fbpx
  1. ホーム /
  2. セキュリティ /
  3. ゼロトラスト・セキュリティとは?背景の解説やCARTAへの道筋など徹底解説
投稿日: ・ 最終更新日:2020/08/03

ゼロトラスト・セキュリティとは?背景の解説やCARTAへの道筋など徹底解説

ネットワーキングに対する「ゼロトラスト」アプローチに対する顧客の関心とベンダーのマーケティングが高まっています。これは、デフォルトの拒否という初期のセキュリティ姿勢から始まります。しかし、ビジネスが発生するためには、セキュリティとリスク管理の責任者は、CARTAアプローチを用いて信頼を確立し、継続的に評価する必要があります。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

サマリー:ゼロトラストの整理とCARTAへの道筋

主な発見:ゼロトラストの背景やCARTAとの関係性

  • ゼロトラストネットワーキングは、デフォルトの拒否というセキュリティ姿勢から始まります。信頼は、ネットワーク接続の開始時に評価されます。しかし、デジタルビジネスや政府の仕事を遂行するためには、必然的に信頼を拡大する必要があるため、ゼロトラストという言葉は誤用です。
  • ゼロトラスト・プロジェクトがネットワーク(マイクロセグメンテーションやソフトウェアで定義されたペリメーター)を対象とするのは、ネットワーク接続性に対する過度の暗黙の信頼と、ペリメーター・セキュリティの限界があるからです。
  • ペリメータの数は実際に増加し、よりきめ細かくなり、ユーザー、端末、アプリケーション、データ、ワークロードのIDなど、ペリメータが保護する論理的なエンティティに近づいていくでしょう。
  • CARTA の戦略的アプローチは、ネットワークの相互作用の間、継続的にリスクと信頼性を評価し、必要に応じて適応させることで、ゼロトラスト・ネットワーキングを拡大します。さらに、CARTA は、この適応的なリスク/信頼性評価を、ネットワーキングだけでなく、すべての情報セキュリティプロセスにまで拡張します。
  • 過度の信頼は、過度のリスクと同様に、組織にとって無駄であり、潜在的なコストとなります。継続的にリスク/信頼性を評価し、適応させることは、信頼をゼロにするのではなく、無駄のない信頼につながります。

推奨:セキュリティ担当者がゼロトラストの実装として行うべき事

ハイブリッドクラウドのセキュリティ姿勢を向上させるためには、セキュリティとリスクの専門家が責任を持って取り組むべきです。
  • 2019年に2つのゼロトラストネットワーキングプロジェクト(マイクロセグメンテーションとSDP)を予算化し、試験的に実施することで、組織のセキュリティ態勢を大幅に改善することができます。
  • ビジネスエグゼクティブにセキュリティ投資を売り込むための用語として「ゼロトラスト」を使用することは避けましょう。変化するコンテキストに適応し、ビジネスリーダーのリスク許容度レベルに適応できる継続的に評価されたリスクと信頼について話し、新しいデジタルビジネス、クラウド、モバイルの取り組みを可能にする。
  • 過度の信頼が潜在的なコストを表し、信頼をリスク最適化することでセキュリティ態勢を大幅に改善できるゼロトラストネットワーキング以外のプロジェクトを特定する。
  • CARTAを戦略的アプローチとして使用して、(ネットワークに限らず)すべてのセキュリティおよびリスクインフラストラクチャの進化をフレーム化し、リスクと信頼のレベルが変化しても継続的に適応できるようにする。

ゼロトラストに関する分析

ゼロトラスト」という言葉をめぐる市場の大きな注目と誇大広告は、ここ数年の間に発展してきました。「継続的適応リスクと信頼性評価(CARTA)」に関するウェビナーでは出席者の70%が 「ゼロトラスト 」という用語を聞いたことがあると回答しています。しかし、これらの参加者の23%は、この言葉の意味をよく理解していませんでした。ゼロトラストという言葉には説得力がありますが、ほとんどの企業にとってはまだほとんどが概念的なものです。回答者の8%のみが、2019年に予定している具体的なゼロトラストネットワーキングプロジェクトを持っていました。
デジタルトラストがどのように進化しているかをよりよく理解するために、このシンプルな信頼の定義を考えてみてください。
信頼とは、2つのエンティティ間で確立された双方向の信念であり、相手のエンティティが自分の主張する通りの存在であり、相互作用の期間中に期待される方法で行動するということである。信頼は、そうでなければ不可能であるはずのエンティティ間の能力へのアクセスを導く。
この単純な定義にはいくつかの意味合いがあります。
  • 信頼は本質的に良いものではありません。信頼とは、絶対的な確実性の代わりに使うものです。しかし、そうでなければ可能ではないはずの能力を拡張したり、アクセスしたりするためには信頼が必要です。
  • 信頼は絶対的なものではなく、バイナリでもなく、静的なものでもありません。信頼は、その信念の保証の相対的な強さを示すものです。さらに、信頼のレベルは動的であり、時間の経過とともに変化する。したがって、能力へのアクセスは適応されるべきである。
  • 信念に基づいて能力を拡張するリスクを補うために、相互作用中に期待される行動を監視すべきである。行動が危険な方法で期待から逸脱した場合、能力へのアクセスは適応されるか、あるいは完全に削除されるべきである。
ゼロトラストは誤称です。「ゼロトラスト」の厳密な解釈は、特別な機能が拡張されないことを意味します。ゼロトラスト・ネットワーキングでは、最初のセキュリティ姿勢は、異なるエンティティ間の暗黙の信頼(ゼロトラスト)がないものである。能力へのアクセスを可能にするために信頼が必要な時点で、十分な信頼のレベルが確立されなければならない。これは、現在の状況(場所、端末、資格情報など)を評価し、組織のリスク許容度を考慮した上で行われます。ベンダーの多くは、仕事を得るために信頼を拡張する必要があるにもかかわらず、ゼロ信頼を「絶対に信頼しない、常に検証する」と表現しています。重要なのは、暗黙の信頼は存在しないということです。信頼レベルは、コンテキストに基づいて明示的かつ動的に計算されます。ゼロトラスト・ネットワーキングに関する画期的な本では、5番目の柱は「ポリシーは動的でなければならず、可能な限り多くのデータソースから計算されなければならない」としています。実際、より高度なゼロトラスト・ネットワーキング製品は、最初に確立されたリスクと信頼のレベルに基づいて拡張された機能を動的に適応させます。 このことを考えると、ゼロトラストの簡単な定義は次のようになります。
ゼロトラスト・ネットワーキングは、企業の境界線の内外を問わず、異なるエンティティ間に暗黙の信頼関係を持たない初期のセキュ リティ姿勢を持つ、安全なネットワーク接続のための概念です。ネットワーク機能への最優先アクセスは、エンティティ、システム、およびコンテキストのアイデンティティを評価した後にのみ動的に拡張されます。
相対的なリスクと信頼のレベルを継続的に評価し、適応させることは「CARTA」と呼ばれています。CARTA は、機能へのアクセスが拡張された後の相互作用中のリスクと信頼のレベルを継続的に監視・評価することで、ゼロトラストネットワーキングを拡張します。信頼度が低下したり、リスクが閾値まで上昇して対応が必要になった場合、拡張された機能へのアクセスはそれに応じて適応しなければなりません。さらに、CARTA の戦略的アプローチは、ネットワーキングだけでなく、IT スタックのすべてのレイヤーにまで拡大され、新しいデジタルビジネス機能の創出やリスクガバナンスプロセスにまで拡大されています。

 

何がゼロトラストへの関心を高めているのか?

ほぼすべてのゼロトラストプロジェクトは、2つのタイプのゼロトラストネットワーキングのうちの1つを参照しています。なぜネットワーキングなのか?インターネットは、接続をブロックするために設計されたのではなく、簡単に接続できるように設計されています。インターネットは本質的に弱い識別子(具体的にはIPアドレス)を使って接続します。IPアドレスとルートがあれば、他のIPアドレスに接続して通信することができます。IPアドレスは認証機構として設計されていません。認証の面倒な問題は、スタックの上位レベル、一般的には OS やアプリケーション層で処理されます。ネットワーク接続では、このデフォルトの許可姿勢は、過剰な量の暗黙の信頼を生み出します。

攻撃者はこの信頼を悪用します。最初にパブリック・インターネットに接続した企業は、社内ネットワークがインターネットに接続するための境界線が必要であることにすぐに気付きました。これが最終的に、境界ファイアウォールの数十億ドル規模の市場を生み出しました。内部のネットワーク化されたシステムは「信頼された」ものであり、お互いに自由に通信することができました。外部システムは「信頼されていない」システムであり、外部との通信は、インバウンドでもアウトバウンドでも、デフォルトでブロックされていました。必要に応じて、ファイアウォールに穴を開けて例外ルールを設定する必要がありました。

この信頼された/信頼されていないネットワークセキュリティモデルは、比較的粗雑で粗雑な制御ですが、当初は効果がありました。しかし、このモデルは、攻撃者が2つの方法のいずれかで悪用する過剰な信頼を生み出します。

ネットワークの中から

内部のすべての内部システムが「信頼されている」と仮定すると、内部システムが侵害された場合や、侵害された端末(通常はラップトップ)が内部ネットワークに接続された場合に、攻撃が横方向に広がりやすくなります(東西の動きとも呼ばれます)。これは、外殻が破られると内部が柔らかくなるため、「硬い外殻、柔らかい噛みごたえのある内部」というセキュリティモデルと表現されることが多いです。今日に至るまで、これが侵害が非常に大規模で損害を与える主な原因となっています。

ネットワークの外から

当社のシステムやサービスへの外部からのアクセスが必要な場合、通常は次の2つのうちのいずれかを行います。ユーザーによっては、VPN を作成して、ユーザーがファイアウォールを突破して内部ネットワークに接続できるようにします。一旦「内部」に入ると、VPN接続は信頼されたものとして扱われます。別の方法としては、ユーザーがアクセスできるように、サービスのフロントエンドをインターネットに直接接続できるように、ネットワークのセグメント化された部分に配置します。どちらの方法も過剰な信頼を生み、結果として潜在的なリスクが発生します。VPNの場合は、認証されたアクセス権を持つ攻撃者が我々のネットワークにアクセスできるようになります。同様に、サービスが非武装地帯(DMZ)で公開されている場合、攻撃者全員を含むインターネット上の誰もがそれを見ることができます。
どちらの場合も、過度のネットワーク信頼は過度の潜在的リスクにつながります。ネットワーク接続(「ping」やサーバを見る権利であっても)は権利ではなく、信頼に基づいて獲得すべきものです。このような過剰なネットワークの信頼は、必然的に悪用され、違反を引き起こし、法的、財政的、規制上のリスクにさらされることになります。よって、ただちにVPNはゼロトラストネットワークへ移行すべきです。

 

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

 

レガシーな境界線セキュリティは、デジタルビジネスやデジタル政府の要件に対応することはできませんし、拡張性もありません。デジタルトランスフォーメーション(DX)は、セキュリティモデル全体を覆し、レガシーなネットワークセキュリティモデルのリスクをさらに増大させます。その結果、次のようなことが起きています。
  • 社内のユーザーよりも社外のユーザーの方が、社内のユーザーよりもシステムやサービスにアクセスする数が多くなります。
  • 当社のシステムやサービスに接続する非管理型端末の数は、管理型端末の数を上回ります。
  • 社内のユーザーは、社内のユーザーよりも社外から配信されるアプリケーションや SaaSサービスを多く利用するようになります。
  • 支店からのトラフィックは、データセンター経由よりもインターネット経由の方が多くなります。
  • モバイル・ユーザーや管理されていない端末の世界では、IPアドレスは一時的なものであり、多くの場合、アドレス変換が使用されます。モバイルユーザーのアプリケーションやサービスへのアクセスを IP アドレスに基づいて制限しようとしても無駄であり、ユーザーは、SaaS アプリケーションであっても、アクセスのためにオンプレミスのシステムを経由してトラフィックをルーティングするために、ネットワークの体操を行わざるを得ません。セキュリティ・ポリシーを設定するためにIPアドレスを使用することは効果的ではありません。
  • 最近のハイブリッド・データセンターやパブリック・クラウドのIaaSでは、VMやコンテナ、サーバーレス機能を使用したクラウドネイティブ・アーキテクチャを採用しており、IPアドレスは一過性のものであり、多くの場合、アドレス変換が使用されています。繰り返しになりますが、IPアドレスはセキュリティポリシーを設定するための効果的な方法ではありません。

レガシー・ネットワークの「内側対外側」(南北とも呼ばれる)境界線の価値が低下すると、ネットワーク・トラストを構築するための新しいアプローチが必要になります。これは、境界線がなくなるという意味ではありません。ペリメーターレス」ネットワークに関する誇大広告は、実際には信頼の境界線の数が減少するのではなく、増加することになるため、見当違いです。ペリメータはより細かくなり、保護している論理的なエンティティ、特にユーザー、端末、アプリケーション、ワークロード(マイクロサービス・アーキテクチャのネットワーク化されたコンテナを含む)のアイデンティティに近づくべきです。これが、「アイデンティティが新しい境界線」という言葉が広く使われている理由です。このシフトは、ハイブリッドデータセンター内からのネットワーク接続と、企業のシステムやアプリケーションへの外部ネットワークアクセスの両方に適用されます。ゼロトラストネットワークアクセス(ZTNA)の実現が可能という訳です。

信頼はIPアドレスで確立されるべきではありません。ユーザーの場合は、ユーザーと端末の信頼性を文脈に沿って評価し、データ、アプリケーション、またはトランザクションにアクセスされるリスクを評価して、信頼を確立する必要があります。ワークロードとアプリケーションについては、信頼は、アイデンティティ、実行中のアプリケーション/サービス、処理されるデータ、および関連するタグ/ラベルを含むワークロードの文脈に基づく評価に基づいて確立されるべきである。このような変化と、攻撃の表面積を減らすことでリスクを軽減する必要性から、2つのゼロトラスト・ネットワーキング・プロジェクトに大きな関心が寄せられています。1つのプロジェクトはネットワーク内部の攻撃からの保護を強化し(「悪いものを外に出さない」)、もう1つのプロジェクトは安全なアクセスを強化し(「良いものを中に入れる」)ます。これらのプロジェクトは、CARTA戦略的アプローチに直接対応させることができます。

ゼロトラストとCARTA

どちらのタイプのゼロトラスト・ネットワーキング・プロジェクトでも、ゼロトラスト・ネットワーキングの考え方としては、デフォルトのネットワーク接続拒否の姿勢を出発点として使用します。ネットワークアクセスが許可される前に、エンティティと端末のアイデンティティと信頼性の評価が行われます。しかし、それだけでは終わりません。そこで CARTA の出番です。CARTA の戦略的アプローチでは、相互作用の間、エンティティとその行動を監視し、評価し続けます。この2種類のゼロトラストネットワーキングプロジェクトは、CARTA戦略的アプローチで使用されている適応型セキュリティアーキテクチャの最初のステップとして可視化することができます。
CARTA の研究で使用されている適応型攻撃防御アーキテクチャでは、右上の赤枠は、内部攻撃から保護するゼロトラストネットワーキングプロジェクトの初期段階を示しています。
企業ネットワークでは、ネットワークセキュリティのデフォルトの姿勢は、デフォルトの拒否であるべきです。ネットワーク接続が確立されるための信頼レベルが確立されるまでは、システムを硬化させ、隔離する必要があります。CARTA は、ゼロトラストの概念をさらに拡張し、攻撃防御を継続的なリスク/信頼性評価の問題として扱います。図の中央部では、CARTA はこれをネットワーク以外にも拡張しています。例えば、CARTA はシステム上で実行可能なコードを監視して、最初のリスク/信頼性評価に合格していても、悪意のある動作やリスクの兆候がないかどうかを確認します。この技術と市場は、エンドポイント検出と応答と呼ばれています。
同様に、CARTA の研究で使用されている適応型アクセス保護アーキテクチャでは、右上の赤枠はデフォルト拒否の初期セキュリティ姿勢を示しています。ユーザーのクレデンシャル、端末、およびコンテキストの評価が行われるまでは、ユーザーは暗黙のアクセスを行うことはできません。
企業のシステムやデータへのアクセスについては、デフォルトのネットワーキング・セキュリティの姿勢はデフォルトの拒否であるべきです。コンテキストに基づいてネットワーク接続を確立するための十分な信頼度が確立されるまでは、アクセスを許可すべきではありません。CARTA は、ゼロトラストの概念をさらに拡張し、アクセス保護を継続的なリスク/信頼性評価の問題として扱います。
  • プロジェクト1:マイクロセグメンテーション
  • プロジェクト2:ソフトウェアで定義された境界線

プロジェクト1:マイクロセグメンテーション

データセンターのネットワークは通常、公共のインターネットから分離され、エンドユーザーのデスクトップからも分離されています。しかし、データセンター内に入ると、ネットワーク・アーキテクチャは一般的にフラットなものになり、デフォルトではセキュリティが許可されています。信頼された」データセンター内のどのシステムでも、他のシステムとネットワーク通信を開始することができます。1台のサーバに足場を得た攻撃者は、他のシステムに横方向(東西)に簡単に拡散することができます。潜水艦の隔壁がセグメンテーションを使って侵入から守るように、データ・センターには論理的でソフトウェアで定義された隔壁(マイクロ・セグメンテーションと呼ばれています)が必要です。

マイクロセグメンテーション・プロジェクトは、必然的に侵入が発生した場合に、侵入を最小限に抑えます。セグメンテーション・ポリシーのベースとなるIPアドレスを使用するのではなく、ポリシーは論理的(物理的ではない)な属性に基づいています。さらに、より高度なネットワーク・マイクロセグメンテーション・ソリューションでは、フローを監視してベースラインを設定し、異常が発生した場合に警告を発します。また、観察されたネットワーク・セッションの動作(例えば、異常な接続パターン、過度の帯域幅、過度のデータ転送、信頼度の低いURLやIPアドレスへの通信など)のリスク/信頼度の相対的なレベルを継続的に評価します。ネットワーク・セッションのリスクが高すぎる場合は、アラートを発生させたり、セッションを終了させたりすることができます。

マイクロセグメンテーション技術やプロジェクトに対する関心は非常に高く(過去12カ月間で300件以上の問い合わせがあった)、その中でも「ネットワーク・セグメンテーション戦略の必要性が高まってきている」と指摘しています。マイクロサービス・ベースのアプリケーションの時代には、ネットワーク・セグメンテーション戦略の必要性がさらに細かくなるため、一部のベンダーはこれらのプロジェクトをナノセグメンテーションまたはアプリケーション・マイクロセグメンテーションと呼んでいます。

これらの用語はすべて、同じ基本的なマイクロセグメンテーションの原則のバリエーションです。
  • ワークロードは、ワークロードのアイデンティティに基づいて十分なレベルの双方向信頼が確立されるまで、何も通信してはいけません(デフォルトではdeny)。
  • ワークロードのアイデンティティは、証明書のアイデンティティ、アプリケーションサービス、コンテナ、またはワークロードに関連付けられた論理ラベル/タグ(例えば、Payment Card Industry [PCI])の使用などの論理属性に基づいています。これらの論理属性は、ポリシーを設定するために使用されます。最終的には、ポリシーはその下のIPアドレスにマッピングされるかもしれませんが、ポリシーは物理属性ではなく論理属性を使用して設定されます。
  • 類似のパターン/機能を持つワークロードは、管理とポリシー設定を容易にするためにグループ化されます(例えば、「PCI」とタグ付けされたすべてのワークロードは一緒にセグメンテーションされ、同様に扱われます)。
  • ワークロードのグループには、必要なネットワーク機能のみが提供され、最小特権が実装される。
  • ワークロードのマイクロセグメンテーションポリシーは、ワークロードの物理的な場所に関係なく適用する必要があります。これには、オンプレミスとパブリッククラウドの IaaS にまたがるハイブリッドデータセンターや、コンテナベースのアプリケーション内のネットワークも含まれます。
マイクロセグメンテーションを実装するためには、ネットワークオーバーレイ、ネットワーク暗号化、SDN(Software-Defined Network)統合、ホストベースのエージェント、仮想アプライアンス、コンテナ、または、セグメンテーションを実現するために基盤となるクラウドファブリックのネイティブAPIを使用するなど、さまざまなアプローチが使用されている。

プロジェクト2:SDP(Software-Defined Perimeter)

企業ネットワーク内では、ユーザーはアプリケーションやサービスを完全に見ることができます(デフォルトでは許可されています)。ユーザーが境界ファイアウォールの「外側」にいる場合、ユーザーはそれらを見ることができません。この問題を解決するために、従来は DMZ や VPN を使用していましたが、これらの回避策はいずれも過剰な信頼を招く結果となりました。いつでもどこでも、どんな端末からでもアプリケーションやサービスにアクセスできる世界では、アクセスを再考する必要があります。ユーザーの視点で「内側」も「外側」もないネットワークを設計してはどうでしょうか?なぜ、ユーザーが何か違うことをしなくても、どこからでもすべてのアプリケーションにアクセスできるようにしないのでしょうか?このモデルでは、ユーザーは今どこにいるのか、何時ごろなのか、どのような端末を使っているのかなどのコンテキストに基づいてアクセス方法を考える必要はありません。ネットワークがこれを把握します。これはまさにSDPのビジョンです。
実装スタイルは複数ある。エージェントを使用するものもあれば、エージェントレスのものもあり、インラインのままのものもあれば、そうでないものもあり、クラウドサービスとして提供されるものもあれば、オンプレミスで提供されるものもあれば、その両方もある。しかし、すべては同じ基本原則に基づいたバリエーションです。
  • 指定されたユーザーは、十分な信頼レベルが確立されるまでサービスにアクセスできません(サービスは最初はすべてのユーザーから隠されています)。最初に認証を行い、次に接続します。
  • 信頼度は接続時に確立され、端末の信頼度、ユーザーの信頼度、場所、時間帯などのコンテキストを含むコンテキストベースのものです。許可されるアクセスのレベルもまた、コンテキストベースであり、粒度が細かく、最小の特権のために構成され、典型的には、ユーザのアイデンティティと役割に基づいて特定のアプリケーションまたはサービスに対して設定されます。
  • ある種のトラストブローカー、コントローラ、またはサービスは、ユーザーと端末の信頼レベルを検証し、これをサービスを保護するゲートウェイまたはエージェントに伝えます。この時点で、通常はゲートウェイからユーザーへのアウトバウンド接続が行われます(インバウンドのファイアウォールルールの必要性を排除し、攻撃の対象となる企業の表面積を大幅に減らすことができます)。
SDP事業への関心が高まっています。この1年間で100件以上の問い合わせを受けています。多くの場合、ユースケースとしては、レガシーなVPNアクセスソリューションの置き換えによるリスク低減や、アプリケーションのIaaSへの移行に伴うDMZの代替としての利用などが挙げられます。ソフトウェア定義境界プロジェクトには、さまざまな用語が使われています。これらのプロジェクトをゼロトラストネットワーキングと呼ぶベンダーもあれば、ソフトウェア定義アクセスやソフトウェア定義アクセス境界線と呼ぶベンダーもある。Googleは、BeyondCorpと呼ばれる独自のSDPペリメーターのビジョンを提供し、社内でユーザーに採用しています。現在、この分野では20社以上のベンダーを追跡しています。

 

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

 

ゼロトラストネットワーキングプロジェクトの概要

これらのゼロトラスト・ネットワーキング・プロジェクトはいずれも、組織の全体的なセキュリティ姿勢を改善する上で即効性があります。どちらのプロジェクトも、接続時の信頼度の評価に基づいて、過剰な信頼度を、よりきめ細やかで文脈に沿ったアクセスに置き換えます。どちらのプロジェクトでも、ネットワーク接続を拡張するためのリスクと現在の状況に応じて十分な信頼性が確立されるまでは、信頼性ゼロ(何も通信できない状態)が初期のセキュリティ姿勢となります。2つのプロジェクトとそれに関連する購買センターは異なるが、両方のニーズに対応するために同じ基盤技術が使用される可能性がある。実際、ゼロトラスト・ネットワーキング・ベンダーの中には、同じ基盤技術を使用して、これらの異なるユースケースの両方に対応できるものもあります。

CARTA が想定している適応型攻撃防御と適応型アクセス防御への包括的なアプローチは、右上隅にある初期のゲーティング評価だけでは終わりません。アクセスが許可されたら?最初の接続が確立されると、CARTA の戦略的アプローチは、攻撃の兆候がないか、資格情報の漏洩がないか、システムの漏洩がないか、異常な動作がないかを監視し、セッションを評価します。相互作用のライフサイクル全体は、セッションの期間中、リスクと信頼のレベルを監視・評価することで保護されなければなりません。信頼度が低下したり、リスクが対策を必要とするレベルまで上昇した場合には、適応的なセキュリティ対応が行われます。 言い換えれば、ネットワーク、データ、API、システム、アプリケーション、サービスなど、すべてのITインフラへのアクセスは、信頼ゼロを起点としたリスクと信頼の継続的な評価に基づいて適応的に行われます。ゼロトラストネットワーキングは、CARTAへのロードマップの最初の一歩です。

CARTAにインスパイアされた信頼がリーン・トラストにつながる

CARTA の戦略的アプローチでは、情報セキュリティを、リスクと信頼のレベルに基づいたデータ駆動型のフィードバックループを持つ、絡み合い、相互に依存した適応的なプロセス、機能、およびコントロールのセットとして捉えています。さらに、CARTA は、このアプローチを新しいデジタル機能の創出やリスクガバナンスにまで拡大しています。リスクと信頼の評価と可視化、そしてコンテキストの交換が、デジタルビジネスの免疫システムとなります。

その結果、私たちが実際に観察しているリスクと信頼の相対的なレベルに基づいて、常に監視、評価、学習、適応を行っている情報セキュリティの未来の姿が見えてきます。情報セキュリティは、データ駆動型の継続的な改善プロセスになりつつあります。CARTA を構築する研究では、製造業における継続的な改善との類似点を多く発見しました。

デジタルビジネスの世界では、物事を成し遂げるためには信頼が必要です。一度拡張された信頼は、固定された量であってはなりません。信頼は、現在の状況やリスクレベルに応じて適応し、最適化されなければならない。私たちはこれを「ジャストインタイム、ジャストイーブンの信頼」と表現してきましたが、これはリーン製造オペレーションにおける在庫によく似ています。同様に、製造業では、物事を完了させるために在庫が必要です。”セキュリティにおける「信頼をゼロにする」というのは、製造環境における「在庫をゼロにする」のと同じことです。両方とも、熱望的である。しかし、信頼、および在庫は、物事を完了させるために必要とされています。

また、一度信頼が広がれば、リスクは避けられない。製造業では、生産が始まれば、ある程度の数の欠陥は避けられません。”リスクゼロ “は “欠陥ゼロ “と同じくらい達成不可能です。単に「不良ゼロ」をイデオロギーとして採用するだけでは、継続的改善のためのライフサイクルアプローチやシックスシグマの品質管理プログラムの方法論は生まれません。シックスシグマは、製造業における継続的改善のための規律ある戦略的アプローチです。それが情報セキュリティのCARTAであり、リスクと信頼を継続的に評価することで、情報セキュリティに継続的な改善をもたらす規律ある戦略的アプローチなのです。CARTAの戦略的アプローチは、情報セキュリティのためのシックスシグマです。

信頼は、インベントリと同様に、現在の状況に応じてリスクを最適化しなければなりません。ゼロの信頼はゴールではなく、リーンの信頼(「リスクに最適化された信頼」、「リスクに応じた信頼」、「適応的な信頼」とも言う)がゴールです。リーン生産では、継続的な改善とデータに基づいた意思決定が、適応して無駄を最小限に抑えるために用いられます。リーン・トラストでは、CARTAにインスパイアされた継続的な改善とデータに基づくリスクベースの意思決定が、ジャスト・イン・タイムなジャスト・イーブン・トラストを提供するために使用されます。過剰な在庫と同様に、過剰な信頼は無駄であり、組織にとってのコストとなります。トラストの使用は、在庫と同様に最適化されなければなりません。CARTA の戦略的アプローチは、現在の状況やリスクレベル、組織のリスク許容度を考慮した上で、無駄のない信頼(ジャストインタイムで十分な信頼)をサポートするセキュリティインフラを想定しています。

ここで紹介した 2 つのゼロトラストネットワーキングプロジェクト以外にも、情報セキュリティの分野には、過剰な信頼が攻撃者の標的となる潜在的なリスクの集中を生み出しているものがたくさんあると考えています。CARTAにインスパイアされた「リーン・トラスト」や「リスクに最適化されたトラスト」の概念を適用することで、組織はこれらの過剰な信頼の特定の領域をターゲットにすることで、全体的なセキュリティ態勢を大幅に改善することができると考えており、今後の研究で検討されるであろう新しいアプローチを用いています。

終わりに:ゼロトラストはフレームワークではなく概念です

ゼロトラストは有用なネットワークセキュリティの概念ですが、フレームワークではありません。CARTA とは、情報セキュリティの戦略的フレームワークであり、リスクと信頼の動的なレベルが継続的に評価され、セキュリティインフラストラクチャが最適化され、拡張された信頼のレベルが最適化されるように適応されます。CARTA は、ゼロトラストの概念をリーントラスト、つまり企業の現在の状況とリスク許容度に応じてジャストインタイムで十分な機能を提供し、継続的に監視、評価、適応して企業のセキュリティ態勢を改善するという概念に拡張します。CARTAにインスパイアされたリーン・トラストの概念を、ネットワークを始めとする企業内の過剰な信頼の領域に適用し、他の領域にまで拡張することで、2019年以降のセキュリティ態勢を大幅に改善することができます。
より詳しくゼロトラストの原理や原則を知りたい方はホワイトペーパーもご覧ください。

SNSでもご購読できます。

コメントを残す

*