ゼロトラストセキュリティに到達する方法

必要な 4 つの原則と 4 つのツール

ゼロトラストセキュリティ

ゼロトラストセキュリティという考え方は、2010 年に Forrester により紹介されました。しかし、それはセキュリティ産業の人達が期待したほどは、広く採用されていません。ただし、変わって行くかも知れません。サイバー犯罪者からの脅威が、ビジネスへの違反のコストと合わせて年々高まるにつれ、ますます多くの組織がゼロトラストモデルの実装を達成しようとしています。それを自社のビジネスに実装するために必要な、核となる情報は以下の通りです。

4 つの原則

ゼロトラストは、どんなテクノロジーよりも、発想の転換に関わっています。発想を転換したら、ゼロトラストを実装するためのテクニカルソリューションを評価することができます。会社、—そして、特にその会社の IT 組織—が採択する必要がある 4 つの原則は以下の通りです。

脅威は外部からと同時に内部から発生する

このことは、おそらく、最も大きい発想の転換です。従来から、IT 部門は組織の外周に重点を置いて、侵入の防止を図ってきました。これは、組織内部の人間は、概して安全であるという考え方です。そのため、ファイヤーウォール内側の問題の検証、または検知には、あまり力を入れません。これは、セキュリティに対する「城と堀」型アプローチと呼ばれることがあります。

Internal and external cyber threats

今は、この考え方を変えるときです。ゼロトラスト環境では、脅威は、外部と同様に内部からも発生するということを前提とします。それは、犯罪者が、すでに自社の組織に潜入しているかも知れないからです。それとも、悪人がいるかも知れません。いずれにしても、組織の内部で発生することに焦点を合わせ、内部からの攻撃を防止することは、外部からの攻撃と同様に重要です。

マイクロセグメンテーションを使用します

このことは、2 番目の原則、すなわちマイクロセグメンテーションを導きます。このアプローチでは、組織のファイヤーウォール内側のエリアさえも壁で遮るか、または他から分断します。たとえば、マーケッティング部門は自分たちが使用するツールやデータ、すなわち顧客情報や Salesforce のようなアプリなどへのアクセスが得られます。しかし、彼らは財務データや経理部門が使用するツールにはアクセスできません。また、製品 IP や開発チームが使用するソフトウェアにもアクセスできません。

Micro-segmentation

最小権限アクセス

マイクロセグメンテーションに縛られるということは、最小権原アクセスの考え方です。すなわち、たとえ部門内でも、ユーザーを必要最小限の情報とアクセスに限定します。それは、単に財務に従事する社員が、顧客や自社のすべての財務データにアクセスする必要があるわけではないからです。ユーザーの役割に応じて、彼女または彼は、顧客のデータのセットを選択するためにアクセスする必要があるだけかも知れません—または顧客の財務情報にはまったくアクセスしないかも知れません。

アクセスを、必要のあるものだけに制限することにより、ハッカーが、なんとか、あるユーザーの ID になりすましたとしても、相手は限られた量の被害しか及ぼすことができません。

決して信用しない、必ず検証する

このことをすべて実行するために、組織はモデルを転換し、ゼロトラストアプローチと呼ばれる方法を適用する必要があります。ユーザーを、決して文字通りには信頼しません。そうではなく、必ずユーザーの ID とアクセスレベルを検証します。決して信頼せず、必ず検証することは、自社の組織に潜入した犯罪者やプログラムを、機密情報へのアクセスを得たり、被害を及ぼす前に阻止するチャンスを広げます。

ゼロトラストセキュリティ用ツール

ゼロトラスト原則を専門的な目で見れば、実際の実装にはいくつかの変更があることに気付くかも知れません。たとえば、セキュリティには決して信頼しない/必ず検証するというアプローチが求められる中で、検証を続けることはユーザーにとって比較的面倒ではないという錯覚があります。城の比喩に戻るなら、鍵を使って解錠する必要がある門があちこちにあるとすれば、人々の日々の生産性は本当に影響を受けます。

同じように、役割というものは、完全に明快ではないことは誰にも分かっています。一部のユーザーは、その役割に基づくデフォルト設定では割り当てられないアプリケーションまたはデータに、アクセスする必要があるようになります。すなわち、アプリに、「必要に応じて」の原則でユーザーをプロビジョニングまたはプロビジョニング解除する、高速な方法が必要です。

そのため、ゼロトラストセキュリティには、以下の中核的な 4 つのツールがあります。

  • SSO—シングルサインオン (SSO) は、ユーザーに、単純なパスワードを始めとする信用情報を使用して一度サインインすれば、使用するすべての Web アプリへのアクセスが得られる機能をもたらします。適切なツールを使用すれば、SSO はオンプレミスのレガシーアプリケーションへのアクセスにも、シングルサインオンを可能にします。SSO はパスワードを排除することによりセキュリティを強化し、一方使いやすさとユーザーの満足度を高めます。
  • MFA—多要素認証 (MFA) はすべての組織が使用すべき重要なツールです。MFA は、ユーザーがログインしようとする際に、追加の要素を要求します。たとえば、ユーザーは、ユーザー名やパスワードの入力に加えて、モバイルアプリからの PIN または認証を入力することを要求される場合があります。
    実際、セキュリティにはパスワードだけでは十分ではありません。MFA が必要です。ただし、MFA は SSO と組み合わせる必要があります。さもなければ、ユーザーがログインするためにより多くの手順が追加されますが、一方ユーザーは依然として 1 日に何回もログインすることも求められます。
  • 高速プロビジョニングシステム—ゼロトラストに移行すると、アプリケーションに、ユーザーを素早くプロビジョニングおよびプロビジョニング解除できるシステムが必要になります。ユーザーは、定期的に例外とする必要があることを除いて、最小限のアクセス権限しか与えられないからです。そのため、現行のプロビジョニングシステムが時間がかかると、ゼロトラストに移行した場合に事態は悪化するばかりです。
  • デバイス保護—ユーザーがログインに使用するデバイスは、防御の最前線であり、攻撃の焦点、すなわちエンドポイントです。そのため、危険をソースで相殺する、デバイスを保護し、監視するツールを求めます。

以上です。これらが、ゼロトラストに移行する場合に、最初に考慮する 4 つの原則と 4 つのツールです。

関連リソース:

「問題:一般的なサイバー攻撃の名前を挙げることができますか?」

最も一般的なサイバー攻撃の名前を挙げることができますか?問題に回答して、本当に、どれだけサイバーの知識があるか理解してください。

回答してください

お客様の会社のエンタープライズパスワードマネージャーは適格ですか?

すべての企業のパスワードマネージャーが、同じように作られているわけではありません。お客様の会社のパスワードマネージャーは基準に達していますか?

詳しい情報