fbpx

ゼロトラストアーキテクチャの検討- 米国の公共部門およびその先の将来を見据えたアプローチ

概要

サイバーセキュリティのトレンドに歩調を合わせれば、近年「信頼度ゼロ」という言葉が頻繁に増えてきていることは間違いありません。この用語は、ForresterのアナリストであるJohn Kindervagによって約20年前に初めて造られ、それから数年で一般化されましたが、ITネットワークをより安全に保護するための方法論を指します。

セキュリティの専門家は、時代遅れで効果のない城と堀のネットワークセキュリティアプローチから、最小特権アクセスとネットワークセグメンテーションに基づくモデルにシフトする必要性を認識しているため、ゼロ信頼が流行語になっています。

しかし、それはキャッチフレーズ以上のものです。これは、従来の境界防御に依存するだけでは、ネットワークとデータを保護するのにもはや不十分であることを示しています。インサイダーの脅威に対する認識の高まりとその現実を組み合わせると、ネットワークの城を安全に保つために堀だけに頼ることはできなくなります。

この計算は期限切れです。2019年のレポートによると、昨年のサイバー侵害による世界経済の損失は1.5兆ドルに上ります。2021年までに、これらのコストは推定6兆ドルに急増する可能性があります。しかし、リスクよりもリスクの方が大きいです。(ランサムウェアやその他の脅威ベクトルを介して)米国の公共部門の標的がサイバー犯罪サイトにますます設定されているため、ダウンタイムのリスクと、機密または運用上重要なデータ損失も考慮すべき重要な要素です。

今日のゼロトラスト時代では、ネットワークの外部と内部の両方にいる誰もがサイバーセキュリティに潜在的なリスクをもたらします。そのため、米国の公共部門の一部であるかどうかにかかわらず、すべての組織がデータとシステムを適切に保護するセーフガードを設定することが不可欠です。

ゼロトラストに向けた進化

サイバーセキュリティが企業や政府機関にとって同様に重要な優先事項となって以来数十年、私たちは情報セキュリティ戦略の必要な進化を見てきました。何年もの間、多層防御データ保護ツールがサイバー保護の原則を支配してきました。ただし、データ保護および情報セキュリティ業界は、ゼロトラストアーキテクチャを利用し、データを自己保護するという概念を模索するアプローチにますます移行しています。

境界防御が不十分であることが判明

初期の頃、情報セキュリティ業界は完全に城と堀のアプローチによって導かれるサイバー保護ソリューションを構築しました。組織とそのITスタッフが安全なファイアウォールを介してネットワーク城の周りに深い堀を掘った場合、彼らは悪意のある人物が機密情報にアクセスするのを防ぐことができると考えました。しかし、時間の経過とともに、境界セキュリティを強化する取り組みは、「もぐらたたき」のゲームになりました。サイバー攻撃が一貫違反やファイアウォール回避、IT専門家は城と堀アプローチの限界を認識しました。

内向きシフト

業界の考え方が進化するにつれて、ツールも進化しました。米国の公共部門を含む組織は、ファイアウォールをネットワーク境界内の脅威を根絶するために設計された新しいツールと組み合わせ始めました。資産全体の脆弱性を特定し、定期的なシステムアップデートとアプリケーションパッチの急増を通じてそれらの脆弱性を管理するソリューションです。同じ頃、ArcSightやSplunkなどの企業は、セキュリティ情報およびイベント管理(SIEM)と、ネットワークユーザーの行動に関する洞察を提供するログ分析製品のマーケティングを開始しました。

次のステップは、データとシステムにアクセスするユーザーが、本当の自分であることを確認することです。多要素認証(MFA)などのID /人事管理ツール、およびネットワークマイクロセグメンテーションプラクティスは、組織がより強力なネットワークセキュリティを実装し、攻撃対象を減らすのに役立ちました。

決して信頼せず、常に検証:将来を保証するゼロ・トラスト

サイバー保護の考え方とツールのこの進化の中で、ゼロトラストアーキテクチャの採用と、「決して信頼せず、常に検証する」というその創設の原則が急上昇しています。その変化を補完するものとして、データを自己保護できるようにするソリューションへの関心が高まっています。

右の図は、防御ツール/メソッドの同心円のレイヤーが、最も重要な資産であるデータにますます近づいているため、撤退中のセキュリティ態勢を示しています。この防御姿勢とは対照的に、自己保護データの概念(誰がデータにアクセスする必要があるかを理解し、自動的にアクセスできないように自分自身を保護できるデータ)は、特に次のように、ゼロトラストアーキテクチャ内で牽引力と実際のアプリケーションを獲得しています。サイバー保護業界は、革新的なデータ暗号化とアクセスモデル、さらに人工知能/機械学習を模索しています。

ゼロ・トラストと米国の公共部門

近年、米国の公共部門はゼロトラストへの関心の高まりと、政府の機密データをより安全に保護するためのアーキテクチャの有用性を示しています。その関心は具体的な方法で具体化し始めています。たとえば、2019年9月、米国国立標準技術研究所(NIST)は、タイトルの概念の定義、原則、および「コア論理コンポーネント」を検討する「ゼロトラストアーキテクチャ」というタイトルのドラフト版を発行しました。

新しいNISTの出版物に加えて、国防総省の2019年のデジタル近代化戦略は、政府機関におけるゼロトラストの重要性の高まりも示しています。このドキュメントでは、ゼロトラストを「データ侵害を阻止する目的でアーキテクチャ全体にセキュリティを組み込むサイバーセキュリティ戦略」としています。このデータ中心のセキュリティモデルは、信頼できる、または信頼できないネットワーク、デバイス、ペルソナ、またはプロセスの概念を排除し、(協調が追加された)最小特権アクセスの概念の下で認証および承認ポリシーを有効にするマルチ属性ベースの信頼レベルに移行します。

ゼロトラストコンセプトの米国の公共部門の実装が成長するにつれて、それはより全体的な意味を帯び始めています。かつてネットワークセキュリティツールのみに焦点を当てたアーキテクチャであったものが、今や企業のサイバーセキュリティの姿勢、実践、およびポリシーのより広い範囲にわたって検討、解釈、および適用され始めています。たとえば、NISTドラフトの草案では、データを囲むネットワークセグメントではなく、データ自体(およびその他の重要な企業資産)のセキュリティに特に重点が置かれています。

比較的新しいものですが、ゼロトラストについてのこのより包括的な考え方は、コンセプトの当初の目的に完全に適合しています。それは、戦術だけでなく、サイバーセキュリティ戦略に根本的な変化を起こすことです。デジタルとフィジカルの両方で、内部の多数のセキュリティエントリポイント全体で信頼を検証(および再検証)する必要がある世界で、セキュリティ専門家はこの用語の幅広い有用性を認識しているため、ゼロトラストの傘がさらに拡大する可能性があります。

ゼロトラストを導入するための5つのフレーミングステップ

いくつかの履歴、コンテキスト、およびいくつかのサイバーセキュリティ流行語が武器に含まれているので、組織のゼロトラストアーキテクチャの実装について真剣に取り組む時が来ました。これらの5つのフレーミングステップを念頭に置いて、VPN等からゼロトラストへの移行の開始をできるだけスムーズで管理しやすいものにしてください。

1.在庫を確認する

つまり、サイバーインフラストラクチャのインベントリです。これは困難に聞こえるかもしれませんが、ゼロ信頼を実装するための最初の最も重要なステップです。到達範囲を完全に理解していない場合、コンピューティング環境をどのように保護できますか?

企業全体の環境におけるネットワーク、システム、デバイス、およびユーザーの包括的なインベントリを作成します。ユーザーとデバイスがネットワークで果たす役割のタイプと、ユーザーがアクセスする必要があるデータの種類を、最小特権のアクセス原則を指針として使用して決定します。

2.増分変更に焦点を合わせる

ゼロトラストを実装することは、完全に一歩先を行くものではなく、総入れ替えの作業です。ゼロからコンピューティング環境を構築する場合(その場合、ゼロトラストの原則は最初からガイドする必要があります)を除いて、包括的なゼロトラストアーキテクチャを一気に展開することは期待できません。完全な移行が実現するまで、ゼロ信頼の原則をレガシーの原則と組み合わせる必要があります。

この移行を容易にするために、まずゼロトラストツールが既存のセットアップをどのように補完できるかを決定します。次に、管理可能な増分変更を開始します。企業のレイアウトに最適なものをテストしてから、スケールアップします。

3.ゼロトラストは万能のフレームワークではないことを忘れない

ゼロトラストアーキテクチャに移行した他の人のアドバイスを求めてください。ここアクロニスSCSでは、私たち自身の経験とその前線での闘いを喜んでお話しするだけでなく、私たちが役立つリソースになれるかどうか私たちに連絡することをお勧めします。(この記事の「結論」で、アプローチの詳細をご覧いただけます。)

ただし、最終的には、1つの組織の特定のコンピューティング環境で何が機能するかが、自分の環境に適していない可能性があることを覚えておくことが重要です。組織は、固有の環境内でセキュリティと実用性のバランスをとる必要があります。そのバランスは、保護する必要のあるデータのタイプ、ボリューム、機密性によって異なります。

4.戦術を戦略に変える

アドホックゼロトラストツールを導入することが一つです。もう一つは、体系化ゼロ信頼考え方をして、企業全体の体系的なプラクティスを実装することです。

ITポリシーを作成し、必要に応じて書き換えて、ゼロ信頼の目標を強化します。これには高水準の賛同が必要かもしれませんが、ゼロトラストアーキテクチャと今日のサイバーセキュリティ時代におけるその必要性についてのパブリックディスカッションの増加は、リーダーシップとの会話を容易にするはずです。

5.「ヒューマンファイアウォール」にその役割を任せる

ゼロトラストアプローチの2つの最も重要な原則は、(1)誰も信頼しないこと、(2)すべてを検証することです。ゼロトラストを正しく実装すれば、人為的な侵害の影響と到達を最小限に抑えることができますが、それは、サイバー攻撃、データ損失、または侵害からシステムと情報を安全に保つために人が果たす主な役割を書き留めるべきではないということです。2019年の調査では、データ漏えいのほぼ3分の1がスピアフィッシングの手口であり、人為的なエラーは5分の1以上の侵害に因果関係があるとしています。

したがって、ゼロトラストアーキテクチャを採用する場合は、すべての従業員がサイバーセキュリティ体制に積極的に参加できるようにする必要もあります。従業員全体にセキュリティの文化を浸透させるトレーニングと情報セッションを開催します。各従業員に、ファイアウォール、サイバーフィット、警戒、回復力を強化します。肝心なことは?ゼロトラストアーキテクチャの実装は、チームの努力である場合、成功する可能性が高くなります。

ゼロ・トラスト・イン・プラクティス–実生活の例

アクロニスSCSは、米国の公共セクターに対応する中規模のアメリカのサイバー保護およびエッジデータセキュリティ企業として、幅広い最小特権アクセスアプローチの主要コンポーネントとしてゼロトラストアーキテクチャを採用することを選択しました。このモデルは、オフィスやデータセンターからネットワーク、アプリケーション、エンドポイント、電子メール、クラウドインフラストラクチャに至るまで、企業全体に実装されています。

公共部門のお客様固有のセキュリティの考慮事項を知っているため、米国市民のみを雇用し、アリゾナ州スコッツデールにあるオフィスに入るすべての人にバッジアクセスを要求し、多数の物理的および生体認証による保護を使用して、データセンターを高NIST基準を超えて保護します。ゼロトラストフレームワーク内では、パロアルトネットワークスの次世代ファイアウォールとセグメント化されたネットワークを活用しています。また、FireEye Email Threat Preventionを使用してマルウェアの侵入を防止し、電子メールのセキュリティを真剣に考え、クラウドに多要素認証(MFA)、証明書ベースのVPNなどを適用します。

ゼロトラストモデルの「決して信頼せず、常に検証する」という概念の私たちのアプリケーションは、内部のセキュリティアプローチを超えています。また、製品開発ライフサイクル全体を通じてこの原則を適用します。私たちのプロセスは、設計によって保護された哲学に根ざしています。つまり、自社の環境内ですべての製品コードを自分たちでコンパイルし、IronNet やnVisium などのサードパーティ企業にコードのレビューを依頼しています。

つまり、ネットワークセキュリティ、内部セキュリティ、製品開発アプローチのいずれにおいても、「常に検証する」という概念を採用することは全体論的です。

私たちの組織に最高の内部セキュリティ標準を適用するプロセスは、必ずしも簡単ではありませんでした。組織にとって、すべてが順調に進んでいるわけではないからです。たとえば、私たちが使用している一部のクラウドサービスは、MFAを自動的にサポートしていません。しかし、私たちはこの対策が私たち自身のサイバー保護にとって重要であることを知っているので、別の認証方法でMFAを実行することを選択します。それが余分な思考と時間を必要とするときでさえ、私たちが奉仕する人々の信頼と信頼を維持するためには、余計な努力をすることが重要です。

どのように支援できるかを検討する

最初から始めている場合でも、組織のサイバーアーキテクチャにゼロトラストの原則をすでに実装していて、さらに追加したい場合でも、Acronis SCSが役立ちます。

どの企業にも固有の内部セキュリティのニーズがあります。そのため、あなたのアプローチはおそらく私たちのものとは異なります。しかし、私たちの経験は、顧客、インフラストラクチャ、およびミッションに基づいて組織の固有のサイバーセキュリティニーズを分析する際に、ゼロトラストの旅に光を当てることができます。

幸いなことに、ポリシーと手順を調整することは、必ずしもホイールを再発明する必要はありません。どのような組織にとっても、このプロセスを円滑にするツールがあります。たとえば、アクティブなランサムウェア防止機能を含むバックアップおよびリカバリソリューション(Acronis SCS Backup 12.5や今後の強化されたバックアップ製品など)を使用すると、使いやすい公証とデジタル化を行いながら、不要でコストのかかるデータ侵害から組織を保護できます。認証ソリューションは、悪意のある人物によるデータの改ざんを防ぐことができます。

結論:バズワードを行動に変える

ゼロトラストはもはや単なる流行語や理論ではありません。国防総省の兵器システムの資料を提供するママアンドポップビジネスからアメリカの地方自治体や最大の連邦政府機関まで、あらゆる規模の組織にとって深刻な行動を呼びかけています。

SNSでもご購読できます。

コメントを残す

*