2019年のセキュリティレポート:境界型セキュリティを辞めるには

ネットワーク監視がユビキタスな時代には、誰を信頼していいのかわからず、苦労していることがわかります。私たちのインターネットトラフィックが盗み聞きから安全であることを信頼できるでしょうか?確かにそうではありません。あなたがからあなたの繊維をリースしたそのプロバイダについてはどうですか?あるいは、昨日データセンターで配線作業をしていた契約技術者はどうでしょうか?データセンター内のシステムやトラフィックが信頼できるという前提には欠陥があります。現代のネットワークや使用パターンは、何年も前に境界線の防御を可能にしたようなものではなくなりました。その結果、「安全な」インフラストラクチャ内を自由に移動することは、1 つのホストやリンクが侵害されると、しばしば些細なことになってしまいます。

ゼロトラストセキュリティの方法論

ゼロトラスト・セキュリティとは、プライベート・ネットワーク上のリソースにアクセスしようとするすべての人やデバイスに対して、ネットワークの境界線の内側にいるか外側にいるかにかかわらず、厳格な本人確認を要求するセキュリティ・モデルです。 ゼロトラストモデルは、単一の技術や方法に依存するものではなく、複数の異なる原則や技術を取り入れた全体的なアプローチです。2014年のBeyondCorpに関するGoogleのホワイトペーパーでは、「内部ネットワーク公共のインターネットと同様に危険にさらされていると仮定するように 」と企業にアドバイスしています。

ゼロトラスト・セキュリティとは、ネットワークの内外からは誰もデフォルトでは信頼されておらず、ネットワーク上のリソースにアクセスしようとするすべての人からの検証が必要となることを意味します。このようにセキュリティのレイヤーを追加することで、データ侵害を防ぐことができることが示されています。IBMがスポンサーとなった最近の調査では、1回のデータ侵害の平均コストは392万ドルであることが示されています。この数字を考えると、多くの組織がゼロトラスト・セキュリティ・ポリシーの採用を熱望していても不思議ではありません。

ゼロトラストセキュリティの大原則と基礎知識

ゼロトラスト・ネットワークの背後にある視点は、ネットワークの内外に攻撃者がいると仮定して、ユーザーやマシンを自動的に信頼すべきではないということです。ゼロトラスト・セキュリティのもう一つの原則は、陸軍大将が兵士に必要な情報を必要なだけ与えるように、ユーザーに必要なだけのアクセスを与える最小特権アクセスです。これにより、各ユーザがネットワークの機密部分にさらされることを最小限に抑えることができます。

ゼロトラストネットワークの5つの基礎知識

  1. ネットワークは常に敵対的であると想定される。
  2. 外部脅威と内部脅威は常にネットワーク上に存在する。
  3. ネットワークの信頼性を決定するには、ネットワークの局所性だけでは不十分である。
  4. すべてのデバイス、ユーザー、ネットワーク・フローは認証され、認可されていなければならない。
  5. ポリシーは動的であり、可能な限り多くのデータソースから計算されなければならない。

このセキュリティモデルを持つ組織の積極的なセキュリティの取り組み

境界モデル以外のオプションを検討する際には、何が信頼されていて何が信頼されていないのかをしっかりと理解しておく必要があります。信頼度は、必要とされるセキュリティプロトコルの堅牢性の下限を定義します。残念ながら、堅牢性が必要以上に高くなることは稀なので、できるだけ信頼しない方が賢明です。一度信頼がシステムに組み込まれてしまうと、それを取り除くのは非常に困難になります。ゼロトラストネットワークとは、その名の通り、完全に信頼されないネットワークです。完全に信頼されていないネットワークです。幸運なことに、私たちはこのようなネットワークと頻繁に交流しています。

現在、組織で進められている以下のセキュリティ対策のトップ4は、いずれもゼロトラストネットワークアクセスに関連しています。

  1. IDaaSなどのアイデンティティとアクセス管理(72%)
  2. DLPなどのデータ紛失防止(51%)
  3. BYOD/モバイルセキュリティ(50%)
  4. パブリッククラウド(Microsoft Azureなど)、Amazon Web ServicesGoogle Cloud Platform上で動作するプライベートアプリへのアクセスを確保(47%)

とあるレポートによると、78%のITチームはゼロトラストポリシーの採用に期待している。19%は導入の予定がないと答え、3%はこのポリシーを認識していないと答えています。企業の4分の3以上(78%)がゼロトラストの採用を検討しており、企業のITセキュリティチームのほぼ半数が、現在のセキュリティ技術でゼロトラストを提供する能力に自信がないと回答しています。組織内でゼロトラストポリシーを導入しながら、正しい対策を行うことが推奨されています。虚偽のポリシーを実装すると、すべての機能を適用してもノーベネフィットの状態になってしまいます。

 ゼロトラストの採用

ゼロトラストは継続的に行うものであり、一気に導入できるものではありません。市場にはクラス最高のゼロトラスト・アーキテクチャを実現する魔法の弾丸はありません。ゼロトラストはプロセスとテクノロジーの組み合わせです。ゼロトラストの原則、プロセスの変更、リソースを保護する技術ソリューションを実装するために、段階的な計画を採用する必要があります。組織がレガシーアーキテクチャをどのようにゼロトラストアーキテクチャに移行するかの主な決定要因は、現在のサイバーセキュリティの姿勢と運用の成熟度に基づいています。  高いレベルでは、以下のようなアプローチを用いることができる。

  1. 主要なビジネスプロセスとリスクをカバーする企業の対象と資産を特定し、ベースラインプロセスを確立する。
  2. ゼロトラストのアクセスポリシーについて、異なるレベルのポリシーを策定する。
  3. 候補となるケイパビリティギャップの評価を実施し、その解決策を特定する。

ゼロトラストの恩恵

ゼロトラストの利点について尋ねたところ、ITセキュリティ専門家の3分の2(66%)が、プライベートアプリを保護するための最小特権アクセスを実現するゼロトラストの能力に最も期待していると答えています。次いで、アプリが不正なユーザーやインターネットにさらされることがなくなる(55%)、ユーザーのネットワーク上の場所に関係なく、アクセスはデバイスとユーザーの認証情報のみに依存するため、仮想プライベートネットワークを完全に捨てることができる(44%)、という結果が出ています。ここでは、すべての組織が採用すべきゼロ・トラスト・モデルの4つの強みを紹介します。

  • 強力なユーザー識別とアクセスポリシー
  • データと資源のセグメンテーション
  • ストレージと転送における強力なデータセキュリティ
  • セキュリティオーケストレーション

ゼロトラストの課題

ゼロトラストを取り入れる計画を立てる際には、このダウンサイドを考慮しなければなりません。このプロセスでは、従業員をVPNから解放し、複数のデバイス・インベントリを1つの中央システムに置き換え、各人の職務機能を分析することで人事をオーバーホールする必要があります。

SNSでもご購読できます。

コメントを残す

*