fbpx

ゼロトラストのサイバーセキュリティの最新動向

好きな所から読む

エグゼクティブサマリー

最近のテクノロジーの進歩は、民間企業の能力や市民の期待に追いつくために、政府サービスを大幅に近代化する多くの機会を生み出しています。深刻なサイバーセキュリティ事件の拡散と継続は、政府のシステムとデータを保護するための現在のアプローチが不十分であることを示しています。今日のシステムは拡大し、モバイルやクラウド対応の環境へと進化しており、従来の境界線ベースのサイバーセキュリティアプローチは限界点に達しています。これらの欠陥や課題に効果的かつ迅速に対処しない限り、政府は国家資産を適切に保護することができず、テクノロジーの進歩がもたらす潜在的な利益を実現することができません。明らかに、サイバーセキュリティに対する新たな、より効果的なアプローチが必要とされています。「ゼロトラスト(ZT)」として知られる新しいアプローチは、システムとデータを保護する機関の能力を大幅に変え、改善する可能性を秘めています。ZTは、組織が人、データ、情報システム間のすべての相互作用を積極的に制御し、セキュリティリスクを許容できるレベルまで低減する必要があるという原則に基づいたセキュリティ概念です。

予算面での課題が増大し、人員の過剰な負担が生じ、有能な人材の採用と維持が困難になっているにもかかわらず、各機関は、新たな脅威やサービス要件に対応するために、老朽化したサイバーセキュリティ・アーキテクチャを近代化することが求められています。ACT-IACは、連邦CIO評議会からZT技術の成熟度、政府機関での使用に対する準備状況と適合性、ZTを追求することを選択した場合に機関が直面するであろう問題点を評価するよう依頼されました。本レポートは、その結果をまとめたものです。

現代のITセキュリティソリューションは、いくつかの最低限の特徴を組み込む必要があります。

  1. 信頼の枠組みの中で、ユーザー、デバイス、データ、サービスを分離し、すべてのアクセス要求が検証され、意図的に許可または不許可になるようにする
  2. 管理者に大きな負担をかけずに、攻撃に対して耐性があり、回復力があること
  3. 刻々と変化するサービス環境にも(自動的にではなくても)大きな事務負担をかけずに、簡単かつ迅速に対応できるようになること

ZT は、すべてのユーザー、デバイス、データ、サービス要求を同じように扱うことで、これらの特性を満たします。ZTは、組織内のすべての資産をオープンにしてアクセス可能にするという従来のセキュリティポリシーから、アクセス可能な資産に対して継続的な認証と承認を必要とするものへと移行します。この根本的な変化こそがZTの本質です。ZTは買うものではなく、セキュリティの概念、戦略、アーキテクチャ設計のアプローチです。

作業の過程で、ZTソリューションは広く利用可能であり、現在民間部門で使用されていることがわかりました。多くの企業がZTをサポートする新しい機能やソリューションを開発しており、市場では健全な競争が行われています。私たちは、現在、単一のベンダーが提供する単一の総合的なZTソリューションは存在しないことを観察しました。包括的なソリューションを取得するには、複数のベンダーの製品やサービスを統合する必要があります。多くの企業は、より包括的で統合された相互運用可能なソリューションを提供するために、他社との戦略的パートナーシップや契約を結んでいます。また、いくつかの異なるZTアーキテクチャのアプローチが、代理店が選択できるようになっていることもわかりました。

ZT を実装しても、既存のネットワークを大幅に置き換えたり、新しい技術を大量に取得したりする必要はありません。ZT は、他の既存のサイバーセキュリティ慣行やツールを補強すべきです。多くの連邦政府機関では、すでにインフラストラクチャに ZT の要素があり、日常業務で ZT をサポートするプラクティスに従っています。ID クレデンシャルおよびアクセス管理(ICAM)、信頼アルゴリズムに基づくアクセス標準、自動化されたポリシー決定、および継続的な監視などの要素は、ZT を成功させるための重要な補完要素です。ZT は、増分的なアプローチに適しています。ZT は、その規模、ペース、リスク許容度、および最終的な実施範囲について、機関に多くの余裕を与えてくれます。しかし、組織にとって重要なのは、ZTの実装を始める前に、ユーザーとその役割、データ、およびテクノロジー資産をしっかりと把握しておくことです。

ZT の実装には、「全省庁的」な取り組みが必要です。ZT はミッション・プログラム・システムのセキュリティ、リスク、パフォーマンスに影響を与える可能性があるため、機関長と影響を受けるプログラム・リーダーが IT スタッフと協力して ZT の設計と実装に取り組むことが不可欠です。このような取り組みがなければ、たとえプロジェクトが要件に100%準拠していたとしても、情報技術(IT)プロジェクトの失敗と認識される率が高くなる可能性があります。ZTは、IT主導の取り組みではなく、ミッション主導の取り組みである必要があります。

プロジェクトの背景

2017年5月、大統領は連邦政府全体のITの安全かつ効率的な利用を促進するために米国技術会議(ATC)を設立し、連邦政府のIT近代化に関する報告書を作成するよう指示しました。2017年後半に発表されたIT近代化報告書と、それに関連する行政命令2により、各機関は「…ネットワーク周辺の保護とレガシーな物理的展開の管理から、連邦データの保護とクラウドに最適化された展開へと移行する」ことができるようになります。この取り組みを成功させるためには、応用技術だけでなく、法律、政策、リソース配分、買収、労働力の分野においても、新しいアプローチと戦略が必要であることを認識しています。

2018年5月、連邦CIO評議会サービス・戦略・インフラ委員会は、ACT-IACにゼロトラスト(ZT)と連邦機関の採用の可能性に関連したプロジェクトの実施を依頼しました。同時に、連邦政府機関は、2023年3月までに、現在のGSA(General Services Administration)のNetworx契約から新しいEIS(Enterprise Infrastructure Solutions)契約へのネットワーク・サービスの移行を開始しました。連邦政府は、ITの近代化とEISへの移行が合流することで、各機関のネットワーク・サービスの提供とデータ保護を大幅に変革する絶好の機会を得ています。

ACT-IACでは、主にネットワーク、通信、サイバーセキュリティの各コミュニティの政府・業界有志によるプロジェクトチームを立ち上げました。彼らの作業は、ZT技術とサービスの調達のための技術的成熟度と可用性を評価し、連邦政府機関の潜在的な採用に関連するその他の重要な問題を特定し、対処することを目的としています。

このプロジェクトでは、2 つのワーク・ストリームに焦点を当てました。最初のワーク・ストリームでは、ZTをサポートするために市場で利用可能な実用的なツールを評価し、まだ調達可能ではない想定される機能を特定しました。市場調査では、実際の実装に基づいて、技術の成熟度と準備、使用への適合性、スケーラビリティ、手頃な価格を評価することに焦点を当てました。このワーク・ストリームでは、すでに商用および公共部門にZTの要素を提供している6社(Cisco、Duo、Palo Alto、Zscaler、Fortinet、Cyxtera)によるプレゼンテーションとデモンストレーションが行われました。2つ目のワーク・ストリームでは、信頼アルゴリズムに焦点を当てました。これらの動的アルゴリズムは、包括的なZTソリューションに不可欠な信頼スコアを生成するために使用されます。信頼スコアは、定義された基準に基づいてアクセスを許可、制限、または拒否するために使用されます。プロジェクトチームは、このテーマについて連邦政府機関に助言を与えるために、信頼アルゴリズムに関する既存の作業の理解を深めました。

初期の議論の中で特定された、実施や政策上の問題、パイロット・プロジェクトを含む他の潜在的な研究分野は、本報告書の範囲外です。ACT-IACは、要請があれば、将来的にこれらの問題に対処するための追加的な作業を実施する可能性があります。

ゼロトラストとは何か?

ゼロトラストは、クラウドやモバイルコンピューティングの利用が加速し、アクセスや認証の方法が変化していることを目の当たりにした英国の最高情報セキュリティ責任者(CISO)のグループであるジェリコ・フォーラムによって、2004年にセキュリティ設計のコンセプトとして導入されました。この先見性のあるグループは、従来の境界線が解消されつつあり、ワークフローがクラウドに移行し、アプリケーションへのアクセスはモバイルエンドポイントが主流になりつつある世界に適したセキュリティモデルを提案しました。近年、堅牢で高速な5Gネットワークへの移行に伴い、一部の組織ではネットワークサービスを全く提供すべきかどうか疑問視されるようになり、この傾向が加速しています。2010年、Forrester社で調査を行っていたJohn Kindervag氏は、ジェリコ・フォーラムが提起した非境界化問題を解決する方法として、「ゼロトラスト」または「ゼロトラスト・ネットワーク」という言葉を生み出しました。それ以来、ゼロトラストへの関心が高まっているのは、溶解する境界線や常に移動する境界線に対処するための潜在的なセキュリティ・アプローチとしてのゼロトラストです。

既存の企業ネットワークのほとんどはフラットであり、データとユーザーネットワークの分離はほとんどありません。従来のハブ&スポーク型ネットワークモデルの弱点は、そのアーキテクチャにあります。ファイアウォールを介して信頼から不信への谷間を越えることは、本質的にリスクを伴います。その代わり、ゼロトラストでは、ネットワーク境界線の「内側」と「外側」を区別しなくなります。

一般的に、ゼロトラストは:

  • どこにでも、どこからでも、どのような方法でも、どこにでも存在するデータにアクセスするユーザーの一貫したセキュリティ戦略を提供します。
  • サービスやデータにアクセスする際には、「絶対に信頼せず、常に検証する」というスタンスを前提としています。
  • リクエストの発信元がどこであろうと、継続的な承認を必要とします。
  • ネットワーク全体の可視性と分析を向上させます。

さらに、ゼロトラストは5つの基本的な主張に依存しています。

  • ネットワークは常に敵対的であると仮定している。
  • 外部脅威と内部脅威が常にネットワーク上に存在する。
  • ネットワークの局所性は、ネットワークの信頼性を決定するのに十分ではない。
  • すべてのデバイス、ユーザ、ネットワークの流れは認証され、承認されている。
  • 方針は、できるだけ多くのデータソースから動的に計算されなければならない。

ゼロトラストの基本的な柱

ゼロトラストは、組織化の枠組みとともに、意思決定者やセキュリティリーダーが実用的で効果的なセキュリ ティ対策を実現できるようにする戦略的な取り組みと考えることができます。ZT の取り組みは、成功するためには、政策、実践、技術の難しい組み合わせを取り入れ、調整し、統合する必要があります。概念的なセキュリティモデルは、これらの構成要素を理解し、整理するのに役立ちます(ゼロ トラスト・セキュリティ・モデルの例については、図1を参照)。

 

図1 – ゼロトラスト・セキュリティ・モデルの6つの柱

 

ミッションフォーカス

ミッションプログラムとエグゼクティブリーダーがゼロトラスト能力の必要性を理解し、サポートすることが、確実に導入を成功させることにつながります。IT能力は、ミッションを実現するために組織内に存在するものであり、それ自体のために存在するものではありません。この論理はゼロトラストにも当てはまります。情報保護の必要性は、IT 組織が果たすべきミッションによって推進されるべきです。IT 組織は、ミッションおよび上級指導者と協力して、ゼロトラストのための組織要件を作成するために、支援とチャンピオンを集めるべきです。

データファウンデーション

ゼロトラスト・アーキテクチャの目的は、データを保護することです。ゼロトラスト・アーキテクチャの導入を成功させるためには、組織のデータ資産を明確に理解することが重要です。組織は、ミッションクリティカル性の観点からデータ資産を分類し、この情報を使用して全体的なZTアプローチの一環としてデータ管理戦略を策定する必要があります。

柱1 – 利用者
人物/身元保証

信頼されたユーザーの継続的な認証は、ZTにとって最も重要です。これには、ICAM(Identity, Credential, and Access Management)や多要素認証のような技術の使用と、ユーザーのアクセスと権限を管理するためのユーザーの信頼性の継続的な監視と検証が含まれます。従来のウェブゲートウェイソリューションのような、ユーザーとのやり取りを安全に保護するための技術も重要です。

柱2 – デバイス
デバイスのセキュリティ

リアルタイムのサイバーセキュリティの姿勢とデバイスの信頼性は、ZT アプローチの基本的な属性です。モバイル・デバイス・マネージャのような「記録システム」ソリューションの中には、デバイスの信頼性評価に有用なデータを提供するものがあります。さらに、その他の評価は、アクセス要求ごとに実施されるべきです(例:侵害状態、ソフトウェアのバージョン、 保護状態、暗号化の有効化などの検査)。

柱3 – ネットワーク
ネットワークセキュリティ

ネットワーク、ワークフロー、ツール、運用において、境界保護の重要性が薄れてきているという意見もあります。これは、単一の技術やユースケースに起因するものではなく、むしろ、ユーザーが新しい方法で作業したり、通信したりすることを可能にする多くの新しい技術やサービスの集大成です。ゼロトラスト・ネットワークは「境界線がない」と表現されることがありますが、これはちょっとした誤記です。ゼロトラスト・ネットワークは、実際にはネットワークのエッジから境界線を移動させ、重要なデータを他のデータからセグメント化して分離しようとしています。境界線は、より詳細な方法ではありますが、依然として現実のものです。従来のインフラストラクチャ・ファイアウォールの境界「城と堀」のアプローチでは十分ではありません。境界線は、保護と制御を強化するために、マイクロセグメンテーションと連携してデータに近づかなければなりません。

機関がネットワークを成長させ、ソフトウェア定義ネットワーク、ソフトウェア定義ワイドエリアネットワーク、インターネットベースの技術への部分的または全面的な移行を図る中で、ネットワークセキュリティは拡大しています。(a)特権的なネットワークアクセスの制御、(b)内部および外部のデータフローの管理、(c)ネットワーク内の横移動の防止、(d)ネットワークおよびデータトラフィックに関する動的なポリシーおよび信頼性の決定を行うための可視性の確保が非常に重要になります。ネットワークをセグメント化し、分離し、制御する能力は、セキュリティの重要なポイントであり、ゼロトラスト・ネットワークに不可欠であることに変わりはありません。

柱4 – アプリケーション
アプリケーションとワークロードのセキュリティ

コンピュートコンテナや仮想マシンだけでなく、アプリケーションレイヤーの安全性を確保し、適切に管理することは、ZTの採用の中心となります。テクノロジースタックを識別して制御する能力を持つことで、より詳細で正確なアクセス決定が容易になります。当然のことながら、多要素認証は、ZT環境におけるアプリケーションへの適切なアクセス制御を提供する上で、ますます重要な要素となっています。

柱5 – 自動化
セキュリティオートメーションとオーケストレーション

ZT は、ワークフローを通じて製品全体のタスクを自動化し、エンドユーザの監視と対話を可能にするセキュリティ自動化対応ツールを、調和のとれた、費用対効果の高い形でフルに活用しています。セキュリティ運用センターは、セキュリティ情報やイベント管理、ユーザーやエンティティの行動分析のために、他の自動化ツールを一般的に利用しています。セキュリティ オーケストレーションは、これらのセキュリティ ツールを接続し、異種のセキュリティ システムの管理を支援します。これらのツールが統合された形で動作することで、手動での作業やイベントの反応時間を大幅に短縮し、コストを削減することができます。

柱#6 – アナリティクス
セキュリティの可視性とアナリティクス

見えない、理解できない脅威には対処できません。ZTは、セキュリティ情報管理、高度なセキュリティ分析プラットフォーム、セキュリティユーザー行動分析、その他の分析システムなどのツールを活用して、セキュリティの専門家が何が起きているかをリアルタイムで観察し、よりインテリジェントに防御を方向付けることを可能にします。サイバー関連のイベントデータの分析に重点を置くことで、実際のインシデントが発生する前にプロアクティブなセキュリティ対策を開発することができます。

その他のゼロトラスト・セキュリティ・モデル

組織がコンセプトを理解し、ゼロトラストを環境に導入するための取り組みの指針となるように、他にもいくつかのモデルがあります。その 1 つが Forrester社 によって開発された Zero Trust eXtended (ZTX) Ecosystem framework です。このフレームワークは、セキュリティアーキテクチャと運用のプレイブックとして説明されています。もう一つのモデルは、Gartner社の「CARTA(Continuous Adaptive Risk and Trust Assessment)」 というモデルです。CARTAは、セキュリティのあらゆる面で新しいアプローチが必要とされる高度な脅威が存在する環境で、デジタルビジネスの変革を支援するためのアプローチとして説明されています。ゼロトラストは、全体的なCARTAセキュリティアプローチのサブコンポーネントになります。

個人情報の取り扱い

プライバシーをZTアーキテクチャの設計とライフサイクル・プロセスに統合することは非常に重要です。コンピューティングを「エッジ」に押し上げ、相互接続された情報システムやデバイスの世界がますます複雑になるにつれ、IT投資に関するプライバシーへの懸念が高まっています。プライバシー制御をセキュリティ制御カタログに完全に統合することは、NIST SP 800-53(rev 5)の次世代のセキュリティおよびプライバシー制御標準の主要な目的です。ZT の実装では、ユーザの行動を監視したり、ユーザの身元を追跡したりするために、新たな異なるアプローチが必要になる可能性が高いです。ZT の実践者は、適用されるプライバシーに関する法律、規制、標準、およびポリシーに準拠していることを確認する必要があります。この分野での成功は、設計と開発の努力を代理店のプライバシー担当者と密接に調整することで達成できます。2002年電子政府法第208条で要求されているように、すべてのZT実装が機関のプライバシー影響評価(PIA)で適切に開示されていることを確認することが特に重要です。プライバシーリスクの管理に関する追加情報については、NISTIR 8062「An Introduction to Privacy Engineering and Risk Management in Federal Systems」を参照してください。

BeyondCorp – ゼロトラストの一例

ゼロトラストの実装の初期の例として最も話題になり、文書化されているのは、Google の「BeyondCorp」モデルです(図 2 を参照)。BeyondCorpは、実際のゼロトラスト導入の例として提供されています。Googleは営利企業ですが、その内部構成要素の多くは、どの企業にとっても馴染みのあるものであるはずです。この例は説明のために提供されているものであり、他の組織による採用を推奨するものではありません。

BeyondCorpは、従来の境界線ベースのセキュリティでは内部ネットワークやデータを保護するには十分ではないという独自のゼロトラストの前提に基づいています。また、Googleは、クラウド技術の成長と、オンプレミスのデータセンターからクラウドが提供するアプリケーションやサービスへのアプリケーションの移行を認識し、推進しています。BeyondCorpのゼロトラストのアプローチには、いくつかの原則が不可欠です。

  • 特定のネットワークからの接続によって、アクセスできるサービスが決まるわけではありません。
  • サービスへのアクセスは、顧客と顧客のデバイスに関する情報に基づいて許可されます。
  • サービスへのアクセスは、すべて認証、承認、暗号化されている必要があります。

さらに、Google BeyondCorpは、上記のゼロトラストの柱にマッピング可能な以下のコンポーネントを特定しています。

  • シングルサインオン
  • アクセスプロキシ
  • アクセス制御エンジン
  • ユーザーインベントリ
  • デバイスインベントリ
  • セキュリティポリシー
  • トラストリポジトリ
  • ユーザーインベントリ 【訳注:原稿(9ページ目)通りに記載したが以下4行分は重複】
  • デバイスインベントリ
  • セキュリティポリシー
  • トラストリポジトリ

コンポーネントは Google Cloud Platform の一部として提供され、多くのコンポーネントは Google Integrated Access Proxy によって提供されます。これはクラウドのみの配信戦略であるため、ソフトウェア定義境界線の使用を補完するために仮想ソフトウェアベースのソリューションを使用する必要があります。アプリケーションは、粒度の細かいアクセス制御が可能なクラウドに移行されます。これにより、アプリケーションにGoogleイントラネットへのアクセスを許可する必要がなくなります。

Googleは、Google Cloud Platform上で配信されるホストアプリケーションへのアクセスを制御するための実施ポイントとして機能するプロキシベースのアプローチを使用しています。このプロキシベースのアプローチは改良され、ゼロトラストの重要な柱を制御するCloud Identity-Aware Proxyとして提供されています。

 

図2 – GoogleのBeyondCorpモデル

信頼の確立が基本

フレームワークとして、ゼロトラストは生来の不信感(「デフォルトの拒否」)を暗示しており、継続的な監視と評価を重視した適応的な導入モデルを必要としています。動的で文脈に応じた信頼の拡張は、クレデンシャル・ポリシーが割り当てるしきい値に基づいてアクセスを制限します。この信頼中心のシフトにおける最初の質問の 1 つは、「何かがどれだけ信頼できるかをどのように判断するのか」ということです。多くのセキュリティ組織は、この質問に答えるのに苦労しています。従来のプログラムは、すべてのデータとトランザクションが信頼されていると仮定しており、危殆化、データの損失、悪意のある行為者などがその信頼性を低下させることになります。ゼロトラストは、最初からすべてのデータとトランザクションが信頼されていないと仮定することで、信頼の計算を反転させます。新しい問題は、「どうすれば十分な信頼を得ることができるか」ということです。いくつかの重要なコンセプトやコンポーネントはすべての導入に適用できますが、すべての組織に適用できる定型的な公式はありません。信頼は、組織のニーズや焦点によって変化します。ゼロトラスト環境では、データ、ユーザー、デバイス、アプリのコントロールを統合して、すべてのトランザクションの信頼性を管理します(図3参照)。

 

図3 – ゼロトラスト・トライアングル

トラストエンジンは、ネットワーク内のユーザー、デバイス、またはアプリケーションにトラストスコアを与えることで、ネットワーク内のユーザー、デバイス、またはアプリケーションの全体的な信頼度を動的に評価するために使用される技術です。トラストエンジンは、計算されたトラストスコアを使用して、各トランザクション要求に対してポリシーベースの認可決定を行います。

トラストスコアとは、特定のユーザー、デバイス、またはアプリケーションの信頼性を判断するために使用される、事前に定義された、または組織によって選択された要因や条件から計算された値のことです。トラストスコアを決定するための潜在的な要因の例としては、場所、時間帯、アクセスの長さ、取られた行動などの情報があります。

マイクロセグメンテーションは、データセンターのアプリケーションに対して、デバイスだけでなくワークロードレベルに至るまで、きめ細かなセキュリティポリシーを割り当てることができるセキュリティ技術です。つまり、セキュリティポリシーを仮想ネットワーク、仮想マシン、オペレーティングシステムなどの仮想セキュリティ対象と同期させることができます。

ゼロ トラスト・トライアングル内では、トラストエンジンは、トラストスコアを使用して、ネットワークに入ってきたエージェントの信頼性を評価します。エージェント、または「ネットワークエージェント」とは、ネットワークリクエストのアクターについて知られているデータの組み合わせに与えられる用語で、通常はユーザー、アプリケーション、およびデバイスが含まれます。このデータの組み合わせは、状況に応じたコンテキストを提供し、可能な限り最善の認証決定を行うために、リアルタイムで要求に応じて照会されます。トラストスコアが計算された後、ユーザー、アプリケーション、デバイス、およびスコアは、エージェントを形成するために結合されます。その後、リクエストを認可するためにエージェントに対してポリシーを適用することができます。

ゼロトラストのアーキテクチャは、コントロールプレーン/データプレーンモデルに基づいています(図4参照)。コントロールプレーンは、ネットワークリソースへのアクセス(またはアクセスを許可)を希望するデータプレーンデバイスからの要求を受信して処理するコンポーネントで構成されています。ゼロトラスト・アーキテクチャ内の他のほとんどすべてのものはデータプレーンと呼ばれ、制御プレーンが調整して構成します。データプレーンには、ネットワーク上のすべてのトラフィックを直接処理するアプリケーション、ファイアウォール、プロキシ、ルーターのすべてが含まれています。

図 4 に示すアーキテクチャは、保護されたリソースへのアクセス要求をサポートしており、まず、デバイスとユーザの両方が認証されて承認されている必要がある制御プレーンを介して行われます。この層では、組織内の役割、時間帯、デバイスの種類などに基づいて、より詳細なポリシーを適用することができます。より安全なリソースへのアクセスには、さらに強力な認証が必要となる場合があります。制御プレーンがリクエストを許可することを決定すると、制御プレーンはそのクライアント(およびそのクライア ントのみ)からのトラフィックを受け入れるようにデータプレーンを動的に設定する。さらに、制御プレーンは、要求元とリソース間の暗号化されたトンネルの詳細を調整することができます。これには、一時的な一度限りの認証情報、鍵、およびエフェメラルポート番号を含めることができます。これらの対策の強さによっては、いくつかの妥協をすることができますが、基本的な考え方は、権威のあるソース、または信頼できるサードパーティに、さまざまな入力に基づいて、リアルタイムで認証、承認、およびアクセスの調整を行う能力を付与するということです。

 

図4 – ゼロトラスト・アーキテクチャ内の制御とデータプレーンの機能性

エージェント内に含まれる情報の豊富さは、非常に柔軟でありながらもきめ細かいアクセス制御を可能にし、ポリシーにスコアコンポーネントを含めることで、様々な条件に適応することができます。リクエストが承認された場合、制御プレーンはデータプレーンに着信リクエストを受け入れるように信号を送ります。このアクションでは、暗号化の詳細も設定することができます。暗号化は、デバイスレベル、アプリケーションレベル、またはその両方で、静止中のデータと動作中のデータに適用することができます。機密性を確保するためには、少なくとも1つは必要です。

これらの認証と承認のコンポーネントと、暗号化されたチャネルを調整するためのコントロールプレーンの助けを借りて、ゼロトラストモデルは、ネットワーク上のすべてのフローが認証され、期待されたものであることを保証することができます。ホストとネットワークデバイスは、これらのコンポーネントがすべて適用されていないトラフィックを落とすことができ、機密データ漏洩の可能性を大幅に減らすことができます。さらに、コントロールプレーンのイベントとアクションをログに記録することで、ネットワークトラフィックをフローごと、またはリクエストごとに簡単に監査することができます。

ゼロトラストのメリット

ゼロトラスト・アーキテクチャへの移行を評価する際には、組織内の技術リーダーとビジネスリーダーの両方が潜在的なメリットを認識していなければなりません。ZT の中核的な成果は、より安全なネットワークの構築、データの安全性の向上、違反による悪影響の軽減、コンプライアンスと可視性の向上、サイバーセキュリティコストの削減、組織の全体的なリスク姿勢の改善に焦点を当てる必要があります。実現されるメリットは、ZT の原則がどの程度導入されているか、また使用されている運用モデルによって異なります。データの紛失や盗難、知的財産の流出、その他のタイプの侵害は、組織に金銭と評判の損失をもたらします。このような事態を回避することが、ZT の導入を成功させる鍵となります。

より安全なネットワーク

「決して信頼せず、常に検証する」アプローチを導入することで、ネットワーク全体で何が起こっているかの可視性を強化する必要があります。新しいツールにより、アクセスを要求するすべての人のユーザー、デバイス、場所、および評判に対する可視性を高めることができます。オペレータが見えないものを予防したり、修復したりすることは難しいため、可視性が鍵となります。ユーザー、デバイス、行動が認識されなかったり、ユーザーのベースラインリスクスコアから外れていたりすると、そのユーザーは落とされてしまいます。また、ZTは内部アーキテクチャをセグメント化して、システムへの侵入に伴うユーザーの「ローミング」を制限しています。

従来、企業はセグメント化の方法として「内部ファイアウォール」を導入してきましたが、今日ではマイクロ・ペリメーターを可能にする拡張アプローチが利用可能になりました。ZT を使用すると、ユーザーはもはやログインして「ネットワークを使いこなす」ことはできません。代わりに、事前に設定した信頼レベルとアクセスにリンクされた特定のマイクロ・ペリメーターのみの使用が許可されます。

しかし、ZTの厳しいネットワーク、アプリケーション、およびデータアクセス規則の実装には課題があります。まず、強力なアイデンティティ管理および認証ツールを適切に構成し、継続的に再調査する必要があります。ユーザープロファイルを最新の状態に保ち、信頼アルゴリズムを慎重に設計して、適切なアクセスと使用権を促進する必要があります。第二に、ユーザーは、重要なデータやシステムへのアクセスが厳しい監視下に置かれていることに気づくかもしれませんし、慣れ親しんだものよりも時間がかかるかもしれません。

より安全なデータへのこだわり

ネットワークを通過し、ネットワーク内に保存されたデータを保護することは、ネットワークの価値の主要な部分です。静止中であれ移動中であれ、すべてのデータを保護することはZTアーキテクチャの主要な柱となります。この保護を支援するキーテクノロジーには、暗号化、仮想プライベートネットワーク(VPN)、データ損失防止機能などがあります。ネットワーク オペレータは、保護の種類ごとに個別のツールを選択することも、複数の機能を提供する統合ツールを選択することもできます。

クラウド・コンピューティングへの移行や「モノのインターネット」デバイスの増加に伴う最近のトレンドは、ネットワークのエッジを広げています。これにより、データが操作される機会が生まれる可能性があるため、相互接続されたネットワーク上を移動するデータの保護を拡大することが重要になります。ZTのアプローチでは、価値の高いデータを特定し、そのデータの保護に優先順位をつけることを強調しています。ネットワーク・セグメンテーションでデータを保護することで、「レンガ」攻撃(削除されたデータ)を回避することができ、データの完全性を高く保ち、費用のかかる修復訴訟の可能性を減らすことができます。

暗号化されたデータ保管庫を作成する新しいデータ・アーキテクチャに関連する主な課題は、さまざまなレベルの認証を必要とするハイブリッド・クラウド環境にデータを分散させることです。このようなアプローチでは、ユーザーがデータにアクセスするまでの待ち時間が許容できないほど長くなる可能性があります。このため、慎重なデータ・アーキテクチャの計画と、しっかりとしたリスク管理の決定に基づいたデータ分類の決定が必要となります。

既存および進化する脅威からの保護強化

従来、セキュリティ研究者が発見した脆弱性に対するパッチをリリースすると、脅威は急速に進化していきます。時が経つにつれ、最先端の企業は、脆弱性の調査に対して「バグ・バウンティ」という形で支払いを提供することが、脆弱性のあるシステムが悪用される前に脆弱性を特定するための非常に効果的な(そして有利な)方法であることを知りました。これは、事実上、正当なセキュリティ研究者を敵対的な「ハッカー」に追い込むことになります。この両者の競争は、脅威の状況を進化させ続けています。しかし、脆弱性市場が組織に利益をもたらす一方で、州に本拠地を置く敵対的な行為者も進化しています。

国家が資金を提供しているハッカーは、十分な訓練を受けており、リソースも豊富で根強いです。多くの国家が攻撃的なサイバー能力を持っており、それをフルタイムの仕事にしているという十分な証拠があります。人工知能や機械学習と国家レベルのエクスプロイトコード(例:Eternal Blue)を組み合わせたような新しい戦術、技術、手順の使用は、指数関数的に増加しています。これにより、脆弱性のある組織のセキュリティ運用チームは、対応しきれないほど多くのインシデントで圧倒されることになります。また、攻撃者は、これまで見たこともないようなスピードと正確さで、侵害された組織内を横方向に移動することが可能になります。新しいセキュリティ機能は、新しい現実に対応し、外部からの攻撃(インターネット上で発見可能なもの)と内部からの攻撃(インサイダーの脅威)の両方を効果的に低減させなければなりません。

ゼロトラストは、これらの問題にも同様の方法で対応しています:十分な認証なしにサービスやデータへのアクセスを拒否します。現在の標準的なネットワーク設計では、ネットワーク・エージェントは、記憶されたパスワードとトークン・コードまたはハードウェア認証機能を生成するという二要素プロセスを経てアクセスを許可されるのが一般的です。行動的信頼スコア、ロケーションID、およびマイクロセグメンテーションに関連付けられたZTコンポーネントを追加すれば、ネットワーク上でエージェントを許可するかどうかの判断を強化することができます。ネットワーク上に入ると、許可されていない領域にローミングする能力を防ぐことができます。ZTの機能を次世代ファイアウォール、データ損失防止、行動ヒューリスティックなどの従来のツールと組み合わせることで、ネットワークをさらに強化することができます。

強力な認証に関連する課題には、ユーザーの利便性、プロセスの複雑さ、アクセスの適時性、認証プロセスを「叩く」ための既知の脆弱性などがあります。例えば、認証目的で使用される多くの一般的なセキュリティ上の質問への回答は、公の記録(例:父親のミドルネーム)や社会的に加工されたもの(例:フィッシングメールや電話)から見つけることができます。同様に、誰かのバイオメトリクスデータが盗まれた場合、それは生涯にわたって危険にさらされることになります。

侵害による影響の軽減

ZT アーキテクチャを実装することで、ネットワークがセグメント化され、ユーザーに制限されたアクセスが与えられるため、侵害の影響を軽減することができます。侵害による影響を小さくすることで、ビジネスの混乱を軽減し、修復コストを低く抑えることができます。侵害による影響が小さくなれば、組織の評判や顧客や利害関係者からの信頼を維持することができます。セグメンテーションは、侵害の影響を受ける領域を限定するための重要な技術です。個々のユーザーがアクセスする必要のあるネットワークの領域のみにアクセスを制限することで、侵害の影響を小さくすることができます。

課題は、ネットワーク・パフォーマンス、アプリケーション・パフォーマンス、およびビジネス・ワークフローのニーズへの有害な影響を回避しながら、セキュリティ層を向上させるために、適切なネットワーク・セグメンテーションを提供することです。アクセス制御は依然として不可欠ですが、強力な識別と認証管理の実践、ポリシー、およびツールによって強化する必要があります。

コンプライアンスと可視性の向上

連邦情報セキュリティ管理法、連邦リスクおよび認可管理プログラム(FedRAMP)、信頼されたインターネット接続(TIC)3.0、および米国標準技術研究所(NIST)の出版物など、連邦政府機関のネットワークに対する既存または保留中のコンプライアンス要件には事欠かないものがあります。これらの要件をネットワーク全体に適用することは困難ですが、セグメント化されたアプローチにより、多くの場合、より小規模で関連性の高い監査でコンプライアンスに対処することができ、機関はより迅速にコンプライアンス要件を満たすことができます。再利用可能なテンプレート・アプローチは、類似した特性を持つネットワーク・セグメントに使用することができます。主な利点は、コンプライアンスへの迅速な対応です。また、ZT アーキテクチャ内の可視性が向上するという利点もあります。誰が、何を、どこで、どのような行動をしているかの可視性を向上させることで、ネットワーク事業者は行動や活動をより詳細に記録することができます。可視性の向上から処理されたアナリティクスは、ネットワーク事業者にさらなる利益をもたらします。

強力なネットワーク・セグメンテーションを実施し、CISO に類似のネットワーク・セグメンテーション用の共通テンプレートの再利用を受け入れてもらうには、確かに課題があります。さらに、監査機関(内部および外部)は、セグメント・ネットワークの小規模でターゲットを絞った監査に参加し、存在する相互依存性を理解する必要があります。

潜在的なコスト削減

コストの削減は、統合ツールの改善、VPN の使用量の削減、運用モデルの簡素化、データの損失、訴訟、および評判の低下の回避につながります。これらの潜在的なコスト削減のそれぞれが、ZT アーキテクチャの付加的な利点となります。政府機関は、ZTアーキテクチャと組み合わせることで(リスクに関して)実現可能になった低コストのコモディティ回路を使用してインフラストラクチャを更新しようとするかもしれません。これらの低コストの直接インターネット・アクセス回路は、より安全なソフトウェア定義ワイド・エリア・ネットワーク(SDWAN)接続という付加的な利点も促進します。

すべてのテクノロジーの変化と同様に、より高い投資収益率と全体的なサイバーセキュリティコストの削減を実証することに関連した課題は、結果を出すのに必要な時間です。比較的迅速に削減できるコストもあれば、より多くの時間を必要とするコストもあります。組織は以下のことを考慮すべきです。

  • ゼロトラストの様々な柱に対応するために、機関が既に展開している(またはこれから展開する)コンポーネントや要素を評価します。これらは、新たなROIの計算や議論に含める必要のない費用です。さらに、既存のツールと統合することで、ZTの運用に必要な投資を劇的に削減することができます。
  • リスクのレベルや発生に関連する「コスト」や影響を考慮しないと、ROIを正当化することは容易ではありません。
  • ゼロトラストは、セキュリティ戦略を複雑にするのではなく、単純化してコストを節約しなければなりません。

ゼロトラストを導入するための推奨ステップ

セキュリティ戦略にゼロトラストを含めることを計画している場合、現在の環境には、すでに活用できるZTツールやコンポーネントが含まれている可能性があります。例えば、多要素認証を備えた強力なICAMを既に導入している機関は、それを活用してゼロトラストの「ユーザーの柱」能力をサポートすることができます。同様に、機関がモバイルデバイス管理やシステムインベントリツールを持っている場合は、それらを「デバイスの柱」コンポーネントに活用することができます。セキュリティアーキテクチャを変更する際には、既存の支出がどのように活用できるのか、また、新しいモデルをどのようにして、どこに迅速に導入できるのかを検討することが重要です。

ACT-IACが本プロジェクトへの参加を呼びかけた企業は、いずれも単一の包括的なゼロトラスト・ソリューションを特定していませんでした。これらの企業は、完全なソリューションを提供するために、補完的な機能を提供する他の企業と協力しています。計画段階の早い段階で適切なアプローチを選択することが重要である。特定のZTソリューションを選択する際には、セキュリティとコストのバランスを取り、今日と明日の課題の両方を解決できるようにする必要があります。ゼロトラストは、運用の複雑さを追加したり、大規模なアーキテクチャ変更を必要としない成熟したソリューションを今日提供することができます。実際、運用を簡素化しながら、セキュリティを向上させ、重要で価値の高い資産を保護することができます。

誰がアプリケーションやデータへのアクセス権を持っているかを確認・検証し、信頼されたトラフィックが侵害されていないことを確認する能力は非常に重要です。ソリューションは、許可されたトラフィックを分析して、アクティブな脅威、マルウェア、ウイルス、危殆化した資格情報、および制限された機密データを分析することができなければなりません。行動分析と自動化を統合ロギングに適用することで、隠れた悪質な行為者が信頼されているように見えないようにすることができます。ゼロトラストは、粒度の細かい、限定された、検証されたアクセス制御のための柱を使用することです。共通のフレームワークにより、これらの柱が一体となって機能し、統合と戦略的パートナーシップにより複雑さを軽減することができるようになります。

ゼロトラスト・ネットワーキングの移行は、一度にすべてを行う必要はありません。ZT成熟度モデルは、ゼロトラストの旅に乗り出す組織を導くのに役立ちます。このモデルは、実施されている作業を整理し、追跡し、伝達するのに役立ちます。これらのモデルは、取り組みがどこから始まるかを考慮してカスタマイズし、主要なマイルストーンの進捗状況を追跡することができます。図5に成熟度モデルの例を示します。

 

図 5 – ゼロトラスト成熟度モデルの例

Gartner Research社のNeil McDonald氏が2018年12月のレポート「Zero Trust Is an Initial Step on the Roadmap to CARTA(ゼロトラストはCARTAへのロードマップの最初の一歩)」で書いているように、「…ほとんどの企業のデータセンターは、公共ネットワークから隔離され、エンドユーザーのハードウェアから分離されています。エンドユーザーによる公共インターネットへのアクセスと同様に、データセンターへのアクセスは信頼に基づいて付与されます…信頼は通常、IPアドレスの検証によって確立されます。データセンターでは、企業の専有情報とアプリケーションが横方向に保存されます。このフラットな階層構造は、悪党がデータセンターに侵入した場合、すべての情報が危険にさらされることを意味します」 マクドナルド氏が指摘するように、「1台のサーバに足場を得た攻撃者は、簡単に横方向(東西)に他のシステムに拡散することができます」 このような横方向への動きは、脅威が拡散するための一般的なベクトルであり、最近のCryptolockerやPetyaのマルウェア感染を考えてみてください。

マイクロセグメンテーションは横方向の動きを防御するのに役立ちます。マイクロセグメンテーションは、その名の通り、ユーザーのトラフィックをコンテキストに応じたレーンにセグメント化するネットワーク管理手法です。Network WorldのAnn Bednarz氏が指摘しているように、マイクロセグメンテーションによって、企業はワークロードを分離し、互いに安全を確保することができます。ポリシーの定義は論理的であり、ネットワーク・トラフィックを分離されたユーザー・チャネルに絞り込むことができます。これは、許可されたユーザー、アプリケーション、およびそのデバイス間の安全なトンネルと考えてください。さらに重要なのは、マイクロセグメンテーションでは、IPアドレスによるセグメンテーション・セキュリティ・ポリシーを切り離し、代わりに、権限を与えられたユーザーとアプリケーションによる定義されたアクセス・ポリシーを関連付けます。また、(一般的には)セグメント監視、ベースライン・フロー評価、および異常検出も義務付けられています。

一般的なマイクロセグメンテーションのステップには、以下のようなものがあります。

  1. 監査の実施。ユーザー、アプリケーション、データストアなどの間のあらゆる形態のネットワーク接続性(LAN、WAN/SD-WAN、リモート、インターネット・ローカル・ブレイクアウトを含む)をマッピングする。
  2. リスクを特定する。
  3. 「デフォルト拒否」のセグメンテーションアプローチを定義する。何を保護するのか? 何を分離するのか? トラフィックをセグメント化するためにコンテナや API を使用するのか?
  4. セグメントごとにポリシーを定義する。ポリシーがIPアドレスではなく、論理的な属性に関連付けられていることを確認する。
  5. ネットワーク・オーバーレイ、暗号化、SD-WAN 統合、セキュリティ・アプライアンス(物理および仮想の両方)などを含む(GartnerのMcDonald氏によると)技術的なギャップを評価する。

もう 1 つのオプションは、セキュリティを犠牲にすることなくアクセスを可能にするソフトウェア定義境界線(SDP)を使用することです。SDPを使用すると、ユーザーは、ネットワークの内外を問わず、クラウド、データセンター、インターネットのいずれにいても、企業ネットワークに接続することなく、リソースに直接接続することができます。SDPセキュリティ・ソフトウェアは、各ユーザーのネットワーク・トラフィックの周囲に安全な境界線を確立し、いわば1つのネットワークを構築します。例として、GoogleはBeyondCorpと呼ばれる従業員向けの独自のSDPを採用しています。

政府機関がより進化したネットワーク・モデルに積極的に移行する中で、モバイル化が進む拠点からモバイル化が進むデータにアクセスするためだけに、中央の拠点を経由してトラフィックをバックホールするのはもはや効率的ではありません。政府ネットワークの構造が進化し、拡大する中で、政府機関が管理していないネットワークであるインターネットが、データにアクセスするために使用される新しいネットワークとなっています。SDP などの技術など、増加する接続数やデータのトランスポートに対する制御と可視性を維持するために、新しい技術を使用する必要があります。ユーザー(またはSDPホスト)は、トランザクションを承認するSDPコントローラに接続するまで、別のSDPホストとの通信を開始したり、受け入れたりすることはできません。SDPアプローチのキーコンセプトは、SDPコントローラのSDPホストへの指示により、DNS情報とポートの「外部」への可視性の必要性を排除し、部外者には効果的に「隠蔽」したり、目に見えない「暗黒」ネットワークを作成したりすることです。

SDP は、価値の高いエンタープライズ・アプリケーションやデータ・アクセスの周囲に保護バリアを構築するサイバーセキュリティへのアプローチを表しています。この技術やその他の技術は、既存のサイバー脅威や新たに出現するサイバー脅威からアプリケーション・インフラストラクチャを保護することができます。例えば、クレデンシャルの盗難やサーバの悪用などの既存の攻撃は、これらの技術がゼロトラストの重要な要素である認証済みユーザに登録されたデバイスからのアクセスのみを許可するため、動的にブロックされます。

SDP機能は、エージェント、インラインソフトウェア、クラウドサービス、場合によってはオンプレミスなど、さまざまな方法で提供することができます。SDPは、すべてのトランザクションに対してデフォルト拒否の姿勢を維持することで、ゼロトラストに準拠しています。ポリシーは、ユーザーとコンテキスト(通常は行動分析を含む)によって定義され、マイクロセグメンテーションだけの場合よりもリスクを低減します。すべてのトランザクションは、企業のファイアウォールの内部または外部で発生したものと同じ方法で評価されるため、不正な横移動のリスクが排除されます。

SDP を成功させるには、ソフトウェアベースのセキュリティモデルへの移行を確約することが重要です。SDP のオプションを評価する政府機関は、以下の点を考慮する必要があります。

  • 分散型セキュリティモデル(例:クラウドベースのセキュリティアクセスを提供するデータセンターがいくつあるか?
  • ネットワークセキュリティハードウェアは、どの程度までサンセット可能か?
  • サポートされているアプリプラットフォーム – 連邦政府のデータセンターで実行されているか?それとも政府系クラウドか?
  • 非管理型デバイスの扱い – ユーザーはモバイルデバイス(タブレットやスマートフォンを含む)を利用して仕事をこなすことができるか?

SDP は、認証されたユーザーが、ユーザーをネットワーク上に置いたり、プライベートアプリケーションをインターネットに公開したりすることなく、あらゆる環境で実行されている認可されたアプリケーションやデータにアクセスすることを可能にします。ゼロトラストネットワークのために検討されている技術は、以下の基本原則をサポートしている必要があります。

  • 認証維持
  • 動的な認証と信頼
  • 一定の可視性

連邦政府のゼロトラストへの挑戦

前述したように、ゼロトラストは、今日の連邦政府の空間で非常によく使われている要素で構成されたセキュリティ戦略です。とはいえ、どんな新しい技術を導入して運用するにも課題があります。また、特定の運用環境に特有の課題もあります。連邦政府における課題は、その規模、成熟度、および依存関係の組み合わせに起因しています。これらが ZT ソリューションの展開と運用にどのような影響を与えるかについては、以下で説明します。

サイバースセキュリティの成熟度の多様性

連邦政府全体で ZT ソリューションを成功させるための最大の運用上の課題は、サイバーセキュリティの成熟度が一般的に不足していることです。ほとんどの連邦政府機関は、ZTの展開を引き受けるために必要な基礎(機関のポリシー、プロセス、ツールなど)を欠いています。これは、連邦サイバーセキュリティリスク決定報告書(2018年5月18日)で証明されており、特に、標準化されたIT能力とネットワークの可視性が一般的に欠如していることが確認されています。これらの要因だけでは、機関がアプリケーションやサーバーのインベントリのような基本的な作業に苦慮しているため、ZTの導入を数ヶ月、あるいは数年遅らせる可能性がある運用上の課題を生み出しています。実装に ZT 成熟度モデルのアプローチを採用することで、ロードブロックに成功し、より迅速に対応するために必要な重要な能力に対処し、機関をますます成熟したサイバーセキュリティの姿勢に移行させることができます。

連邦政府の小規模な機関が100社以上ありますが、その中にはもう一つの運用上の課題に直面しています。ゼロトラストは、組織の既存のサイバーセキュリティツールを強化することはできますが、それに取って代わるものではありません。ほとんどの小規模機関には、無数のサイバーセキュリティとリスク管理の要件を遵守するために必要な予算とITセキュリティの専門知識が不足しています。ポリシー、プロセス、ツールをしっかりと把握していたとしても、外部組織(DHS、GSA のセンターオブエクセレンスなど)が支援とサポートを提供しない限り、多くの小規模機関でゼロトラストが導入される可能性は低いです。問題を複雑にしているのは、中央で提供されるセキュリティサービスは、小規模機関には高額すぎて手が出ないことが多いということです。

共有システムとネットワーク接続

ゼロトラストの導入を成功させるためのもう 1 つの困難な点は、連邦政府の IT における広範なシステムの相互依存性です。ほぼすべての連邦機関が、他の連邦機関との間でサービス(請求書、勤怠、出張、人事など)を受けたり、提供したりしています。ZT 導入を確実に成功させるためには、技術レベルでのプロバイダと顧客の綿密な調整と相互作用が必要であり、その結果、サービス・プロバイダはこれまで必要とされなかった情報を漏らさなければならない可能性があります。パートナー機関のZT展開をサポートすることに慣れていない、または準備ができていない機関は、予期せぬ遅延をもたらす可能性があります。

準備ができている中央集権型サービスプロバイダは、必要な情報を迅速かつ容易に転送することができますが、ZTの導入では、複数の依存関係がある場合には複雑な問題が発生する可能性があります。これは、規制の厳しい大規模な省庁外の依存関係(金融や医療分野など)に特に影響を与える可能性があります。最後に、これらの依存関係は双方向のものです。民間企業のパートナーが ZT ソリューションに移行すると、連邦政府機関は要件をサポートすることを期待できます。いずれの場合も、サービス・プロバイダー、パートナー、および顧客と早期に頻繁にコミュニケーションを取ることが、これらの課題を克服するための大きな道のりとなります。

コンプライアンス重視からの脱却

上記のような課題は難しいものですが、それは全体像の一部に過ぎません。サイバーセキュリティの要件は、それに対処するための予算よりも大きなペースで増加しています。これにより、「グリーンを追跡する」という文化(つまり、赤、黄、緑のパフォーマンススコアリングモデル)が生まれます。つまり、リスクの管理ではなく、チェーン全体で見られる報告可能な要素に重点が置かれます。 たとえば、継続的な監視は効果的なサイバーセキュリティプログラムの重要な側面ですが、脅威インテリジェンスとレッドチーミングの演習もそうです。ただし、報告されているのは1つだけです。 したがって、政府全体の優先事項として指定されていない限り、ゼロトラストが広く採用される可能性は低いと考えられます。ゼロトラストに関連するすべての関連活動は、機関が望ましい結果を達成するための主要な焦点である必要があります。 ゼロトラストを政府全体の優先事項に指定すると、より広くより迅速な採用を促進することもできます。

TIC 3.0の要件を組み込む

ZTと、それが新しいTrusted Internet Connection (TIC) 3.0ガイダンスとどのように連携するか、またはサポートするかというもう一つの課題があります。以下のTIC使用ケースのリストは、TIC 3.0の覚書と同時に発表されました。DHSは、この取り組みにより、新たな技術や進化するサイバー脅威を考慮した最新のTIC使用ケースの継続的な改善と開発を行うことを意図しています。DHS は、クラウドアプリケーション(ユースケース #1)、省庁が定義したセキュリティ境界線の外にある省庁の支店(ユースケース #2)、省庁が定義したセキュリティ境界線の外にあるリモートユーザ(ユースケース #3)、および他の DHS TIC ユースケースではカバーされていない従来の TIC セキュリティアプローチ(ユースケース #4)などの分野をカバーするために、4 つの異なるユースケースを定義しています。以下の DHS 定義の TIC 使用事例は、ZT ソリューションのアプローチに最も適しています。

ユースケース #1 – クラウド。これらの(成長中の)TICのユースケースのセットは、今日の機関で使用されている最も一般的なクラウドモデルのいくつかをカバーしています。これらには次のようなものが含まれます。

  1. インフラストラクチャ・アズ・ア・サービス(IaaS)
  2. サービスとしてのソフトウェア(SaaS)
  3. サービスとしての電子メール(EaaS)
  4. サービスとしてのプラットフォーム(PaaS)

ZTの使用は、Software as a Service (SaaS)または確立されたPlatform as a Service (PaaS)のクラウドサービスのカテゴリーのいずれかに適合します。FedRAMP認証を受けたZTのクラウドベースの機能は、承認されたTIC 3.0のユースケース#1アプリケーション用に開発することができます。

ユースケース #2 – 代理店の支店。このユースケースでは、機関本部(HQ)とは別の機関の支店があり、サービスの大部分(一般的なウェブトラフィックを含む)にHQを利用していることを想定しています。このケースは、SD-WAN 技術を有効にしたいと考えている機関をサポートします。ZT FedRAMP が承認した SaaS クラウドアプリケーションへの SD-WAN 接続は、この定義された TIC 3.0 のユースケースに適しています。

ユースケース #3 – リモートユーザー。このユースケースは、オリジナルの FedRAMP TIC オーバーレイ(FTO)活動を発展させたものです。このユースケースでは、リモートユーザーが政府支給の機器(GFE)を使用して、政府機関の従来のネットワーク、クラウド、インターネットにどのように接続するかを実証しています。FedRAMPのZTソリューションは、このDHSが定義したTIC 3.0のケースに適しています。

連邦市場におけるゼロトラストネットワークの調達能力

連邦政府機関が市場で特定のゼロトラスト調達手段を探している場合、今日では見つからないでしょう。しかし、ZTが「フレームワークとアーキテクチャ」であることが理解された今、実現技術の製品やサービス・コンポーネントを調達するための選択肢はいくらでもあります。ZT の事業には、サービスと製品の両方が含まれている可能性が高いので、機関は両方に対応できる契約形態を追求することをお勧めします。さらに、機関は、プロジェクトの正確なニーズを満たすために作業明細書をカスタマイズし、完全なマネージド・サービス・アレンジメントの可能性を含めることができるように、サービスの提供に柔軟性を求めるべきです。以下は、最も広く使用されている連邦政府の契約形態のいくつかにZTがどのように適合するかの例です。

GSA SCHEDULE 70

この長期にわたる契約は、長年にわたって堅実なオプションであり、政府に十分に貢献してきました。政府機関は、「高度に適応性のあるサイバーセキュリティサービス」SIN 132-45の下で、サイバー製品の重点的なリストを含むSchedule 70を通じて、ZTコンポーネントの幅広い配列を調達することができます。製品、サービス、または任意の組み合わせを購入するために、Schedule 70 には十分な柔軟性があるように思われる。もちろん、機関が調達アプローチを進める前に、内部の専門家による契約や調達チームと確認することが推奨されます。

GSA ENTERPRISE INFRASTRUCTURE SOLUTIONS (EIS)

一部の機関では、GSA Enterprise Infrastructure Solutions(EIS)手段を介した変革と近代化の取り組みの一環として、ZT のコンポーネントを導入することを選択する場合があります。EIS には、特定の ZT サービスや名前が記載されていないようですが、GSA は、機関固有の要件に対応するために、3 種類の CLIN(Contract line item number)を提供することで、先を見越していました。Individual Case Basis(ICB)CLIN、Task Order Unique CLIN(TUC)、およびCatalog CLINです。これらのCLINタイプは、機関のニーズをカスタマイズし、スタンドアロンのコンポーネントをより多くの「ソリューション」にまとめる柔軟性を提供します。

DHS CONTINUOUS DIAGNOSTICS & MITIGATION (CDM) など

さらに多くのオプションを求める機関は、DHS Continuous Diagnostics & Mitigation(CDM)、NASA SEWP 5、STARS II、Alliant II(もうすぐ期限が切れる!)など、他の潜在的な契約手段を検討することができます。どのような契約手段を選択するにせよ、製品、サービス、優先プライム、コスト、柔軟性などを考慮する必要があります。最終的には、機関は今後の契約リリースや修正で、より多くの「ZT」特有の言葉を目にすることを期待すべきですが、連邦市場には、機関がZTに向けての道を歩み始めるのに十分な、現在の柔軟性のある契約オプションがあるように思われます。

最後の注意点

ゼロトラストは進化的な枠組みであり、革命的なアプローチではありません。ゼロトラストは、既存のセキュリティ概念の上に構築されたものであり、サイバーセキュリティに根本的な新しいアプローチを導入するものではありません。ほとんどのセキュリティ概念と同様に、ゼロトラストは、効果を発揮するためには、組織のサービス、データ、ユーザー、エンドポイントの基本的な理解に依存しています。リソースへの先行投資に関しては、「無料のランチ」はありません。ポリシーの定義、展開の概念、信頼の決定(と減衰)、実施メカニズム、ログの集約など、ソリューションを展開する前にすべてを考慮する必要があります。しかし、投資を行った多くの大規模組織(Google、Akamai、Purdue など)は、セキュリティ投資に対する実際のリターンを示しています。重要な問題は、ZT が今日の政府にとって説得力のある選択肢となるほど成熟しているかどうかということです。

ZTは、それ自体が技術ではなく、サイバーセキュリティのための設計アプローチのシフトです。現在のソリューションの分野では、ネットワーク設計が複数のベンダーが提供するものを包括的なソリューションに統合して使用する場合、非常に成熟した実績のあるソリューションを示しています。しかし、現在、市場には完全で包括的なZT/SDNソリューションを提供するベンダーはありません。求めているものによっては、機関は要件を満たすために複数のベンダーから製品やサービスを協調的に取得する計画を立てる必要があるかもしれません。連邦政府の領域では、特定の「ZT」という名前の契約車両は存在しないようですが、既存の手段を介してZTの実現可能なサイバー製品やサービスのコンポーネントを調達する機会は存在します。

ゼロトラスト・ネットワークを追求するために決定されたソリューションにかかわらず、ソフトウェア定義ネットワーキングやアイデンティティ、クレデンシャル、アクセス管理(ICAM)などの要素は、長期的なZT戦略を成功させるために不可欠な要素です。ZT は、他のサイバーセキュリティツールやプラクティスを置き換えるのではなく、補完し、補完することができます。脅威インテリジェンス、継続的な監視、およびレッドチーム演習は、ゼロトラスト・ネットワーキング環境と包括的なセキュリティアプローチにとって重要な要素であり続けています。

効果的なゼロトラスト・ネットワーキングの展開が、組織のサイバーセキュリティ態勢を大幅に改善できることは疑いの余地がありません。しかし、多くの連邦政府機関は、他の組織との複雑なデータやサービスの相互依存関係など、無数の課題を抱えています。ZT をミッションクリティカルな複数組織のワークフローに拡張する前に、これらの依存関係を慎重に考慮する必要があります。ZT は成熟した戦略であり、積極的なサイバーセキュリティの投資収益率を提供することができますが、機関がすでに導入しているものによっては、先行投資が必要になる場合があります。

用語集

  • CAC – Common Access Card. 国防総省の身元保証書
  • CDM – Continuous Diagnostics and Mitigation – 国土安全保障省が監督する連邦プログラムで、機能やツールを提供し、継続的にサイバーセキュリティのリスクを特定して優先順位をつけることで、政府のネットワークやシステムのサイバーセキュリティを強化することを目的としています。
  • Control Plane – ネットワークリソースへのアクセス(またはアクセスの許可)を希望するデータプレーンデバイスからの要求を受信して処理するゼロトラスト・ネットワークのコンポーネント。
  • Data Plane Definition – ネットワーク上のすべてのトラフィックを直接処理するアプリケーション、ファイアウォール、プロキシ、ルーターを含む、ゼロトラスト・ネットワークスのコンポーネント。
  • Deperimeterization – 暗号化と動的なデータレベル認証を使用して、複数のレベルでデータを保護するための戦略。
  • EIS – Enterprise Infrastructure Solutions – 連邦政府全体の電気通信およびネットワークソリューション契約
  • ICAM – Identity, Credential, and Access Management – 組織が保護されたリソースへのアクセスを管理、監視、および安全なアクセスを可能にするツール、ポリシー、およびシステム。
  • ITSM – Information Technology Service Management – ITサービスのライフサイクルの設計、作成、提供、サポート、管理に関わる活動。
  • MFA – Multi-Factor Authentication – 認証のための2つ以上の証拠(または要素)を提示することに成功した場合にのみ、コンピュータ利用者にアクセスを許可する認証方法。
  • Network Agent – ネットワークリクエストの行為者について知られているデータの組み合わせで、典型的にはユーザ、アプリケーション、およびデバイスを含み、認可決定を行うために照会される。
  • PIV – Personal Identity Verification – 情報システムや施設へのアクセスを許可するために、個人の身元を確認するために使用されるプロセス。
  • PIV Card – Personal Identity Verification Card– カード所有者が連邦施設および情報システムへのアクセスを許可されるために必要なデータを含み、適用されるすべての連邦アプリケーションのために適切なレベルのセキュリティを保証する米国連邦スマートカード。
  • PIV-D – モバイル機器での実装が困難な物理的なPIVカードに代わる、モバイル機器向けのアイデンティティ証明書の採用に関するNIST特別公開800-157規格。
  • SDN – Software Defined Networking – ネットワーク管理を容易にし、ネットワークのパフォーマンスと監視を向上させるために、プログラム的に効率的なネットワーク構成を可能にするクラウドコンピューティングのアプローチ
  • SDP – Software Defined Perimeter – ユーザーとアクセスするリソースの間に1対1のネットワーク接続を動的に作成することで、ネットワークアクセスをマイクロセグメント化するためのセキュリティフレームワーク。
  • TIC – Trusted Internet Connection – 連邦政府のネットワーク接続を最適化し、TIC アクセス・プロバイダーの厳選されたグループにおける集中ゲートウェイ監視を通じてインシデント対応能力を向上させることを目的とした、管理予算局によって義務付けられたプログラム。アクセス・ポイントの数を減らすことで、政府は潜在的な悪意のあるトラフィックをより簡単に監視し、特定することができるようになりました。
  • Zero Trust – ZT – 組織は境界の内側または外側を自動的に信頼してはならず、代わりにアクセスを許可する前にシステムに接続しようとするすべてのものを検証する必要があるという信念に基づくセキュリティの概念

SNSでもご購読できます。