ゼロ・トラストとは、デバイス、サービス、個人を信頼するのではなく、継続的に検証するというプロアクティブなアプローチをとるセキュリティ概念である。ゼロ・トラスト・モデルは、企業のシステムに接続されるものはすべて、それが組織の内外を問わず、誰か、あるいは何かから来たものであれ、検証される必要があるという前提で運営されている。

従来のネットワーク・セキュリティは、ネットワーク外のアイデンティティへのアクセスを制限することに重点を置いてきたが、ゼロ・トラスト・セキュリティでは、すべてのアイデンティティを継続的に監視し、アクセスと権限を検証する。結局のところ、サイバー耐性のセキュリティ強化を目指す企業のデジタルトランスフォーメーションの重要な一部なのである。

ハッカーがより巧妙になるにつれ、セキュリティも適応し、改善する必要が出てきた。ゼロ・トラストはそのような進化であり、常時監視することで、ハッカーがネットワークに侵入した場合に追加のセキュリティ・レイヤーを提供する。

ゼロ・トラストの現状報告

アイデンティティを活用したゼロ・トラストに関する最新の調査結果を読む。

レポートを読む

信頼ゼロ

ゼロ・トラスト・セキュリティ・モデルの主な構成要素

では、ゼロ・トラスト・ネットワークとは何か？簡単に言えば、攻撃者はネットワーク内でもネットワーク外でも見つけることができるため、どのIDも自動的にアクセスを許可されるべきではないという理念に基づいて機能するネットワークである。

ゼロ・トラスト・ネットワークはそれぞれ異なるが、ゼロ・トラストの重要な構成要素がいくつかある：

多要素認証(MFA)

一般的なセキュリティ機能である多要素認証（MFA）は、アクセスを許可する前に、本人であることを確認する複数の方法を必要とする。このような確認には、セキュリティに関する質問、Eメールによる確認、テキストメッセージなどが含まれます。

リアルタイムモニタリング

リアルタイム・モニタリングは、侵入者を検出し、システムが侵害された場合の被害を抑えるために、ネットワークを常に評価する。

リアルタイム・モニタリングは、予防措置が機能しなかった場合に被害を軽減するために不可欠である。これによりネットワークは、ハッカーがデバイスに侵入してから他のシステムやデバイスに移動できるまでの時間を指す「ブレークアウトタイム」を改善することができる。

マイクロセグメンテーション

システムが侵入されたときに登場するゼロトラストのもう一つの重要な側面は、マイクロセグメンテーションである。この手法では、ネットワークのあらゆる部分に小さなセグメントを作る。

ネットワーク全体に複数の異なる境界線を設けることで、ハッカーは侵入された小さなマイクロセグメントを越えてネットワークにアクセスすることができなくなる。

トラスト・ゾーンとデフォルト・アクセス制御の監査

ネットワークは、TIC3.0の一部としてセキュリティゾーンまたはトラストゾーンに分割することができ、ユーザーはゾーン内でデータを共有することができる。これはさらに、侵入者が追加データにアクセスするのを防ぐのに役立つ。

もちろん、トラスト・ゾーンは、システムやゾーンへのアクセス要求がすべて暗号化され、デフォルト・アクセスの一部として承認されている場合にのみ有効である。

ゼロ・トラスト導入の課題

ゼロ・トラスト・アーキテクチャーが企業のセキュリティを向上させることは間違いないが、セキュリティ・コンセプトを導入するにはいくつかの課題がある。以下は、ゼロ・トラストへの移行に際して企業が直面する可能性のある懸念のほんの一部である：

レガシーアプリ

人事システムのような一部の重要なアプリは、ビジネスの日常的な機能に必要ですが、通常、ゼロ・トラスト・セキュリティ・モデルからは除外されます。すでに導入されている古いシステムは、検証システムで保護できないことが多い。

そのため、レガシー・アプリはセキュリティ・システムの弱点となり、ゼロ信頼への切り替えの利点を減じてしまう可能性がある。ゼロ・トラスト・ソリューションを採用する場合、レガシー・アプリの置き換えや手直しが必要になる可能性があり、移行コストがかさむ可能性がある。

高いレベルのコミットメントが必要

デフォルトコントロールとアクセシビリティは定期的に監視し、更新する必要がある。これには、ユーザーが新しい役割に移り、ネットワークの異なる部分へのアクセスを必要とする場合も含まれる。

企業は、すべてのアイデンティティとセキュリティ要件を包括的に把握し、変更を即座に更新する必要がある。管理体制の更新が遅れれば、機密データが第三者にとって無防備な状態になる可能性がある。

コンプライアンスと規制

監査の対象となる分野では、データにアクセスできなければ、コンプライアンスを証明することが困難な企業もあるだろう。ゼロ・トラストを考慮した規制の変更は遅々として進まないが、それも時間の問題だろう。

ゼロ・トラストへの移行には確かにいくつかの課題があるが、セキュリティを重視する企業にとっては、移行してデータの安全を確保することが望ましい。

ゼロ・トラスト・アーキテクチャーの導入方法

ゼロ・トラスト・セキュリティが何であるかを正確に理解し、データを保護するための強固なアプローチの利点を理解したところで、ゼロ・トラストを実装し、前述のいくつかの課題を回避する方法についてアイデアを得る時が来た。

組織化する

ゼロ・トラストを実施する準備として、すべてのCレベル幹部を巻き込むことが重要である。こうすることで、チームに十分な情報を提供し、移行に際してネットワークのどの部分を優先させるべきかについて議論を始めることができる。

ゼロ・トラストへの移行は進行中のプロセスであり、すべてのユーザーがこの事実を認識する必要がある。変更が進行中であることを知ることで、ワークフローの中断を避けるために、すべてのユーザーが迅速に変更を行うことができる。

システムの徹底的な評価

機密データとシステムを特定し、現在のインフラにおけるセキュリティ・ギャップに注意する。最も価値のある資産をターゲットとし、ゼロ・トラスト・アーキテクチャー内で最も安全なポジションを提供する。

重要なデータがどこにあり、どのユーザーがそのデータにアクセスできる必要があるのかをマップする。データや資産がどのように共有されているかに注意し、マイクロセグメンテーションを導入した後の互換性を確保する。

ゼロトラストをデジタル変革全体の一部に

企業がクラウドに移行し、IoTを取り入れることで、ゼロ・トラストへの切り替えも可能になる。そうすることで、エコシステムに強化されたセキュリティ・レベルを提供し、レガシー・テクノロジーの移行もカバーすることができる。

Resources

KuppingerCole leadership compass report: Access management