fbpx

セキュリティにおけるゼロトラストの段階的な実現方法

概要:ゼロトラストの段階的な実装

この記事では、ゼロトラストなセキュリティモデルを段階的に実現するための指針となる原則を共有します。ゼロトラストの実現に向けて現在がどのような状態なのか、準備ができているかどうかといった評価を可能にします。その評価を踏まえ、どのような部分にどのような対策が必要なのかを明らかにします。ゼロトラストの実現はすべての組織が異なるため、それぞれの導入手順や導入箇所も異なりますが、この記事に示すゼロトラストの段階的な実現方法が読者の方のゼロトラスト・セキュリティ実現を促進することを期待します。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。

ゼロトラストの生まれた背景

クラウドとモバイルによってもたらされた労働環境の変化は、セキュリティの境界線を再定義しました。従業員は自分の端末を持ち込んでリモートで仕事をしています。データは企業ネットワークの外部からアクセスされ、パートナーやベンダーなどの外部の協力者と共有されています。企業のアプリケーションやデータは、オンプレミス環境からハイブリッド環境やクラウド環境に移行しています。

新しい境界線は、組織の物理的な場所によって定義されるのではなく、企業のリソースやサービスをホスト、保存、アクセスするすべてのアクセスポイントにまで拡大しています。企業のリソースやサービスとの相互作用は、ネットワーク・ファイアウォールや VPN に依存するオンプレミスの境界線ベースのセキュリティ・モデルをバイパスすることが多くなっています。オンプレミスのファイアウォールと VPN だけに依存している組織では、可視性、ソリューション統合、俊敏性が不足しており、タイムリーなエンドツーエンドのセキュリティカバレッジを提供することができません。いわゆる境界型のセキュリティ対策では時代の変化に対応できなくなってきたのです。

現代の最先端を走る企業では、労働環境の複雑さにより効果的に適応し、モバイルワーカーを受け入れ、どこにいても人、端末、アプリケーション、データを保護する新しいセキュリティモデルを必要としています。これこそがゼロトラストの核心です。

ゼロトラストの全体感

ゼロトラストモデルでは、企業のファイアウォールの背後にあるすべてのものが安全だと信じるのではなく、違反を想定し、制御されていないネットワークからのものであるかのように各リクエストを検証します。リクエストがどこから発信されたか、どのようなリソースにアクセスしたかに関わらず、ゼロトラストは「決して信用せず、常に検証する」ことを教えてくれます。

ゼロトラストモデルでは、すべてのアクセス要求は強力に認証され、ポリシーの制約の範囲内で承認され、アクセスを許可する前に異常がないかどうか検査されます。ユーザーの身元からアプリケーションのホスティング環境まで、すべてが侵害を防ぐために利用されます。アクセスのグループを最小限に分割し、アクセス権限を最小限にすることを原則とすることで、全ての環境下におけるリスクを最小限に抑えます。また、様々な可視化と分析が可能になるので「何が起きたのか、何が侵害されたのか。そしてどのようにして再発を防ぐのか」を特定・決定しやすくします。

ゼロトラストの絶対的な指針・原則

  1. 明示的に検証する:ユーザー ID、位置情報、端末の健全性、サービスまたはワークロード、データ分類、異常など、利用可能なすべてのデータポイントに基づいて、常に認証と認可を行います。
  2. 最小限の特権アクセスを使用:データと生産性の両方を保護するために、ジャストインタイムおよびジャストインナウアクセス(JIT/JEA)、リスクベースのアダプティブポリシー、データ保護を使用してアクセスを制限します。
  3. 常にリスクを想定:ネットワーク、ユーザー、端末、およびアプリケーションの認識によってアクセスをセグメント化することで、リスクの爆発半径を最小化し、インシデントの拡大を防止します。結果としてすべてのセッションがE2Eで暗号化されることになります。その他にも、アナリティクスを使用して可視性を確保し、脅威の検出を促進し、防御を向上させることができます。

全てのアクセスをポリシーによって制御する

昨今の組織において、ユーザーやアプリケーション環境に関係なく、リソースへの安全なアクセスを提供できるようにする必要があります。アクセスを許可する前に、ユーザーの位置情報、組織内での役割、端末の安全性、アクセスを要求するデータのサービスタイプと分類などを評価する必要があります。これを効果的に行うためには、シグナルと自動化されたポリシーの実施を使用して、セキュリティと最適なUXの間で適切なバランスを実現する必要があります。

ゼロトラストなセキュリティモデルは、デジタル資産全体で準拠したアクセス決定を確実に行うために、セキュリティ・ポリシーの自動執行に依存しています。セキュリティソリューションとツールに組み込まれた制御のフレームワークにより、組織は、ユーザー、端末、アプリケーション、ロケーション、セッションのリスク情報に基づいてアクセスポリシーを微調整し、ユーザーが企業のリソースにアクセスする方法やバックエンドのリソースが通信する方法をより適切に制御することができます。これらのポリシーは、アクセスを許可するか、アクセスを拒否するか、または追加の認証課題(多要素認証など)、利用規約、またはアクセス制限を用いてアクセスを制御するかを決定するために使用されます。これこそがゼロトラストネットワークアクセス(ZTNA)と呼ばれるものです。

ゼロトラストを構築する

ゼロトラストのアプローチは、デジタル資産全体に適用され、洗礼されたセキュリティの指針とE2Eな適応に対して機能しなければならない。これは、ID、端末、アプリケーション、データ、インフラ、ネットワークの6つの基本要素にゼロトラストの制御と技術を実装することによって実現されます。

そのためゼロトラストセキュリティの実現においては、これらの6項目それぞれについて投資を集中させる事が重要になります。導入の順番において各企業の優先順位の違いはあれど、最終的にはこれら6つをオペレーション上無理なく進めていく事が、ゼロトラストの実現に向けて重要になります。

ID

人、サービス、または IoT デバイスを表すかどうかにかかわらず、IDはゼロトラスト制御の中心を定義します。IDがリソースにアクセスしようとする場合、そのIDを強力な認証で検証し、アクセスがそのIDに準拠した典型的なものであることを確認し、最小特権アクセスの原則に従う必要があります。

端末

ID がリソースへのアクセスを許可されると、IoT デバイスからスマートフォン、BYOD からパートナー管理の端末、オンプレミスのワークロードからクラウド・ホストされたサーバーに至るまで、さまざまな端末にデータが流れる可能性があります。このような多様性により、大規模な攻撃領域が形成され、安全なアクセスのためにデバイスの健全性とコンプライアンスを監視して強制する必要があります。

アプリケーション

アプリケーションと API は、データを利用するためのインターフェイスを提供します。それらは、レガシーなオンプレミス型、クラウドワークロードへのリフトアンドシフト型、または最新の SaaS アプリケーションである場合があります。シャドーIT を発見し、適切なアプリ内のパーミッションを確保し、リアルタイムの分析に基づいてアクセスをゲートし、異常な動作を監視し、ユーザーのアクションを制御し、安全な構成オプションを検証するために、制御と技術を適用する必要があります。

データ

最終的に、セキュリティチームはデータの保護に重点を置いています。可能であれば、データが組織が管理するデバイス、アプリ、インフラ、およびネットワークから離れても、データは安全な状態を維持する必要があります。データは分類、ラベル付け、暗号化され、それらの属性に基づいてアクセスが制限されるべきです。

インフラ

インフラストラクチャ(オンプレミスのサーバ、クラウドベースの VM、コンテナ、マイクロサービスなど)は、重要な脅威のベクトルとなります。バージョン、構成、および JIT アクセスを評価して防御を強化し、遠隔測定を使用して攻撃や異常を検出し、危険な動作を自動的にブロックしてフラグを立て、保護措置を取ることができます。

ネットワーク

すべてのデータは、最終的にはネットワーク・インフラを介してアクセスされます。ネットワーク制御は、可視性を高め、攻撃者がネットワークを横切って移動するのを防ぐために、重要な「パイプ内」の制御を提供することができます。ネットワークをセグメント化し、リアルタイムの脅威からの保護、エンドツーエンドの暗号化、監視、および分析を採用する必要があります。

ゼロトラストを全ての資産に有効化する

最適なゼロトラストの実装では、デジタル資産が接続され、自動化されたポリシーの施行を使用して、情報に基づいたアクセスの決定を行うために必要な信号を提供することができます。

ゼロトラストモデルの主要なコンポーネントが、エンドツーエンドのカバレッジを実現するためにどのように連携しているかを探ってみましょう。

リスクの可視化とセキュリティの自動化が可能に

ゼロトラストは、成功のために信号とソリューションの統合に大きく依存しているため、現代社会は、脅威の状況をより明確に把握し、セキュリティの自動化を導入するために取り組む絶好の機会です。セキュリティ・オペレーション・センター(SOC)には、高度な脅威検知機能とAI主導のアラート管理機能を使用して、ノイズを遮断し、優先順位の高いセキュリティアラートを配信する多階層のインシデント対応チームを設置する必要があります。感染した端末へのアクセスを拒否するなど、一般的なインシデントへの対応を自動化して、対応時間を短縮し、リスクへの曝露を低減する必要があります。

ゼロトラストは企業毎の要求やインフラに応じて実装されている

異なる組織要件、既存の技術の実装、およびセキュリティの段階は、すべてゼロトラストセキュリティモデルの実装計画の方法に影響します。ゼロトラストへの準備状況が社会的に評価されていった結果、ゼロトラストに到達するための計画を構築するのに役立つ、以下のような成熟度モデルが開発されています。

古典的な状況

これは、ほとんどの組織がゼロトラストの推進を始めていない場合、今日では一般的にはここに位置しています。

  • オンプレミスのIDは、静的なルールと一部のSSOで構成されています。
  • デバイスのコンプライアンス、クラウド環境、およびログインに関する可視性は限られています。
  • フラットなネットワーク・インフラは、広範なリスク・エクスポージャーをもたらします。

高度な状況

この段階では、組織はゼロトラストの推進を始めており、いくつかの主要な分野で進歩を遂げています。

  • ハイブリッド ID と細かく調整されたアクセスポリシーにより、データ、アプリ、およびネットワークへのアクセスがゲートされている。
  • 端末が登録され、ITセキュリティポリシーに準拠している。
  • ネットワークがセグメント化され、クラウドの脅威からの保護が行われている。
  • アナリティクスは、ユーザーの行動を評価し、脅威を事前に特定するために使用され始めています。

最適化された状況

最適な段階にある組織は、セキュリティを大幅に向上させている。

  • リアルタイム分析機能を備えたクラウド上のIDにより、アプリケーション、ワークロード、ネットワーク、データへのアクセスが動的にゲートされます。
  • データ・アクセスの決定はクラウド・セキュリティ・ポリシー・エンジンによって管理され、共有は暗号化と追跡によって安全に行われます。
  • ネットワークからの信頼を完全に排除し、マイクロクラウド・ペリメーター、マイクロ・セグメンテーション、暗号化を導入しています。
  • 脅威の自動検出と応答が実装されています。
  古典的な状況 高度な状況 最適化された状況
ID
  • オンプレミスのIDプロバイダを使用中
  • クラウドとオンプレミスのアプリ間にSSOが存在しない
  • IDリスクの可視性は非常に限られている
  • クラウドIDとオンプレミスシステムの連携
  • 条件付きアクセスポリシーのゲートアクセスと是正措置の提供
  • アナリティクスで可視性を向上
  • パスワードレス認証を有効にする
  • ユーザー、デバイス、場所、行動をリアルタイムで分析し、リスクを判断し、継続的な保護を提供します。
端末
  • 端末は、グループ・ポリシー・オブジェクトやコンフィグ・マネージャーなどのソリューションを使用してドメインに結合され、管理されます。
  • データにアクセスするためには、ネットワーク上にある端末が必要です。
  • 端末はクラウドのIdpに登録されている
  • クラウド管理されているデバイスと準拠したデバイスにのみアクセスが許可されています。
  • BYOや法人向けデバイスにはDLPポリシーを実施
  • エンドポイントの脅威検出は、端末のリスクを監視するために使用されます。
  • アクセスコントロールは、企業とBYOデバイスの両方のデバイスリスクにゲートされています。
アプリケーション
  • オンプレミスのアプリは物理ネットワークやVPNを介してアクセスする
  • 一部の重要なクラウドアプリはユーザーがアクセス可能
  • オンプレミスのアプリはインターネット対応、クラウドのアプリはSSOで構成
  • クラウドシャドウのITリスクを評価し、重要なアプリを監視・管理する
  • すべてのアプリは、継続的な検証で最小特権アクセスを使用して利用できます。
  • セッション内の監視とレスポンスですべてのアプリに動的制御を導入
インフラ
  • パーミッションは環境をまたいで手動で管理
  • VMの構成管理とワークロードが実行されているサーバー
  • ワークロードを監視し、異常行動をアラートで知らせる
  • すべてのワークロードには、アプリのIDが割り当てられています。
  • リソースへの人的アクセスにはジャストインタイムが必要
  • 不正なデプロイがブロックされ、アラートが発動される
  • 緻密な可視性とアクセス制御は、すべてのワークロードで利用可能です。
  • ワークロードごとにユーザーとリソースのアクセスがセグメント化されている
ネットワーク
  • ネットワークセキュリティの境界線が少なく、フラットなオープンネットワーク
  • 最小限の脅威保護と静的トラフィックフィルタリング ・内部トラフィックは暗号化されていない
  • 多くの入口/出口クラウドのマイクロペリメータで、一部マイクロセグメンテーションが行われている
  • クラウドネイティブフィルタリングと既知の脅威に対する保護
  • ユーザーからアプリ内部のトラフィックを暗号化
  • 完全分散型のイングレス/イグレスクラウドのマイクロペリメータとより深いマイクロセグメンテーション
  • コンテキストベースのシグナルを用いたMLベースの脅威防御とフィルタリング
  • すべてのトラフィックは暗号化されています
データ
  • アクセスはデータの機密性ではなく、境界制御によって管理されています。
  • 感度ラベルは不整合データ分類と手動で適用されます。
  • データは正規表現/キーワードメソッドによって分類され、ラベル付けされます。
  • アクセスの決定は暗号化によって管理されます。
  • 分類はスマートな機械学習モデルによって強化される
  • アクセス決定はクラウドセキュリティポリシーエンジンによって管理される
  • DLPポリシーは暗号化とトラッキングで安全な共有を実現

ゼロトラストを実現するのに必要なツール

ゼロトラストの準備が整ったかどうかを評価し、ID、端末、アプリケーション、データ、インフラ、およびネットワーク全体の保護を向上させるための変更を計画し始める際には、ゼロトラストの実装をより効果的に推進するために、これらの項目について重要な投資を検討してください。また、その投資には以下のような項目が重要です。

  1. 強力な認証。強力な多要素認証とセッションリスク検出をアクセス戦略のバックボーンとして確保し、ID侵害のリスクを最小限に抑える。
  2. ポリシーベースの適応型アクセス。リソースに対して許容可能なアクセスポリシーを定義し、一貫性のあるセキュリティポリシーエンジンを使用して実施することで、ガバナンスと差異に対する洞察力の両方を提供します。
  3. マイクロセグメンテーション。ソフトウェアで定義されたマイクロ・ペリメータを使用して、単純な集中型ネットワーク・ベースの境界線を超えて、包括的で分散型のセグメンテーションを実現します。
  4. 自動化。自動化されたアラートと修復に投資して、攻撃に対する平均応答時間(MTTR)を短縮します。
  5. インテリジェンスとAI。クラウドインテリジェンスと利用可能なすべてのシグナルを活用して、アクセスの異常をリアルタイムで検知して対応します。
  6. データの分類と保護。機密データの発見、分類、保護、監視を行い、悪意のあるまたは偶発的な流出からの暴露を最小限に抑えます。

終わりに

ゼロトラスト・セキュリティモデルは、デジタル資産全体に統合されている場合に最も効果的ですが、ほとんどの組織では、ゼロトラストの成熟度、利用可能なリソース、優先順位に基づいて、変更の対象となる特定の領域を対象とした段階的なアプローチを取る必要があります。それぞれの投資を慎重に検討し、現在のビジネスニーズと整合させることが重要になります。ゼロトラスト推進の最初のステップでは、クラウドベースのセキュリティツールを大きく持ち上げたり、シフトしたりする必要はありません。多くの組織では、既存の投資を活用し、ゼロトラストの取り組みの価値をより早く実現し始めるのに役立つハイブリッド・インフラを活用することで、大きな利益を得ることができます。

幸いなことに、一歩一歩前進することで、リスクを軽減し、デジタル資産全体に信頼を還元することができるようになります。

より詳しく、ゼロトラストの原理や原則について詳しく知りたい方はホワイトペーパーもご覧ください。

SNSでもご購読できます。