ゼロトラストとは、また、ゼロトラストのセキュリティー原則をサイバーセキュリティー戦略に導入するのに役立つフレームワークと標準
IBMの多くのお客様は、ゼロトラスト・セキュリティーとは厳密にどういったものなのか、またそれを自社組織に適用できるのかどうかを知りたいと思っています。ゼロトラストの概念とそれがどのように進化したかを理解することは、貴社と貴社の多くの顧客が、組織の最も貴重な資産を保護するために、ゼロトラストを最適に実装する方法を理解するのに役立ちます。
ゼロトラストは、企業のネットワーク・セキュリティーの外部と内部の両方において、すべての接続とエンドポイントが脅威であると想定するフレームワークです。これにより、企業はハイブリッドクラウド環境のセキュリティー・ニーズに対応するための綿密なIT戦略を構築できます。ゼロトラストは、適応的かつ継続的な保護を実装し、脅威をプロアクティブに管理する機能を提供します。
言い換えると、ゼロトラスト・アプローチは、いかなるトランザクションにおいても、ユーザー、デバイス、接続を決して信用せずに、トランザクションごとにこれらすべてを検証します。これにより、企業はビジネス全体にわたってセキュリティーと可視性を確保し、一貫したセキュリティ・ポリシーを適用することができます。
ゼロトラストは、2010年にGoogleが開発した「BeyondCorp」イニシアチブから始まりました。この取り組みの目標は、従来の境界ベースのセキュリティー・モデルから脱却し、アイデンティティー(ID)とコンテキストに基づいて、リソースへのアクセスを保護することでした。この戦略により、Googleは従業員に、VPNを必要とせずに、どこからでも、あらゆるデバイスを使用して、企業のアプリケーションやデータに安全にアクセスできるようにしました。
2014年、Forrester ResearchのアナリストであるJohn Kindervagは、「The Zero Trust Model of Information Security」と題したレポートの中で、この新しいセキュリティー・パラダイムについて説明するために、ゼロトラストという概念を提唱しました。このレポートで、Kindervagは組織のネットワークの内外を問わず、検証をしないことには誰も信用しない、という新しいセキュリティー・モデルを提案しました。このレポートでは、「Never trust, always verify(決して信頼せず、常に検証せよ)」という2つの原則に基づいたゼロトラスト・モデルの概要について説明されています。
すべてのユーザー、デバイス、アプリケーションを信頼できないものとみなし、リソースへのアクセスを許可する前に必ず検証を行います。最小特権の原則では、すべてのユーザーまたはデバイスに、ジョブの実行に必要な最小限のアクセス権を付与し、アクセス権は必要な場合にのみ付与します。
以来、ゼロトラストの概念は勢いを増し続け、多くの組織がデジタル資産をサイバー脅威に対する保護を強化するために、そのアーキテクチャーを採用しています。これには、セキュリティーを強化し、セキュリティー侵害のリスクを軽減するためのさまざまなセキュリティー原則とテクノロジーが含まれます。
これらのモデルは、連動して包括的なゼロトラスト・アーキテクチャーを構築できるように設計されています。組織は攻撃対象領域を減らして、セキュリティー体制を強化し、セキュリティー侵害のリスクを最小限に抑えることができます。ただし、特定のゼロトラスト・セキュリティー・モデルとその実装は、組織の規模、業界、固有のセキュリティー・ニーズに応じて異なる場合があることに注意してください。
ゼロトラストは、現代のサイバーセキュリティーにおける一般的なアプローチになっています。今日の複雑で相互接続された世界で増大するサイバー攻撃やデータ侵害の脅威に対応するために、多くの組織で採用されています。結果として、多くのテクノロジー・ベンダーが、ゼロトラスト・アーキテクチャーをサポートできるように、特別に設計した製品とサービスを開発しています。
また、米国国立標準技術研究所(NIST)のガイダンスに従って、組織がサイバーセキュリティ戦略にゼロトラスト・セキュリティー原則を実装するための多数のフレームワークや標準もあります。
NISTは、米商務省傘下の非規制機関であり、企業がネットワークとデータを保護するためのサイバーセキュリティー・リスクをより深く理解し、管理し、軽減できるように支援しています。NISTは、ゼロトラストに関して強く推奨されるいくつかの包括的なガイドラインを発行しています。
NIST SP 800-207, Zero Architecture(ibm.com外部へのリンク)は、ゼロトラスト・アーキテクチャーの基礎を確立した最初のガイドラインです。このガイドラインでは、ゼロトラストを(特定のテクノロジーや実装ではなく)指針となる一連の原則として定義し、ゼロトラスト・アーキテクチャーの例を示しています。
NIST SP 800-207は、継続的なモニタリングと、リスクに基づいた適応的な意思決定の重要性を強調しています。NISTは、ゼロトラストの7つの柱(もしくはゼロトラストの7つの基本原則)に基づいて、ゼロトラスト・アーキテクチャーを実装することを推奨しています。
全体として、NIST SP 800-207は、最小特権、マイクロ・セグメンテーション、継続的監視の原則に基づいたゼロトラスト・アプローチを推進し、脅威から保護するために複数のテクノロジーとコントロールを組み込んだ多層セキュリティー・アプローチを実装することを奨励しています。
NIST SP 1800-35B, Implementing a Zero Trust Architecture(ibm.com外部へのリンク)は、NISTの強く推奨するもう1つのガイドラインであり、2つの主要トピックで構成されています。
このガイドラインでは、組織がまず最初にニーズを適切に自己診断できるように、ITセキュリティーの課題(民間セクターと公共セクターに該当)をゼロトラスト・アーキテクチャーの原則とその要素に関連付けています。これにより、組織は、ニーズに応じてゼロトラスト・アーキテクチャーの原則とその要素を適用することができます。したがって、NIST SP 1800-35Bは、特定のゼロトラスト・モデルを特定するものではありません。
NISTは、実装した4つのゼロトラスト・アーキテクチャの反復型開発プロセスを活用し、段階的な改善を容易かつ柔軟に行えるようにし、進化するゼロトラスト・フレームワークとの継続性を確保しています。
NISTは、これらの変化や新たな脅威の先を行くために提携している多くのテクノロジー組織(IBMなど)と戦略的パートナーシップを結んでいます。
この提携により、IBMは開発を優先して、テクノロジー・ソリューションがゼロトラストの7つの基本原則に適合させて、顧客のシステムとデータを保護することができます。
ゼロトラストの重要性の詳細については、IBMのデータ侵害のコストに関する調査(2022)ご覧ください。もしくは、IBMのゼロトラスト・エキスパートまで直接お問い合わせください。
IBM web domains
ibm.com, ibm.org, ibm-zcouncil.com, insights-on-business.com, jazz.net, mobilebusinessinsights.com, promontory.com, proveit.com, ptech.org, s81c.com, securityintelligence.com, skillsbuild.org, softlayer.com, storagecommunity.org, think-exchange.com, thoughtsoncloud.com, alphaevents.webcasts.com, ibm-cloud.github.io, ibmbigdatahub.com, bluemix.net, mybluemix.net, ibm.net, ibmcloud.com, galasa.dev, blueworkslive.com, swiss-quantum.ch, blueworkslive.com, cloudant.com, ibm.ie, ibm.fr, ibm.com.br, ibm.co, ibm.ca, community.watsonanalytics.com, datapower.com, skills.yourlearning.ibm.com, bluewolf.com, carbondesignsystem.com