データ侵害が一般的になり、企業の機密情報が重大な侵害を受けようとしている今、サイバーセキュリティのベストプラクティスはこれまで以上に必要になっています。何年もの間、企業は、信頼できるネットワークインフラ、ユーザー、デバイスを含む信頼の仮想的な境界に基づいてサイバーセキュリティをモデル化してきました。
残念ながら、このサイバーセキュリティモデルはサイバー犯罪者や攻撃者によって長年にわたって悪用されています。リスクのないエコシステムを実現する、抜け穴 (多数のデバイス、デジタルタッチポイント、ユーザーなど) を残さない堅ろうなサイバーセキュリティシステムが直ちに必要であることは間違いありません。そこで役に立つのがゼロトラストモデルです。
では、ゼロトラストセキュリティ概念を企業で実現するにはどうすればよいでしょうか。この完全ガイドでは、ゼロトラストの意味とその仕組みについて説明します。
目次
ゼロトラストの意味
ゼロトラストネットワークとは
ゼロトラストの仕組み
ゼロトラストセキュリティの原則
ゼロトラストアーキテクチャとは
ゼロトラストテクノロジー
ゼロトラストが重要である理由
ゼロトラストセキュリティの実装方法
ゼロトラストセキュリティの利点
ゼロトラストセキュリティの課題
結論
ゼロトラストは、「何も信頼せず、すべてを検証する」という概念に由来するセキュリティ理念を指します。サイバーセキュリティアプローチでは、企業が確認および認証済みの安全なユーザー、システム、ネットワーク、プロセスにのみアクセス権を付与するようにします。これにより、攻撃者がアクセス権を得て、損害を及ぼすのを防止します。ランサムウェアのような新たに出現し続ける脅威も防御できます。
ゼロトラストは、ネットワーク境界の内外を問わず、プライベートネットワークのリソースにアクセスしようとするすべてのデバイスまたはユーザーについて厳格な ID 検証を要求する、比較的新しい IT セキュリティモデルです。
ゼロトラストに関連する主なテクノロジーはゼロトラストネットワークアクセス (ZTNA) ですが、フレームワークはネットワークセキュリティに対する包括的なアプローチであり、複数の異なるテクノロジーと原則が組み込まれています。
簡単に言えば、従来の IT ネットワークセキュリティはネットワーク内部のユーザーとデバイスを信頼しますが、ゼロトラストアーキテクチャは何も、そして誰も信頼しません。
従来の IT ネットワークセキュリティでは、外部からのアクセスが困難な一方、デフォルトではネットワークが全員を信頼するという城と堀の概念を使用していました。ただし、悪意のある攻撃者がアクセスを取得し、ネットワーク内部のすべてのものを自由に制御できるようになると、問題が発生しました。
ゼロトラストセキュリティモデルの中心にあるのは、企業のネットワーク、システム、IT インフラに対する考え方のパラダイムシフトです。以前のモデルでは、すべてのサーバー、コンピュータ、その他のデバイスは、同じネットワーク内に存在し、互いを信頼していました。
IT チームは、ウイルス対策やファイアウォールなどのセキュリティツールを設定していました。これらは仮想境界の外部にあるものを悪とみなし、内部にあるすべてのものを善とみなし、追加の調査を行いません。しかしながら、モバイルデバイス、リモートワーク、クラウドサービスの急増が、こうした前提に根本的な課題を突き付けています。現在、企業はもはやデータを 1 か場所に保存していません。データは複数のサーバーとクラウドベンダーに分散され、ネットワーク全体に対するプライマリセキュリティ制御を難しくしています。
今日の企業は、従業員が使用するすべてのデバイスを物理的に制御できなくなっています。さらに、たとえネットワーク内のすべてのデバイスを制御できたとしても、古いモデルは決して安全ではありませんでした。いったん攻撃者が企業に侵入し、境界防御をリモートまたは物理的に迂回してしまえば、ネットワークからアクセス権、信頼と自由が与えられました。
ゼロトラストは、概念かつ継続的な考慮事項であり、1 回限りのアクションではありません。たとえば、特定の場所からの特定の接続、ユーザー、デバイス (企業の従業員など) を信頼するのではなく、ユーザーにアクセス取得の必要性を証明することが求められます。
通常、ネットワークへのアクセス取得とは、ユーザー名とパスワードに加えて生体認証またはハードウェアセキュリティキーを使用して企業アカウントにログインすることであり、これによって悪質な攻撃者がユーザーになりすましにくくなります。
さらに、システムはログイン後も Need to Access と Need To Know の原則に基づくように設定されています。たとえば、契約者への請求がユーザーの仕事の一部ではない場合、そのユーザーの企業アカウントは請求プラットフォームにアクセスできません。したがって、ゼロトラストネットワークは以下を行います。
プライベートネットワークへのアクセスを制限および制御する
すべてのネットワークトラフィックをログに記録および検査する
ネットワークリソースを検証および保護する
つまり、ゼロトラストモデルにより、データとネットワークリソースはデフォルトでアクセス不可能になります。そのためユーザーがアクセスできるのは、適切な状況かつ限られた時間内だけになります。これは最小権限アクセスと呼ばれています。
セキュリティモデルでは、ユーザーがアプリケーションまたはソフトウェアに接続するときなど、すべての接続がアプリケーションプログラミングインターフェース (API) を使用して検証および認証されます。また、すべてのやりとりが企業のセキュリティポリシーの条件付き要件を満たせるようにします。
さらに、ゼロトラストセキュリティ戦略は、動的ポリシーに基づいてデバイス、ネットワークフロー、接続を認証および承認し、多数のデータソースからのコンテキストを使用します。
ゼロトラストでは、以下を含むセキュリティ機能およびエクスペリエンスのポートフォリオを必要とします。
ID: ゼロトラストセキュリティポリシーを定義および規定し、多要素認証、SSO、ライフサイクル管理を使用してユーザーおよび権限のあるアカウントのアクセスを管理します。
データ: 実証済みのゼロトラストベストプラクティスを使用して重要なデータを保護し、リスクに従ってデータアクセスを検出、分類、管理します。
分析と可視性: インテリジェントな分析によってゼロトラストポリシーを監視および適用します。企業は、ユーザーのふるまい、リソース、データ接続を表示および監視できます。
デバイスとワークロード: セキュリティで保護されたアプリからエンドポイントの監視と管理まで、ゼロトラスト手法を使用して企業を防御します。
ネットワークとエンドポイント: 最新のソリューションと実証済みのスキルおよび専門知識を適用して、ネットワークインフラとエンドポイントを保護します。
自動化とオーケストレーション: アクションのオーケストレーションと標準のプレイブックを使用して、ゼロトラスト手法の一環としてセキュリティ問題の迅速な解決を繰り返します。
ゼロトラストは、以下の基本原則に従ってエンタープライズ IT 環境を保護します。
1. 継続的な監視と検証
ゼロトラストモデルでは、ネットワーク内外に攻撃者が存在すると仮定します。したがって、誰に対しても、何に対しても信頼とアクセスを自動的に付与することはありません。代わりに、すべてのユーザーの ID と権限、そしてデバイスの ID とセキュリティを検証します。さらに、接続とその確立後にログインが定期的にタイムアウトするように設定できます。これにより、ユーザーとデバイスが強制的に再検証され続けます。
2. 最小権限の原則
最小権限アクセスとは、Need to Acccess と Need to Know の原則に基づいてユーザーにアクセスを提供することを意味します。その結果、各ユーザーによるネットワークの機密扱いの部分へのアクセスが最小限に抑えられます。
最小権限の実装には、ユーザー権限の慎重な管理が必要です。また、VPN では接続先のネットワーク全体へのアクセスがユーザーに提供されるため、認証に対する最小権限アプローチとして適切ではありません。
3. マイクロセグメンテーション
ネットワークのセキュリティ境界を小規模のゾーンに分割して、個別の領域に個別にアクセスするようにする手法です。たとえば、単一のデータセンターにファイルを保存するネットワークでは、数十の個別の安全なゾーンにマイクロセグメンテーションすることができます。これにより、ユーザーまたはプログラムには、異なるファイルゾーンに対する個別の認証が求められます。
4. デバイスアクセス制御
ゼロトラストでは、厳格なデバイスアクセス制御も必要です。さまざまなデバイスによるネットワークへのアクセス方法を監視し、確実に認証し、検証して攻撃者に侵害されているかどうかを判断する必要があります。
5. ラテラルムーブメント
ネットワークセキュリティにおけるラテラルムーブメントとは、攻撃者がアクセス取得後にネットワーク内を移動できることを指します。攻撃者が移動しながらネットワークの他の要素を侵害できるため、その検出は困難になります。ネットワークをセグメント化すれば、ラテラルムーブメントを防止でき、IT チームは侵害されたアカウントやデバイスを検出および隔離できるようになります。
6. 多要素認証 (MFA)
ユーザー認証の証拠が複数必要になります。つまり、ユーザー名とパスワードを入力するだけではアクセスできません。たとえば、2 要素認証 (2FA) は、Google や Facebook などのプラットフォームで一般的に使用されている MFA です。2FA ではパスワードに加え、セカンダリデバイスに送信されたパスコードを入力することがユーザーに求められます。
ゼロトラストアーキテクチャ (ZTA) とは、データとネットワークの侵害を防止し、社内のラテラルムーブメントを制限するように設計された、ゼロトラストコンポーネントと原則に基づくエンタープライズサイバーセキュリティインフラを指します。ZTA は、企業のサイバーセキュリティを強化し、プライベートネットワークに未認証ユーザーを入れないようにし、資産を脅威から保護します。
ZTA では基本的に、ネットワークユーザーは業務を履行するために必要なものだけにアクセスできます。また、悪質または異常になる可能性のあるアクティビティを特定し、影響を受けたセグメントを隔離してサイバー攻撃がネットワーク全体へと広がるのを防ぎます。
ゼロトラストセキュリティでは、ユーザーまたはデバイスがネットワークを侵害したと仮定し、攻撃者ではないことの証明が求められます。
米国標準技術局 (NIST) は、政府機関向けのゼロトラストアーキテクチャの原則をすでに確立済みです。これらの NIST 原則は、民間企業にも適用されており、その内容は以下のとおりです。
企業は、すべてのデータソースとコンピューティングサービスをリソースとしてみなします。
ネットワーク場所に関係なく、すべての通信を保護します。
個々のエンタープライズリソースには接続ごとにアクセスを許可します。
要求元のシステムの状態とユーザー ID、その他のふるまい属性など、ポリシーを使用してリソースへのアクセスを決定します。
すべてのシステム (所有および関連) が安全な状態にあるようにし、監視して保護が維持されていることを確認します。
企業は、アクセスを与える前にユーザー認証を厳密に適用します。アクセス、脅威のスキャンと評価、適応、継続的な認証のサイクルを継続的に実施します。
効率的で効果的なゼロトラストアーキテクチャを実装するには、必要なテクノロジーと考慮事項がいくつかあります。それは次のとおりです。
ゼロトラストネットワークアクセス: ZTNA により、新しいゼロトラストクラウドサービスは、仮想プライベートネットワーク (VPN) のリスク、複雑さ、ボトルネックを発生させることなく、社内のプライベートネットワークへのアクセスをリモートワーカーやチームに提供できます。
次世代ファイアウォール: このツールがネットワーク保護を提供し、マイクロセグメンテーションを支援し、トラフィックを復号します。
データ損失防止 (DLP): これにより、企業は単なるユーザーアクセスとデバイスアクセスの制御の範囲を超えてデータの使用を管理できます。
継続的な監視: 企業は、ネットワークの内部および外部に悪質な攻撃者が存在すると仮定する必要があるため、システムとデータの継続的な監視を実現するテクノロジーが必要です。
ゼロトラストモデルは、クラウドテクノロジー、個人所有デバイスの持ち込み (BYOD)、モノのインターネット (IoT) などのイノベーションが世界中の企業の動向を形作るボーダーレスのデジタル社会に応えて登場しました。今日、ユーザーは、どのデバイスからでもリモートで作業し、ネットワーク共有と クラウドベースの SaaS ツールを使用してオンラインでコラボレーションできます。
企業は情報をクラウドに保存し、どこからでもアクセスできるようにしています。その一方で、市場には個人向けのデバイスがあふれ、企業の信頼された社内ネットワークにたどり着けるようになっています。世界がますます互いにつながる中、デジタルの境界は消え去り、サイバーセキュリティ脅威が増加し、仮想的な信頼の境界はエンドデバイスやユーザーアカウントへとシフトしています。
ハッカーにとっては、セキュリティで保護されたネットワークに直接挑むよりも、フィッシング詐欺 (ソーシャルフィッシングやメールフィッシングなど) を使用して個々の従業員や個人用デバイスを標的にし、プライベートネットワークへのアクセスを取得するほうが簡単になっています。
したがって、ゼロトラストではその前提として、どのデバイスまたはユーザーも暗黙的に信頼しません。ネットワークでは、アクセス権を付与する前に定期的な再評価によってこのような信頼を検証しなければなりません。さらに、このモデルは継続的な信頼評価とデジタルデバイス、ID、サービスの制御を容易にする一連のテクノロジーで構成されています。
企業は、ゼロトラストセキュリティモデルを計画および実装して、サイバーセキュリティを強化し、進化するゼロトラストパラダイムのメリットを見い出さなければなりません。
確実に対応するには、以下の 6 つのステップを経てゼロトラスト計画を実装してください。
1. 専任のゼロトラストセキュリティチームの確立
まず、ゼロトラストへの移行の計画と実装を担当する専任のゼロトラストセキュリティチームを特定し、招集する必要があります。チームには、アプリケーションとデータセキュリティ、ユーザーとデバイス ID、ネットワークとインフラセキュリティなどの IT チームまたは部門からのメンバーを含めます。
2. 環境の評価
次のステップでは、ネットワークにアクセスできるデバイスの包括的なインベントリを作成します。リストには、個人所有と企業所有の両方のデバイスを含める必要があります。次に、もう一方進んで、デバイスのセキュリティ状態および制御を理解する必要があります。
さらにアカウント、グループ、グループメンバーシップ、ID、人間以外の ID (アプリ、サービスアカウント)、仮想マシン、コンテナなどのソフトウェアリソースとユーザーを調べることができます。
3. 保護対象の定義
脅威の状況が急速に進化していることを考えると、拡大し続ける攻撃対象を小さくしようとすることは実現可能ではなく、賢明でもありません。ただし、IT チーム担当者は、以下に該当する企業の保護対象を特定および定義することができます。
データ: 保護医療情報 (PHI)、クレジットカード情報 (PCI)、知的財産 (IP)、個人を特定できる情報
資産: 医療機器、SCADA 制御、製造資産、IoT デバイス、POS 端末
サービス: DNS、Active Directory、DHCP
アプリケーション: カスタムソフトウェア
次に、その制御を安全な保護対象へと移行し、限定的かつ正確で、理解しやすいポリシーステートメントによってセキュリティ境界を作成することができます。
4. 利用可能なゼロトラストテクノロジーのレビュー
NIST は、ゼロトラストモデルを実装するための 3 つの主なアプローチ、マイクロセグメンテーション、ソフトウェアデファインド境界、ID ガバナンスの強化 - IAM と PAM (ID アクセス管理と特権アクセス管理) を特定しています。
必要になると思われる重要なテクノロジーには、ゼロトラストネットワークアクセス (ZTNA)、次世代ファイアウォール、データ損失防止 (DLP) などがあります。
5. ゼロトラストセキュリティ戦略の計画
ゼロトラストネットワークは、企業の保護対象に基づいてカスタマイズおよび構築されます。ゼロトラストネットワークの設定計画の例は次のとおりです。
世界中でますますリモートワーカーによる Software-as a Service の導入が増えているため、多要素認証とシングルサインオン (SSO) から始めてサイバーセキュリティシステムの境界をなくします。
権限アクセスへと移行して、ハッカーがシステムにログインしてラテラルムーブメントをできないようにします。多くの権限を持つアカウントのパスコードを保管およびランダム化すれば、このような手口を阻止できます。
次世代ファイアウォールをセグメンテーションゲートウェイとして含めて、特定された保護境界の周囲にマイクロ境界を作成します。ここでは、追加の検査およびアクセス制御層を適用できます。
ゼロトラストネットワークを設計した後は、リソースとアクセスレベルをセーフリストに登録するための適切なポリシーが必要になります。高レベルできめ細かいポリシーを適用して、許可されたトラフィックと正当なアプリケーション通信のみが行われるようにします。
6. ネットワークの監視とメンテナンス
最終ステップでは、ゼロトラストの運用面に重点を置いて、内部と外部のログをレビューします。反復的なプロセスであるため、すべてのトラフィックを調査およびログに記録して、ネットワークの有効性に関する貴重なインサイトを獲得し、徐々に改善する必要があります。
ゼロトラストアプローチの主な利点は、ネットワークの内部および外部のすべての側面から保護を提供することです。従来のセキュリティモデルはネットワーク境界に防御を集中しているため、役に立たなくなりつつあります。逆に、多くの侵害はネットワーク内から発生しています。たとえば、従業員からの侵害や、VPN 接続、メール、ブラウザ、エンドポイント、その他の手段を介してネットワークに侵入する外部からの脅威による侵害です。
したがって、ゼロトラストセキュリティでは、保護されているネットワークが認証済みユーザーを確認できるようになるまでは、全員からアクセス権を取り上げます。その後も、ユーザーがデータをどのように使用するかを継続的に監視し、他の場所でもデータをコピーまたは削除する権限を取り消す可能性があります。
IT チームは、ビジネスプロセス、システム、サービスでゼロトラスト機能を設計することで、以下をより適切に実行できるようになります。
データ侵害を防止し、アプリケーションのマイクロセグメンテーションを使用してラテラルムーブメントを封じ込めます。
基盤となるインフラを問わず、コンピューティングおよびコンテナ化環境へセキュリティ保護を拡張します。
脅威または侵害の兆候を継続的に監視して対応します。脅威をログに記録、報告、警告し、必要に応じて対応します。
ユーザー、コンポーネント、デバイス、ワークロードを可視化して、何が実行されているか、何がアクセスされているかを特定し、ポリシーを適用します。
一貫性のあるユーザーエクスペリエンスを提供しながら、企業のセキュリティを確保します。
正規職員相当の時間数とアーキテクチャの複雑さを低減します。
さらに、ゼロトラストセキュリティモデルでは、IT 管理を簡素化し、既存の IT およびセキュリティ担当者向けの最適化を行い、リモートワーカーを保護します。また、継続的なコンプライアンスを確保し、ユーザーアクセスを合理化し、上級管理職に安心感をもたらします。
完全なゼロトラスト状態を実現することは容易ではありません。また、ほとんどのケースで、1 つのソリューションやテクノロジーでゼロトラストデジタル環境の実現に関連する多様な問題を解決することは非常に困難です。1 回限りの作業ではなく、段階的なステップが必要になります。
ゼロトラスト実装には次のような課題があります。
ゼロトラストの基本概念であるマイクロセグメンテーションは、特にレガシーファイアウォールテクノロジーによって管理されているオンプレミスネットワークやサーバーの場合、実現が困難です。
多くの企業は、混在型のデジタル環境を使用しています。インフラは複数あり、それぞれオンプレミス、パブリッククラウド、プライベートにホストされています。また、リモート従業員のデバイスはあらゆる場所でホストされています。
Web サービスへのレガシーアクセスを使用している企業は、最新バージョンにアップグレードして、継続的なセキュリティを提供し、ユーザー、デバイス、接続のコンプライアンスを評価する必要があります。
リモートユーザーが常にどこからでも簡単かつ柔軟にネットワークにアクセスできるようにする必要があるため、企業は、ネットワークがユーザー、デバイス、または接続のために収集するセキュリティシグナルに応じて許可、監査、制御などのアクションを実行する柔軟なポリシーを適用しなければなりません。
ゼロトラストを提供するテクノロジーはエンドデバイスへのエージェントのインストールを要求しますが、IoT デバイスではまだ不可能であるため、この課題は依然として残されています。
ゼロトラストテクノロジーがクラウドでデータセキュリティとアクセスを制御するための堅ろうなソリューションが必要です。
企業が適用できるソリューションやテクノロジーは多種多様であるため、機能の重複を回避するための統合を検討する必要があります。それにより、コストが最小限に抑えられ、サポートとメンテナンスの複雑さが低減します。
企業へのサイバー攻撃が増加し、進化していく中、従来の「信頼するが検証する」ネットワークサイバーセキュリティアプローチは、攻撃を阻止し、データとシステムを保護するには不十分になっています。セキュリティチームは、ネットワーク内のエンドポイント、デバイス、ユーザーを暗黙的に信頼してしまうと、企業全体が悪質な攻撃者、未認証のユーザー、侵害されたアカウント、不注意な内部者からのリスクにさらされることを理解する必要があります。
このため、企業を保護するにはゼロトラストセキュリティモデルが不可欠です。「決して信頼せず、常に検証する」セキュリティアプローチ、および最小権限とマイクロセグメンテーションの原則により、進化し続け、拡大しているサイバー脅威に対する保護が強化されます。
ゼロトラストにより、企業はさらに優れたアクセス制御を実装し、侵害を封じ込め、資産を保護し、損害の可能性を軽減することができます。ただし、アーキテクチャと戦略を慎重に計画しないと、結果的に労力とリソースの浪費に終わることもあります。
ベリタスのお客様は Fortune 100 企業の 95% を占めています。また、NetBackup™ は大量のデータのバックアップを検討している大企業にとって第一の選択肢です。
ベリタスの大企業向けデータ保護サービスがどのように仮想、物理、クラウド、およびレガシーの各ワークロードに対して完全なデータ保護を維持しているかをご確認ください。
詳細については、今すぐお問い合わせください。