ゼロ トラスト アーキテクチャの概要

国家安全保障局 (NSA) のネットワーク インフラストラクチャ セキュリティ ガイダンス レポートが最近発行されたおかげで、一般的なネットワークの弱点と脆弱性を排除することが、多くのビジネス上の意思決定者にとって最重要課題になりました。

結局のところ、データ漏えいによる平均的な経済的損失は、17 年ぶりの高水準である424 万ドルに達し、目を見張るものがあります。今日の組織は、データ セキュリティとゼロ トラスト アーキテクチャ (ZTA) の利点を優先する必要がありますが、先に進む前に、ZTA とは何か、この概念がどこから来たのかを詳しく見てみましょう。

ゼロトラストとは？

ペリメータレス セキュリティとも呼ばれるゼロ トラストは、分散化が進む環境におけるサイバー脅威に対処するための IT システムの設計と実装に関する原則のフレームワークに基づくセキュリティ モデルです。ユーザーは、システムやデータへのアクセスを許可される前に、認証、承認、および継続的な検証を受ける必要があります。つまり、ゼロ トラストは本質的に誰も信用しません。

多くの場合、ハッカーの侵入ポイントは、ネットワーク内の標的の場所ではありません。代わりに、ある領域の脆弱性を特定し、ターゲットに到達するまで横方向に移動します。 ZTA は、ユーザーが複数のポイントで自分自身を識別するように強制することで、これが発生するのを防ぎます。これにより、基本的に、悪意のある人物による被害が制限されます。

ゼロ トラストは新しい概念ではありません。 Forrester Research の元主席アナリストであるJohn Kindervagによって 2009 年に初めて発表されました。しかし、その人気は過去 2 年間で爆発的に増加しました。実際、2021 年のMicrosoft のレポートによると、セキュリティの意思決定者の 90% がこの概念に精通しており、わずか 1 年前の 20% から増加しています。この傾向は、リモート ワークの成長とクラウドの採用の増加によって触媒されたことは間違いありません。サイバー攻撃の数が急増していることは言うまでもありません。これは、米国の企業に対するロシアのサイバー攻撃に関する最近のホワイトハウスからの警告に基づいて、さらに増加する可能性があります。

「わかりましたが、実際にゼロトラストを実装するにはどうすればよいですか?」

ZTA を実装するための画一的なモデルはありません。ただし、組織は通常、次のことを考慮する必要があります。

• ID ガバナンス:堅牢なポリシーとアクセス資格によって、すべてのユーザー ID を管理および保護していることを確認します。役割ベースのアクセス制御は、ユーザーの役割を活用して、業務を遂行するために必要なシステムやアプリケーションへのアクセスのみを許可することで、これらのポリシーを適用するのに役立ちます。
• 特権アクセス管理:特権アカウントは最高レベルのアクセスを持つアカウントであり、公開される可能性のある機密情報の程度を考えると、平均的なユーザーよりも大きなセキュリティ リスクをもたらします。システム レベルでの詳細なポリシー制御を通じて、タスクを完了するのに必要なだけのアクセス権をサード パーティまたは管理者に提供することで、最小権限の原則を順守します。
• 多要素認証 (MFA):最も一般的な初期攻撃ベクトルの 1 つは、ユーザーの資格情報の侵害です。これは、MFA が防止することを目的としています。このセキュリティ レイヤーでは、システムまたはアプリケーションへのアクセスを許可する前に、2 つの認証方法が必要です。ユーザーが知っているもの (パスワードまたは PIN)、ユーザーが持っているもの (スマートフォンまたはトークン)、およびユーザー自身のもの (生体認証データ) です。
• シングル サインオン (SSO):セキュリティは、それを使用する人次第であり、ユーザーがセキュリティに気付いたとしても、無視されることがよくあります。実際、 57% が付箋にパスワードを書き留めていることを認めていますが、他の多くのユーザーは同僚と資格情報を共有しています。 SSO を使用すると、システムにアクセスするためにユーザー名とパスワードを覚えて繰り返し入力する必要がなくなるため、組織はより強力なセキュリティを実装できます。
• ゼロ トラスト ポリシー エンジン:米国国立標準技術研究所 (NIST) のドキュメントで説明されているように、これは ZTA の「頭脳」です。人であれ機械であれ、デジタル ID がエンタープライズ リソースにアクセスしようとするたびに、ZTA ポリシー エンジンはアクセスする必要があるかどうかを尋ねられます。もちろん、ポリシー エンジンのパラメーターを設定します。事実上、デジタル ID の管理が厳しい場合は、ZTA ポリシー エンジンを使用して、ユーザー名やパスワードの要件、および MFA の要件を削除することもできます。基本的に、アクセスを容易にしながらセキュリティを向上させることができます。

ID およびアクセス管理 – 家を整える時が来ました

デジタル ID を効果的に管理および保護することは、間違いなく ZTA の最も重要な要素です。簡単に言えば、ID およびアクセス管理 (IAM) 戦略がなければ、ゼロ トラストを忘れることができます。または、少なくともそこから得られるメリットを忘れてください。

組織が IAM 戦略を実装する際に使用できるツールは数多くありますが、上記のソリューションを配置することはパズルの 1 ピースにすぎません。ほとんどの組織がまだ持っている一連のレガシー システムのおかげで、プロビジョニングとプロビジョニング解除用のツール、MFA 用のツール、SSO 用の 3 番目のツールなどを見るのが一般的です。そうするつもりがなくても、この種の断片化されたアプローチを持つ組織は、回避しようとしているまさにそのリスクを導入することがよくあります。

代わりに、先見の明のある組織は、これらのツールを統一された戦略に統合して、ギャップをなくし、単一の制御点を可能にすることを検討する必要があります。

全体として、組織が現在直面しているサイバーセキュリティ関連の膨大な数の課題を誇張することは困難です。確かに、多くの人にとって、システム、データ、およびユーザーを短期間で保護する方法を見つけ出す必要があります。しかし、問題を解決した後は、効果的な ID およびアクセス管理戦略に基づく ZTA の実装は簡単です。