IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
ゼロトラストとは、最新のマルチクラウド・ネットワークに対するセキュリティー戦略です。ゼロトラスト・セキュリティー・モデルでは、ユーザー、デバイス、アプリケーション、データ間における全ての接続に対して適切なセキュリティー対策が取られます。
ゼロトラストは、ネットワーク内のすべてのユーザーに暗黙の信頼を与えるのではなく、「決して信頼せず、常に検証する」という原則に基づいています。このきめ細かなセキュリティー・アプローチは、リモートワーカー、ハイブリッドクラウド・サービス、個人所有のデバイス、および今日の企業ネットワークのその他の要素によってもたらされるサイバーセキュリティー・リスクに対処するのに役立ちます。
攻撃対象領域が拡大するにつれて、セキュリティー体制を改善するためにゼロトラスト・モデルを導入する組織が増加しています。TechTarget Enterprise Strategy Groupの2024年度のレポートによると、3分の2以上の組織が企業全体でゼロトラスト・ポリシーを導入していると回答しています。1
進化し続ける法規制要件もゼロトラストの採用を推進しています。例えば、バイデン大統領は2021年の大統領令にて、すべての米連邦政府機関にゼロ・トラスト・アーキテクチャー(ZTA)を導入するように指示しました。2
ゼロトラスト・アプローチが重要である理由は、従来のネットワーク・セキュリティー・モデルでは、もはや十分ではないためです。ゼロトラスト戦略は、現在ほとんどの組織が使用している、複雑で高度に分散されたネットワーク向けに設計されています。
多くの企業は、長年にわたって、ファイアウォールやその他のセキュリティー・コントロールを活用して、ネットワークの境界を保護することに重点を置いてきました。ネットワーク境界内のユーザーは信頼できると見なして、アプリケーションやデータ、リソースへの自由なアクセスが許可されていました。
DX(デジタル・トランスフォーメーション)により、ネットワークの境界という従来の概念がなくなりました。今では、企業のネットワークは、オンプレミスの場所やネットワーク・セグメントを超えて拡大しています。今日のエンタープライズ・エコシステムには、クラウド環境、モバイル・サービス、データセンター、IoTデバイス、サービスとしてのソフトウェア(SaaS)アプリ、そして従業員、ベンダー、ビジネス・パートナー向けのリモートアクセスが含まれています。
攻撃対象領域 が拡大すると、企業はデータ侵害、 ランサムウェア、内部脅威、その他の サイバー攻撃に対して、どんどん脆弱になります。ネットワーク境界はもはや明確で途切れることのない線ではなく、境界ベースの防御ではすべてのギャップを埋めることはできません。さらに、ネットワークにアクセスした脅威アクターは、暗黙の信頼を利用して横移動を行い、重要なリソースを見つけて攻撃することができます。
2010年に、Forrester Research社のアナリスト、John Kindervag氏が、厳格なアクセス制御を通じて企業リソースを保護するためのフレームワークとして「ゼロトラスト」の概念を提唱しました。ゼロトラストでは、ネットワーク境界から焦点を移して、個々のリソースの周囲にセキュリティー・コントロールを設けます。
すべてのエンドポイント、ユーザー、接続リクエストを潜在的な脅威とみなします。ユーザーは、境界を超える際に自由に行動させてもらず、新しいリソースに接続するたびに認証および許可される必要があります。この継続的な検証により、正当なユーザーのみが重要なネットワーク資産にアクセスできるようになります。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
分かりやすく言うと、ゼロトラスト・セキュリティー体制は、ユーザー、アプリケーション、デバイス、データ間の接続を継続的に検証および認証します。
組織全体にゼロトラスト戦略を導入することは、複雑な作業になる可能性があります。単一のゼロトラスト・ソリューションをインストールすればよいというわけではありません。ゼロトラストには、アイデンティティーとアクセス・ポリシー、セキュリティー・ソリューションとワークフロー、自動化、運用、ネットワーク・インフラストラクチャーなど、幅広い機能領域にわたって、計画と実行が必要になります。
多くの組織は、特定のゼロトラスト・フレームワークに従って、ゼロトラスト・アーキテクチャーを構築しています。確立されたモデルには、Forrester社のゼロトラスト・フレームワーク、国立標準技術研究所(NIST)のSpecial Publication (SP) 800-2073、サイバーセキュリティー・インフラセキュリティー庁(CISA)のゼロトラスト成熟度モデル(ZTMM)などがあります。4
組織はさまざまなフレームワークから選択できますが、ほとんどのゼロトラスト戦略は、「ゼロトラストの3原則」「ゼロトラストの 5つの柱」「ゼロトラスト・ネットワーク・アクセス(ZTNA)」という重要な概念を共有しています。
ゼロトラストの3つの原則とは
各フレームワークやモデルの技術的な仕様はさまざまですが、すべてゼロ・トラストの核となる原則に従っています。
- 継続的なモニタリングと検証
- 最小特権の原則
- 侵害想定
継続的なモニタリングと検証
ゼロトラストにより、デフォルトでは、すべてのネットワーク資産にアクセスできなくなります。ユーザー、デバイス、ワークロードは、リソースにアクセスするために継続的なコンテキストに応じた認証と検証に合格する必要があり、接続を要求するたびに、これらのチェックに合格する必要があります。
ダイナミック・アクセス制御ポリシーは、ユーザーの権限、物理的な場所、デバイスの正常性、脅威インテリジェンス、異常な動作などのデータ・ポイントに基づいて、リクエストを承認するかどうかを決定します。接続は継続的に監視され、セッションを継続するには、定期的に再認証する必要があります。
最小特権の原則
ゼロトラスト環境では、ユーザーとデバイスのリソースへのアクセス権限は最小になります。つまり、タスクを完了したり、役割を果たしたりするために必要な最低レベルの権限を付与します。セッションが終了すると、これらの権限は取り消されます。
この方法で権限を管理すると、攻撃者がネットワークの他の領域にアクセスする能力が制限されます。
違反の想定
ゼロトラストを導入している企業では、セキュリティーチームはハッカーがすでにネットワーク・リソースに侵入していると想定します。進行中のサイバー攻撃を軽減するためにセキュリティーチームがよく行うアクションは、標準の運用手順になります。これらのアクションには、攻撃の範囲を制限するネットワークのセグメンテーションが含まれます。ネットワーク全体のあらゆる資産、ユーザー、デバイス、プロセスを監視し、ユーザーやデバイスの異常な動作にリアルタイムで対応します。
ゼロトラストの5つの柱とは
CISAのゼロトラスト・セキュリティー・モデル4では、ゼロトラストの導入時に組織が重点的に取り組むべき5つの柱について概説されています。
- アイデンティティー
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ
ユーザーのアイデンティティーを認証し、承認されたエンタープライズ・リソースへのアクセスのみを許可することは、ゼロトラスト・セキュリティーの基本となる機能です。
組織がこの目的で使用する一般的なツールには、IDおよびアクセス管理(IAM)システム、シングル・サインオン(SSO)ソリューション、多要素認証(MFA)などがあります。
ネットワーク・リソースに接続するすべてのデバイスは、組織のゼロトラスト・ポリシーとセキュリティー・コントロールに完全に準拠している必要があります。これには、ワークステーション、スマートフォン、サーバー、ノートPC、IoTデバイス、プリンターなどが含まれます。
ゼロトラストを導入している組織は、すべての承認されたエンドポイント・デバイスの完全かつ最新のインベントリーを保持します。許可されていないデバイスは、ネットワークへのアクセスが拒否されます。
多くの組織は、従来のネットワーク・セグメンテーションからゼロトラスト環境におけるマイクロ・セグメンテーションに移行しています。リソースとワークロードはより小さな、より安全なゾーンに分離されているため、侵害をより適切に封じ込め、横移動を防ぐことができます。脅威アクターは、使用を許可されていないリソースを見ることさえできません。
組織によっては、ネットワーク・トラフィックの暗号化やユーザーおよびエンティティーの動作の監視など、他のネットワーク脅威の防御を導入する場合もあります。
ゼロトラスト・セキュリティー・モデルの他のすべての要素と同様に、アプリケーションとアプリケーション・プログラミング・インターフェース(API)には暗黙的な信頼を与えません。
アプリケーションへの一度限りの静的アクセスを提供するのではなく、永続的なアクセスのために継続的な再検証を必要とする動的認証に移行しています。組織は、相互に通信するアプリケーションの異常な動作を継続的に監視しています。
ゼロトラスト・モデルでは、組織はデータを分類して、対象を絞ったアクセス制御とデータ・セキュリティー・ポリシーを適用して、データを保護できます。
転送中、使用中、および保存中のデータは、暗号化と動的認証によって保護されます。組織は、データ侵害や機密データの流出を示唆する可能性のある異常なアクティビティーがないかどうか、データ処理を継続的に監視します。
ゼロトラスト・ネットワーク・アクセス(ZTNA)とは
ゼロトラスト戦略を実装するための主要なテクノロジーの1つに、ゼロトラスト・ネットワーク・アクセス(ZTNA)があります。仮想プライベート・ネットワーク(VPN)と同様に、ZTNAはアプリケーションやサービスへのリモートアクセスを提供します。VPNとは異なり、ZTNAはユーザーをネットワーク全体に接続させるのではなく、アクセス権のあるリソースのみに接続を許可します。
ZTNAは、セキュア・アクセス・サービス・エッジ(SASE)モデルの重要な要素であり、これにより、企業はユーザーとリソース間の直接的で安全な、低遅延での接続を提供することができます。
マルチクラウド・セキュリティー
ゼロトラスト・アーキテクチャーはアクセス制御をユーザーのアイデンティティに基づいて行うため、ハイブリッド環境やマルチクラウド環境でも強力な保護を提供できます。検証されたクラウド・ワークロードには重要なリソースへのアクセスを許可しますが、認証されていないクラウド・サービスとアプリケーションは拒否します。
ソースや場所、ITインフラストラクチャーの変更にかかわらず、ゼロトラストにより、多忙なクラウド環境を一貫して保護することができます。
サプライチェーンのセキュリティー
多くの組織は、ベンダーや請負業者、サービス・プロバイダー、その他の第三者にネットワークへのアクセスを許可する必要があります。ハッカーはこれを利用してサプライチェーン攻撃を実行し、侵害されたベンダー・アカウントとワークロードを使用して企業のネットワークに侵入します。
ゼロトラストは、継続的なコンテキスト・ベースの認証と最小特権アクセスをネットワーク外のエンティティーも含めて、すべてのエンティティーに適用します。ハッカーが信頼できるベンダーのアカウントに侵入したとしても、企業の最も機密性の高いリソースにアクセスすることはできません。
従業員向けのリモートアクセス
組織はこれまで、リモートワーカーをネットワーク・リソースに接続させるために、仮想プライベート・ネットワーク(VPN)を使用してきました。しかし、VPNは簡単に拡張できず、横移動も妨ぐことができません。
ゼロトラスト・モデルでは、代わりにゼロトラスト・ネットワーク・アクセス(ZTNA)ソリューションを導入できます。ZTNAは従業員のアイデンティティーを確認し、職務に必要なアプリケーション、データ、サービスのみへのアクセス権を付与します。
IoTの可視性
IoTデバイスはインターネットに接続するため、企業のセキュリティーにリスクをもたらします。ハッカーは、脆弱なネットワーク・システムにマルウェアを展開するために、IoTデバイスを標的にすることがよくあります。
ゼロトラスト・アーキテクチャーは、組織全体のすべてのIoTデバイスの場所、ステータス、正常性を継続的に追跡します。すべてのデバイスを潜在的に悪意のある存在として扱います。ゼロトラスト環境の他の要素と同様に、IoTデバイスはアクセス制御、認証、他のネットワークリソースとの暗号化通信の対象となります。
脚注
1 Trends in Zero Trust。Enterprise Strategy Group by TechTarget。2024年3月。
2 Executive Order on Improving the Nation’s Cybersecurity。The White House。2021年5月12日。
3 NIST SP800-207: Zero Trust Architecture。NIST。2020年8月。
4 CISA Zero Trust Maturity Model。CISA。2023年4月。