ゼロトラストセキュリティ: 包括的なガイド
「ゼロトラストとは、ネットワークが危険にさらされているとみなされる中で、情報システムやサービスにおいて、正確で最小限の権限によるリクエストごとのアクセス決定を実施する際の不確実性を最小化するために設計された概念とアイデアの集合体です。」
- 米国国立標準技術研究所(NIST)
サイバー脅威のない世界を想像してみてください。ハッカーや悪意のある内部関係者はおらず、データ漏洩もない、心配する必要がまったくない世界です。 そもそもセキュリティチームすら存在しない可能性もあります。
しかしそれは、脅威ベクトルが多数あり、攻撃対象領域が拡大していて、機密データが標的にされ、次のデータ侵害がすぐそこまで来ているという現状における領域ではありません。
幸いなことに、安全なアクセスは単なる夢物語ではありません。 ゼロトラストの原則を実装することで、自信を持って企業資産を保護し、今日の急速に進化するビジネス環境の障害を軽減できます。
ゼロトラストの重要性、ゼロトラストが企業のセキュリティにどのようなメリットをもたらすか、組織がゼロトラスト アーキテクチャに正常に移行するために何ができるかを学びましょう。
ゼロトラストとは何ですか?
元ForresterアナリストのJohn Kindervagは、2010年にゼロトラスト セキュリティの概念を開発しました。 彼はこれを、あらゆる接続、デバイス、ユーザが潜在的な脅威であり、そのように扱う必要があると想定するセキュリティモデルとして定義しました。
他のほとんどのサイバーセキュリティ戦略とは対照的に、暗黙の信頼を排除し、組織の内外を問わずすべてのユーザーが、ネットワークアクセスを許可される前に継続的に認証されることを要求します。 簡単に言うと、ゼロトラストとは次のようなものです。 役割や責任に関係なく、本質的に誰もが安全であると想定されていないセキュリティポリシー。
さらに、ゼロトラスト モデルはネットワークエッジの想定を拒否します。 今日の状況では、伝統的な境界線は今や一連のマイクロペリメータへと移行しています。 例えば、ネットワークには、ローカル、クラウド、あるいはその2つの組み合わせがあります。 さらに、リモートアクセスの台頭により、リソースがどこにあるのかほとんどわかりません。
したがって、ゼロトラスト アプローチは、現代のデータセキュリティの課題に対処するために特別に設計されており、いつでもどこでも重要な資産への安全なアクセスを保証します。 大まかに言うと、ゼロトラスト ネットワークは次のことを行います。
- すべてのトラフィックをログに記録して検査し、不審なアクティビティと潜在的な脅威ベクトルを特定します
- ユーザーのアクセスを制限および制御し、ユーザーの身元が確認された後にのみリクエストを許可します
- 企業資産を検証して保護し、不正なアクセスや漏洩を防止します
なぜゼロトラストが重要なのか
企業は、社内と社外の両方で、前例のない量のサイバー脅威に直面しています。 サイバー犯罪者はその取り組みを大幅に強化しており、今や容赦ないペースで機密データをターゲットにしています。
実際、2023年末時点で、1つの組織につき毎週平均1,000回以上の攻撃が行われています。 2023年には、世界の10社に1社がランサムウェア攻撃の試みの対象となっており、前年比で33%増となっています。
当然のことながら、サイバー犯罪者は少しも手を緩めていません。 PwCのデータによると、経営幹部の43%が、サイバーリスクの軽減を、デジタルリスクおよびテクノロジーリスクに次ぐリスク軽減の優先事項としています。
事態をさらに複雑にしているのは、組織が近年、リモートワークやハイブリッドワークポリシーを急速に採用していることです。 これにより、企業ネットワークに接続する管理対象外の個人デバイスが急増し、企業の攻撃対象領域が増大しました。
これらのエンドポイントが保存およびアクセスする機密データを保護したり監視したりする機能がないため、組織はこれまで以上にデータ侵害のリスクにさらされています。 脅威に対する不十分な防御の大きな代償を考慮すれば、これは特に重要なことです。 IBMの報告によると、1件のデータ侵害の平均コストは450万ドルです。 ただし、ゼロトラスト セキュリティモデルを実装していれば、インシデントごとに100万ドル以上を節約できます。
企業はデジタル変革に関連するリスクも考慮する必要があります。 オフプレミスのクラウドベースのアプリケーションへの依存度が高まるにつれ、企業はアクセス制御とセキュリティポリシーの適用のための新しい洗練された戦略を実装する必要があります。
ゼロトラストは従来のサイバーセキュリティとどう違うのでしょうか?
従来の戦略は、「信頼するが検証する」というアプローチを採用しています。 言い換えれば、企業のファイアウォールの内側にあるものはすべて本質的に安全であると想定しているのです。
ゼロトラストセキュリティは、名前が示すように、その逆のことを行います。 「決して信頼せず、常に検証する」という視点でアクセスポリシーを組み立てるのです。 リクエストの発信元や使用目的のリソースに関係なく、ゼロトラスト環境では、必ずネットワークアクセスを許可する後ではなく前に、完全に認証、認可、暗号化が行われます。
したがって、デフォルトでは企業リソースにアクセスできません。 従業員は、さまざまな状況要因によって決定される、適切な状況下でのみそれらを使用できます。 これらには、ユーザーID、組織での役割、要求されたリソースの機密性、使用中のデバイスなどが含まれます。
ゼロトラストフレームワークの主要コンポーネント
米国国立標準技術研究所(NIST)の特別出版物800-207で概説されている通り、ゼロトラスト アプローチは、いくつかの中心的な哲学に基づいています。 基本的に、この独自のセキュリティポリシーには3つのゼロトラスト原則が不可欠です。
- 継続的認証: これは、許容可能なリスクレベルに基づいて安全なアクセスを許可する手段を指します。 ゼロトラストアプローチに合わせて、ID、場所、デバイス、サービス、ワークロード、データ分類などに基づいてユーザを承認する必要があります。 このコンテキスト分析の後、ユーザーは接続を許可されるか、別の認証チャレンジを介して追加情報の提供についてプロンプトされるか、リスクが非常に高い場合はブロックされます。
- 侵害の想定: 組織は常にデータ侵害を想定する必要があります。 つまり、攻撃領域を削減または制限するためにネットワークを細かいレベルで継続的にセグメント化し、エンドツーエンドのトラフィックを検証し、ユーザアクティビティの可視性を最大限に高める必要があります。 これにより、脅威の検出を推進し、異常を特定し、常に防御を強化できるようになります。
- 最小限の特権アクセス: アクセスは、ジャストインタイムおよび十分なアクセス制御ポリシーに基づいて制限される必要があります。 言い換えれば、ユーザおよび/またはデバイスは自分の仕事を実行し、重要なタスクを完了するために必要なリソースを使用する権限のみを持つ必要があります。
ゼロトラストの5つの柱またはリスク領域
2021年に、サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、ゼロトラストを実装する連邦政府機関に指針を提供するためのロードマップを作成しました。 この文書は、ゼロトラスト成熟度モデルとして知られており、組織は、以下のリスク領域に関する独自のゼロトラスト実践を設計し、実施するための多くのパスの1つとして活用することができます:
- ID: この領域では、ネットワークアクセスを許可する前にユーザーとデバイスを検証して承認することに重点を置いています。 これには、IDおよびアクセス管理(IAM)ソリューションまたは多要素認証(MFA)の実装が含まれる場合があります。
- デバイス: 企業ネットワークに接続されているすべてのデバイス(IoTから個人のモバイルデバイスまで)が、悪用され、機密データが侵害される可能性があります。 この柱には、すべての接続のインベントリを作成し、脅威を迅速に検出するために接続の整合性を監視することが含まれます。
- ネットワーク: ゼロトラスト ネットワークは、場所やリソースに関係なくすべてのトラフィックを保護し、ネットワーク自体をセグメント化して横方向の移動を制限します。
- アプリケーションとワークロード: この柱には、アプリケーションレベルのアクセスポリシーやその他のメカニズムを通じて、オンプレミスおよびクラウド ベースのワークロードを保護することが含まれます。
- データ: 保存中、使用中、移動中のすべてのデータは暗号化され、監視され、不正な開示を防ぐために保護されます。
1回で完了するゼロトラストソリューションやベンダーなどというものは存在しないことを知っておくことが重要です。 ゼロトラストは、テクノロジーだけでなく、文化的な転換とマインドセットでもあります。 テクノロジーに関しては、企業はさまざまなツールを必要としており、多くの場合、ZTA(Zero Trust Architecture)を形成するために階層化されます。
大まかに言うと、これらのテクノロジーには次のようなものがあります。
- 行動バイオメトリクス
- リスクベースの適応型認証
- マイクロセグメンテーション
- コンテキストアウェアネス
- シングル サインオン(SSO)
- パスワードレスログイン
ゼロトラストアーキテクチャの利点
ゼロトラストという言葉はかなり以前からありますが、それをどのように実施すべきかという実際の方向性はまだかなり新しいものです。 しかし、多くの組織がその原則に真っ先に飛び込もうと準備を進めています。 実際、2024 State of Zero Trust & Encryption Studyによると、Ponemon Instituteの調査対象となった組織の61%が、自社のゼロトラストの旅を始めています。 さらに、ガートナーは、2026年までに、大企業の少なくとも10%が成熟した測定可能なゼロトラスト アーキテクチャを導入すると予想しています。
利点を考慮すると、その理由が明らかになります。 堅牢なゼロトラスト セキュリティポリシーにより、次のことが可能になります。
- 従来のネットワークセキュリティを超えて、暗黙の信頼を最小限に抑えることで、組織のリスクを軽減します
- 機密データを保護し、脅威ベクトルを軽減することでコンプライアンスをサポートします
- アプリケーションレベルのアクセス制御でマルチクラウドおよびハイブリッドクラウド展開を保護します
- VPNを置き換えまたは強化して、リモートアクセスと暗号化を強化します
- 従業員を迅速にオンボードし、攻撃対象領域が十分に防御されているという自信を持ってビジネスを拡大します
ゼロトラストをどのように実装しますか?
一般的に、実装プロセスはいくつかの基本的な手順に分類できます。
- 保護面を特定する: 言い換えると、ハッカーが標的とする可能性のあるすべての重要な資産(エンドポイント、ユーザー、アプリケーション、サーバー、データセンターなど)を評価します。
- データの保存場所とその流れをマッピングする: これにより、ネットワーク トランザクションを検査および検証して、適切なユーザーとアプリケーションのみが適切な資産にアクセスできるようにすることができます。
- IDファーストのアプローチを取る: 従来のセキュリティ境界線がなくなり、IDが新たな境界線となり、データセキュリティの最前線となっています。 したがって、証明書ベースのテクノロジーやIDおよびアクセス管理のテクノロジーは、重要な資産が悪者の手に渡らないようにするための鍵となります。
- 監視、維持、改善: 環境を継続的に監視すれば、リスク検出が合理化されるだけでなく、脆弱性を積極的に特定し、リアルタイムで軽減することもできます。 鍵、証明書、シークレットのようなクレデンシャルには、ライフサイクル管理と自動化が必要不可欠です。
ゼロトラストの実施には時間がかかり、障害がないわけではないことに留意すべきです。 幅広いポリシー、手順、テクノロジーが必要となるため、このプロセスには複数年かかることがよくあります。
さらに、多くの古いツールが機能しない、または一部のゼロトラスト原則に対応していないため、レガシーシステムは別の困難な課題を引き起こします。 既存のセキュリティ管理の置き換えとテクノロジーの最新化は高価なプロセスになる可能性があり、財政上の制約によりさらなる障壁が生じる可能性があります。
これらの要因を考慮すると、段階的かつ反復的なアプローチを取ることが最善です。 時間をかけて少しずつ変更することで、セキュリティ体制は時間の経過とともに改善され、強化されていきます。
詳細については、このゼロトラストを実装する方法のガイドを確認してください。
Entrustがゼロトラストへの取り組みをどのようにサポートできるか
Entrustでは、ゼロトラストがエンタープライズサイバーセキュリティのベストプラクティスであることを認識しています。 そのため、当社はゼロトラストアーキテクチャを開発するための強力な基盤を提供できるソリューションのポートフォリオを開発しました。
まとめると、当社のソリューションは基本をカバーし、次の3つの重要なコンポーネントにわたってお客様を保護できるように設計されています。
- フィッシング耐性のあるID: 認証情報の盗難と侵害は、データ侵害の最も一般的な根本原因の2つです。 MFA、パスワードレスセキュリティ、適応制御ポリシー、生体認証、その他のツールを組み合わせて、IDベースの攻撃のリスクを軽減します。
- 重要インフラを保護する: データは常にパブリックネットワークやプライベートネットワーク上を移動しており、アクセスしようとするユーザやマシンの数は増加しているため、これらの接続やエンティティを保護する必要があります。 デジタル証明書は、強固なID、暗号化、署名を提供し、アクセス制御を実施することで、成熟したレジリエントなセキュリティ対策を実現するための重要なコンポーネントです。
- 安全なデータ: 当社のポートフォリオは、分散型の主要インフラストラクチャを維持しながら、保管中、使用中、移動中のデータを暗号化します。 これにより、機密性、完全性、安全なアクセスが保証されると同時に、厳格なコンプライアンス要件も満たされます。
当社は単なるプロバイダーではなく、あらゆる段階でお客様のパートナーです。