ゼロトラストセキュリティという考え方は、2010 年に Forrester により紹介されました。しかし、それはセキュリティ産業の人達が期待したほどは、広く採用されていません。ただし、変わって行くかも知れません。サイバー犯罪者からの脅威が、ビジネスへの違反のコストと合わせて年々高まるにつれ、ますます多くの組織がゼロトラストモデルの実装を達成しようとしています。それを自社のビジネスに実装するために必要な、核となる情報は以下の通りです。
ゼロトラストは、どんなテクノロジーよりも、発想の転換に関わっています。発想を転換したら、ゼロトラストを実装するためのテクニカルソリューションを評価することができます。会社、—そして、特にその会社の IT 組織—が採択する必要がある 4 つの原則は以下の通りです。
このことは、おそらく、最も大きい発想の転換です。従来から、IT 部門は組織の外周に重点を置いて、侵入の防止を図ってきました。これは、組織内部の人間は、概して安全であるという考え方です。そのため、ファイヤーウォール内側の問題の検証、または検知には、あまり力を入れません。これは、セキュリティに対する「城と堀」型アプローチと呼ばれることがあります。
今は、この考え方を変えるときです。ゼロトラスト環境では、脅威は、外部と同様に内部からも発生するということを前提とします。それは、犯罪者が、すでに自社の組織に潜入しているかも知れないからです。それとも、悪人がいるかも知れません。いずれにしても、組織の内部で発生することに焦点を合わせ、内部からの攻撃を防止することは、外部からの攻撃と同様に重要です。
このことは、2 番目の原則、すなわちマイクロセグメンテーションを導きます。このアプローチでは、組織のファイヤーウォール内側のエリアさえも壁で遮るか、または他から分断します。たとえば、マーケッティング部門は自分たちが使用するツールやデータ、すなわち顧客情報や Salesforce のようなアプリなどへのアクセスが得られます。しかし、彼らは財務データや経理部門が使用するツールにはアクセスできません。また、製品 IP や開発チームが使用するソフトウェアにもアクセスできません。
マイクロセグメンテーションに縛られるということは、最小権原アクセスの考え方です。すなわち、たとえ部門内でも、ユーザーを必要最小限の情報とアクセスに限定します。それは、単に財務に従事する社員が、顧客や自社のすべての財務データにアクセスする必要があるわけではないからです。ユーザーの役割に応じて、彼女または彼は、顧客のデータのセットを選択するためにアクセスする必要があるだけかも知れません—または顧客の財務情報にはまったくアクセスしないかも知れません。
アクセスを、必要のあるものだけに制限することにより、ハッカーが、なんとか、あるユーザーの ID になりすましたとしても、相手は限られた量の被害しか及ぼすことができません。
このことをすべて実行するために、組織はモデルを転換し、ゼロトラストアプローチと呼ばれる方法を適用する必要があります。ユーザーを、決して文字通りには信頼しません。そうではなく、必ずユーザーの ID とアクセスレベルを検証します。決して信頼せず、必ず検証することは、自社の組織に潜入した犯罪者やプログラムを、機密情報へのアクセスを得たり、被害を及ぼす前に阻止するチャンスを広げます。
ゼロトラスト原則を専門的な目で見れば、実際の実装にはいくつかの変更があることに気付くかも知れません。たとえば、セキュリティには決して信頼しない/必ず検証するというアプローチが求められる中で、検証を続けることはユーザーにとって比較的面倒ではないという錯覚があります。城の比喩に戻るなら、鍵を使って解錠する必要がある門があちこちにあるとすれば、人々の日々の生産性は本当に影響を受けます。
同じように、役割というものは、完全に明快ではないことは誰にも分かっています。一部のユーザーは、その役割に基づくデフォルト設定では割り当てられないアプリケーションまたはデータに、アクセスする必要があるようになります。すなわち、アプリに、「必要に応じて」の原則でユーザーをプロビジョニングまたはプロビジョニング解除する、高速な方法が必要です。
そのため、ゼロトラストセキュリティには、以下の中核的な 4 つのツールがあります。
以上です。これらが、ゼロトラストに移行する場合に、最初に考慮する 4 つの原則と 4 つのツールです。
English
Français
Deutsch
ログイン