fbpx

政府機関のためのゼロトラスト対応手引き

序章

政府機関に対するサイバーセキュリティ攻撃の頻発と絶え間なく高度化していることから、1つのシンプルな真実が導き出されました。これが、政府の最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)のデフォルトの地位に急速になりつつあるゼロトラストへの動きの背後にあるコンセプトです。

バックグラウンドリーディング

背景については、ゼロトラストに関する最近の2つのレポートをお読みください。

ゼロトラスト・モデルは、これらの指針に基づいて構築されています。

  • ネットワークは常に敵対的であると仮定しなければならない
  • ネットワーク上には、外部脅威と内部脅威が常に存在します。
  • ネットワークの信頼性を決定するためには、局所性が十分ではない
  • すべてのデバイス、ユーザー、ネットワークフローは認証され、承認されなければなりません。
  • セキュリティポリシーは、可能な限り多くのデータソースから動的に決定される必要があります。

政府機関やネットワークには、特定のニーズがあることが多い。

  • 複数のハードウェアとソフトウェアの世代にまたがるレガシーアプリケーションとプラットフォームに依存しています。
  • 極めて機密性の高いデータを安全な施設に保管していることが多い
  • 敵対的な国民国家を含む複数のアクターから継続的な攻撃を受けていることが多い。

ゼロトラストとは?

ゼロトラストのコンセプトは、機密性の高い重要なデータの周囲に効果的な境界線を確立することに焦点を当てています。ペリメーターには、ファイアウォールVPN、アクセス制御などの従来の防御技術だけでなく、アイデンティティ、アプリケーション、データ層レベルでの認証、ロギング、制御も含まれます。

ゼロトラストの概念の多くは、「防御の深化」や「侵害の想定」など、確立されたベストプラクティスと正しく比較されています。ゼロトラストは、実際には、これらの概念とその結果としてのアーキテクチャを進化させたものであり、根本的な新しいアプローチではありません。

しかし、コンセプトはよく知られていますが、ゼロトラストセキュリティの実現は、特に政府機関では、以下のような理由から複雑になっています。

  • 多くの政府機関は、物理、仮想、クラウド環境に分散した複数世代のIT資産に依存しています。
  • 多くの機関は、不満を持つ個人から、組織化され、資金的に動機づけられた犯罪シンジケートや敵対的な国民国家に至るまで、悪質な行為者からの継続的な攻撃を受けている。

大きな課題は、ゼロトラストに向けた進展は、機関の現在のセキュリティ姿勢と能力を低下させることなく、飛行中に行われなければならないということです。

ACT-IAC報告書に沿ったもの

政府機関に対しては、ゼロトラストモデルを導入することで、ACT-IAC報告書で特定された目標とする成果を達成することができます。

  • より安全なネットワークの構築
  • データをより安全に
  • 違反による悪影響の軽減
  • コンプライアンスと視認性の向上
  • サイバーセキュリティ全体のコストを削減
  • 組織のセキュリティとリスク姿勢の改善

なぜ今、ゼロトラストが必要なのか?

ニュースを読むだけで、なぜゼロトラストが重要視されるようになったのかを知ることができます。私たちは、毎日のようにセキュリティが破られ、データが盗まれる世界に生きています。これらの攻撃は非常に破壊的であり、個人の財務データや健康データのプライバシーから、国家安全保障を含む政府の運営や機関の完全性まで、あらゆるものに影響を与えています。

ゼロトラストに向けて前進することが政府機関の目標でなければならないという転換点に達しています。ゼロトラストへの道のりは様々であり、どの機関も同じ戦略に従う必要はありませんが、今すぐに最初の一歩を踏み出すことが重要です。

良いニュースは、どこから始めるかに関係なく、ゼロトラストに向けた一歩一歩を踏み出すことで、資産、データ、および使命のセキュリティが強化されるということです。

ゼロトラストのすべてにメリットがある

多くのベンダーは、ゼロトラストを達成することは、自社製品を購入するのと同じくらい簡単だと主張しています。しかし、現実はもっと複雑です。ゼロトラスト・モデルは、一朝一夕に設計して実装することはできません。それは、最も複雑な政府環境の中には、完全には実現できないかもしれない結果に向けての旅路である。

しかし、ゼロトラスト・アーキテクチャ(ZTA)を開発することで、セキュリティと運用上のメリットを提供する基礎能力の広範なセットを構築することができます。

基礎的な能力

まず最初に、ファウンダメンタル・ケイパビリティ、これは以下のように識別されます。

  • ネットワーク資産のインベントリと管理
    – レガシーアプリケーションを含むアプリケーションのインベントリ
    – データインベントリ
    – リモートアクセスの方法
  • 連続データの識別と分類
  • 二要素認証(ハードウェアデバイスまたはトークンベース)
  • ユーザーとアプリケーションの両方に対応したセントラル・アイデンティティ・クレデンシャル・アクセス管理(ICAM)
  • ジョブの役割とデータアクセスのニーズに基づいて、ユーザーグループと権限を細かく設定

アプリケーション機能

資産を発明したら、次のアプリケーション機能を開発します。

  • アプリケーションと中央ICAM間の統合
  • アプリケーション層とデータ層の両方でのユーザーグループとロールベースのパーミッション
  • ICAMを活用したアプリケーション開発者研修
  • 中央ログ管理プラットフォームへの堅牢なアクセスロギング
  • 開発標準とアーキテクチャを継続的に更新
  • レガシーアプリケーションのフェーズアウトまたは移行のための開発計画

セキュリティ機能

次に、セキュリティ機能をアプリケーション機能にオーバーレイします。

  • 可視性とセキュリティをサポートするデータアーキテクチャとスキーマ
  • 復号化されたネットワークトラフィック、アクセスゲートウェイ(プロキシ)、アプリケーションログによるアプリケーションの可視化
  • セキュリティ情報・イベント管理(SIEM)の上にルールや検出を記述する
  • ネットワーク層の可視性
  • デバイスまたはエンドポイントの可視性
  • アプリケーションのロギングと可視性
  • アイデンティティのロギングと可視性
  • データ層のロギングと可視性

トレーニングとサポート機能

最後に、ゼロトラストの人間的要素を強化するために、堅牢で継続的なトレーニングとサポート能力を開発し、実施する。

  • ユーザーを役割別およびレベル別のグループに分類し、各グループのトレーニング要件を特定する
  • そして、各グループ、新規ユーザー、既存ユーザー、アプリケーション開発者に対するトレーニングとサポートを提供します。

ゼロトラストに関して気になる点

これまで述べてきたように、ゼロトラストへの道には、正しい道も間違った道もありません。しかし、旅のあらゆる段階で質問すべきことがあります。

あなたのネットワーク資産をどのくらい知っていますか?

すべてのゼロトラストの取り組みは、組織内のハードウェアおよびソフトウェア資産を理解することから始めなければなりません。この理解を得て、常に変化し続けるITの状況の中でそれを維持することは、DHSの継続的診断と緩和(CDM)プログラムのフェーズ1、すなわちハードウェアとソフトウェアの資産管理と構成設定の自動化に対応しています。

資産の管理が自動化されれば、保護すべき資産をリアルタイムで正確に登録することができます。

ゼロトラストの世界でデータはどのように管理されているのか?

従来のユーザー中心のデータ管理戦略(例えば、ユーザーの役割によってデータアクセスのレベルが定義される)とは異なり、ゼロトラストの世界では、この戦略はデータ中心にならなければなりません。

このモデルでは、データの機密性に基づいて、ストレージ層でのデータアクセス制御から始まる同心円状の防御策を構築し、このデータにアクセスしようとするデバイス、ユーザー、および場所の強力な認証を強制します。

ネットワークアクセスは誰が持っているのか、その理由は?

歴史的に、ほとんどのネットワークの脅威は、その機関から暗黙のうちに信頼されているユーザーからもたらされてきました。対照的に、ゼロトラスト・モデルでは、すべてのユーザ、デバイス、アプリケーション、およびネットワーク・フローが認証され、承認されなければなりません。

ユーザーレベルでは、従業員、請負業者、または第三者にどのレベルのデータアクセスが許可されているかを把握し、継続的に見直し、更新し、必要に応じてそのアクセスを取り消すことが重要です。

ゼロトラストはペリメーターレスを意味するのか?

一言で言えば「ノー」です。ゼロトラスト・アーキテクチャでは、境界線の概念をマイクロ・セグメンテーション・レベルと呼ばれるものに適用します。このモデルでは、もはやセキュリティを確保する必要があるのはネットワークの境界だけではありません。ゼロトラスト・アーキテクチャは、アプリケーション・レイヤーとそれに関連するデータ、そして非リーガシーなIT環境では通常このレイヤーの基盤となるコンピュート・コンテナや仮想マシンも保護する必要があります。またVPNを使っている場合、VPNもペリメータなのでゼロトラストへの移行が必要な可能性も高いです。

ゼロトラスト・アーキテクチャをサポートするために必要なデータの可視性を持っていますか?

ネットワークデータをセグメント化、分離、制御するために、ネットワーク全体のエンドツーエンドの可視性を確保することは、ゼロトラスト・アーキテクチャにとって非常に重要です。可視性は、情報を提供し、管理し、実施する必要があり、そのためには、動的で多くのデータソースから構築されたセキュリティポリシーを開発する必要があります。

暗号化されたトラフィックの可視性を得ることは、暗号化されたトラフィックに悪意のあるペイロードが隠されている可能性があるため、特に脅威となります。暗号化されたトラフィックを管理するためには、自社に適したアプローチを使用してください。

人を自由にするツールを使っていますか?

代理店がゼロトラストネットワークを継続的に監視できるようにするには、ツールを使用して、日常的なネットワーク管理タスクを可能な限り自動化してください。

しかし、そのようなツールは単にタスクを自動化するだけのものではないことに注意することが重要です。また、予想されるトラフィックパターンや動作に対する例外を迅速に特定し、分離し、分析することができなければなりません。脅威の数が増え、多様化し、洗練されてきている現在、自動化および分析ツールは、時間と労力を節約し、脅威の検出や対応など、より価値の高い機能に適用できる不可欠なコンポーネントとなっています。

あなたのゼロトラスト対応はどこから始めますか?

ほぼすべての機関がゼロトラストモデルを検討しているにもかかわらず、このアプローチを導入し始めたのは約35%に過ぎません。最初の重要なステップを踏んでいますか?

まだ導入プロセスを開始していない場合は、多くのモデルやリソースを利用することができます。ゼロトラストの早期導入者である政府のCIOCISOの多くは、すでに、彼らが遭遇した複雑な問題にどのように対処するのが最善かについて情報を共有しています。

SNSでもご購読できます。

コメントを残す

*