは現在、データセキュリティの最前線にあります。 したがって、IDおよびアクセス管理のテクノロジーは、資格情報が悪者の手に渡らないようにするための鍵となります。
  4. 監視、維持、改善: 環境を継続的に監視すれば、リスク検出が合理化されるだけでなく、脆弱性を積極的に特定し、リアルタイムで軽減することもできます。

ゼロトラストへの取り組みに着手したいと考えている組織は、まず一連の障害を克服する必要があることに注意してください。 幅広いポリシー、手順、テクノロジーが必要となるため、このプロセスには複数年かかることがよくあります。

さらに、多くの古いツールが機能しない、または一部のゼロトラスト原則をサポートできないため、レガシーシステムは別の困難な課題を引き起こします。 既存のセキュリティ管理の置き換えとテクノロジーの最新化は高価なプロセスになる可能性があり、財政上の制約によりさらなる障壁が生じる可能性があります。

これらの要因を考慮すると、段階的なアプローチを取ることが最善です。 フレームワークを段階的に導入すると、新しいツールの導入(または古いシステムのオーバーホールの可能性)の負担が軽減されます。

Check out this guide for more details on how to implement Zero Trust.

Entrustがゼロトラストへの取り組みをどのようにサポートできるか

エントラストでは、ゼロトラストがエンタープライズ サイバーセキュリティの次の進化であることを認識しています。 そのため、当社はゼロトラスト アーキテクチャの基盤を築くことができるIAMソリューションのポートフォリオを開発しました。

まとめると、当社のソリューションは基本をカバーし、次の3つの重要なコンポーネントにわたってお客様を保護できるように設計されています。

  • フィッシング耐性のあるID: 認証情報の盗難と侵害は、データ侵害の最も一般的な根本原因の2つです。 MFA、パスワードレスセキュリティ、適応制御ポリシー、生体認証、その他のツールを組み合わせて、IDベースの攻撃のリスクを軽減します。
  • 安全な接続: データは、パブリックネットワークとプライベートネットワーク間を絶えず移動し、管理されていないエンドポイントを経由して、アクセスを許可されていないユーザーの手に渡ります。 これらの接続をデジタル証明書で保護し、適切なユーザーだけが適切な情報にだけアクセスできるようにします。
  • 安全なデータ: 当社のポートフォリオは、分散型の主要インフラストラクチャを維持しながら、保管中、使用中、移動中のデータを暗号化します。 これにより、機密性、完全性、安全なアクセスが保証されると同時に、厳格なコンプライアンス要件も満たされます。

当社は単なるプロバイダーではなく、あらゆる段階でお客様のパートナーです。

当社のゼロトラストソリューションと、Entrustが今日のID、接続、データの保護をどのようにお手伝いできるかの詳細をご確認ください。