ホーム
Topics
Zero Trust
更新日: 2024年6月20日
寄稿者:Gregg Lindemulder、Matthew Kosinski
ゼロトラストとは、最新のマルチクラウド・ネットワークに対するセキュリティー戦略です。ゼロトラスト・セキュリティー・モデルでは、ユーザー、デバイス、アプリケーション、データ間におけるすべての接続に対して適切なセキュリティー対策が取られます。
ゼロトラストは、ネットワーク内のすべてのユーザーに暗黙の信頼を与えるのではなく、「決して信頼せず、常に検証する」という原則に基づいています。このきめ細かなセキュリティー・アプローチは、リモートワーカー、ハイブリッドクラウド・サービス、個人所有のデバイス、および今日の企業ネットワークのその他の要素によってもたらされるサイバーセキュリティー・リスクに対処するのに役立ちます。
攻撃対象領域が拡大するにつれて、セキュリティー体制を改善するためにゼロトラスト・モデルを導入する組織が増加しています。TechTarget Enterprise Strategy Groupの2024年度のレポートによると、3分の2以上の組織が企業全体でゼロトラスト・ポリシーを導入していると回答しています。1
進化し続ける法規制要件もゼロトラストの採用を推進しています。例えば、バイデン大統領は2021年の大統領令にて、すべての米連邦政府機関にゼロ・トラスト・アーキテクチャー(ZTA)を導入するように指示しました。2
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
ゼロトラスト・アプローチが重要である理由は、従来のネットワーク・セキュリティー・モデルでは、もはや十分ではないためです。ゼロトラスト戦略は、現在ほとんどの組織が使用している、複雑で高度に分散されたネットワーク向けに設計されています。
多くの企業は、長年にわたって、ファイアウォールやその他のセキュリティー・コントロールを活用して、ネットワークの境界を保護することに重点を置いてきました。ネットワーク境界内のユーザーは信頼できると見なして、アプリケーションやデータ、リソースへの自由なアクセスが許可されていました。
デジタル・トランスフォーメーションにより、ネットワークの境界という従来の概念がなくなりました。今では、企業のネットワークは、オンプレミスの場所やネットワーク・セグメントを超えて拡大しています。今日のエンタープライズ・エコシステムには、クラウド環境、モバイル・サービス、データセンター、IoTデバイス、サービスとしてのソフトウェア(SaaS)アプリ、そして従業員、ベンダー、ビジネス・パートナー向けのリモートアクセスが含まれています。
攻撃対象領域が拡大すると、企業はデータ侵害、ランサムウェア、内部脅威、その他のサイバー攻撃に対して、どんどん脆弱になります。ネットワーク境界はもはや明確で途切れることのない線ではなく、境界ベースの防御ではすべてのギャップを埋めることはできません。さらに、ネットワークにアクセスした脅威アクターは、暗黙の信頼を利用して横移動を行い、重要なリソースを見つけて攻撃することができます。
2010年に、Forrester Research社のアナリスト、John Kindervag氏が、厳格なアクセス制御を通じて企業リソースを保護するためのフレームワークとして「ゼロトラスト」の概念を提唱しました。ゼロトラストでは、ネットワーク境界から焦点を移して、個々のリソースの周囲にセキュリティー・コントロールを設けます。
すべてのエンドポイント、ユーザー、接続リクエストを潜在的な脅威とみなします。ユーザーは、境界を超える際に自由に行動させてもらず、新しいリソースに接続するたびに認証および許可される必要があります。この継続的な検証により、正当なユーザーのみが重要なネットワーク資産にアクセスできるようになります。
分かりやすく言うと、ゼロトラスト・セキュリティー体制は、ユーザー、アプリケーション、デバイス、データ間の接続を継続的に検証および認証します。
組織全体にゼロトラスト戦略を導入することは、複雑な作業になる可能性があります。単一のゼロトラスト・ソリューションをインストールすればよいというわけではありません。ゼロトラストには、アイデンティティーとアクセス・ポリシー、セキュリティー・ソリューションとワークフロー、自動化、運用、ネットワーク・インフラストラクチャーなど、幅広い機能領域にわたって、計画と実行が必要になります。
多くの組織は、特定のゼロトラスト・フレームワークに従って、ゼロトラスト・アーキテクチャーを構築しています。確立されたモデルには、Forrester社のゼロトラスト・フレームワーク、国立標準技術研究所(NIST)のSpecial Publication (SP) 800-2073、サイバーセキュリティー・インフラセキュリティー庁(CISA)のゼロトラスト成熟度モデル(ZTMM)などがあります。4
組織はさまざまなフレームワークから選択できますが、ほとんどのゼロトラスト戦略は、「ゼロトラストの3原則」「ゼロトラストの 5つの柱」「ゼロトラスト・ネットワーク・アクセス(ZTNA)」という重要な概念を共有しています。
各フレームワークやモデルの技術的な仕様はさまざまですが、すべてゼロトラストの核となる原則に従っています。
ゼロトラストにより、デフォルトでは、すべてのネットワーク資産にアクセスできなくなります。ユーザー、デバイス、ワークロードは、リソースにアクセスするために継続的なコンテキストに応じた認証と検証に合格する必要があり、接続を要求するたびに、これらのチェックに合格する必要があります。
ダイナミック・アクセス制御ポリシーは、ユーザーの権限、物理的な場所、デバイスの正常性、脅威インテリジェンス、異常な動作などのデータ・ポイントに基づいて、リクエストを承認するかどうかを決定します。接続は継続的に監視され、セッションを継続するには、定期的に再認証する必要があります。
ゼロトラスト環境では、ユーザーとデバイスのリソースへのアクセス権限は最小になります。つまり、タスクを完了したり、役割を果たしたりするために必要な最低レベルの権限を付与します。セッションが終了すると、これらの権限は取り消されます。
この方法で権限を管理すると、攻撃者がネットワークの他の領域にアクセスする能力が制限されます。
ゼロトラストを導入している企業では、セキュリティー・チームはハッカーが既にネットワーク・リソースに侵入していると想定します。進行中のサイバー攻撃を軽減するためにセキュリティー・チームがよく行うアクションは、標準の運用手順になります。これらのアクションには、攻撃の範囲を制限するネットワークのセグメンテーションが含まれます。ネットワーク全体のあらゆる資産、ユーザー、デバイス、プロセスを監視し、ユーザーやデバイスの異常な動作にリアルタイムで対応します。
CISAのゼロトラスト・セキュリティー・モデル4では、ゼロトラストの導入時に組織が重点的に取り組むべき5つの柱について概説されています。
ユーザーのアイデンティティーを認証し、承認されたエンタープライズ・リソースへのアクセスのみを許可することは、ゼロトラスト・セキュリティーの基本となる機能です。
組織がこの目的で使用する一般的なツールには、IDおよびアクセス管理(IAM)システム、シングル・サインオン(SSO)ソリューション、多要素認証(MFA)などがあります。
ネットワーク・リソースに接続するすべてのデバイスは、組織のゼロトラスト・ポリシーとセキュリティー・コントロールに完全に準拠している必要があります。これには、ワークステーション、スマートフォン、サーバー、ノートPC、IoTデバイス、プリンターなどが含まれます。
ゼロトラストを導入している組織は、すべての承認されたエンドポイント・デバイスの完全かつ最新のインベントリーを保持します。許可されていないデバイスは、ネットワークへのアクセスが拒否されます。
多くの組織は、従来のネットワーク・セグメンテーションからゼロトラスト環境におけるマイクロ・セグメンテーションに移行しています。リソースとワークロードはより小さな、より安全なゾーンに分離されているため、侵害をより適切に封じ込め、横移動を防ぐことができます。攻撃者は、使用を許可されていないリソースを見ることさえできません。
組織によっては、ネットワーク・トラフィックの暗号化やユーザーおよびエンティティーの動作の監視など、他のネットワーク脅威の防御を導入する場合もあります。
ゼロトラスト・セキュリティー・モデルの他のすべての要素と同様に、アプリケーションとアプリケーション・プログラミング・インターフェース(API)には暗黙的な信頼を与えません。
アプリケーションへの一度限りの静的アクセスを提供するのではなく、永続的なアクセスのために継続的な再検証を必要とする動的認証に移行します。組織は、相互に通信するアプリケーションの異常な動作を継続的に監視します。
ゼロトラスト・モデルでは、組織はデータを分類して、対象を絞ったアクセス制御とデータ・セキュリティー・ポリシーを適用して、データを保護できます。
転送中、使用中、および保存中のデータは、暗号化と動的認証によって保護されます。組織は、データ侵害や機密データの流出を示唆する可能性のある異常なアクティビティーがないかどうか、データ処理を継続的に監視します。
ゼロトラスト戦略を実装するための主要なテクノロジーの1つに、ゼロトラスト・ネットワーク・アクセス(ZTNA)があります。仮想プライベート・ネットワーク(VPN)と同様に、ZTNAはアプリケーションやサービスへのリモートアクセスを提供します。VPNとは異なり、ZTNAはユーザーをネットワーク全体に接続させるのではなく、アクセス権のあるリソースのみに接続を許可します。
ZTNAは、セキュア・アクセス・サービス・エッジ(SASE)モデルの重要な要素であり、これにより、企業はユーザーとリソース間の直接的で安全な、低遅延での接続を提供することができます。
ゼロトラスト・アーキテクチャーはアクセス制御をユーザーのアイデンティティに基づいて行うため、ハイブリッド環境やマルチクラウド環境でも強力な保護を提供できます。検証されたクラウド・ワークロードには重要なリソースへのアクセスを許可しますが、認証されていないクラウド・サービスとアプリケーションは拒否します。
ソースや場所、ITインフラストラクチャーの変更にかかわらず、ゼロトラストにより、多忙なクラウド環境を一貫して保護することができます。
多くの組織は、ベンダーや請負業者、サービス・プロバイダー、その他の第三者にネットワークへのアクセスを許可する必要があります。ハッカーはこれを利用してサプライチェーン攻撃を実行し、侵害されたベンダー・アカウントとワークロードを使用して企業のネットワークに侵入します。
ゼロトラストは、継続的なコンテキスト・ベースの認証と最小特権アクセスをネットワーク外のエンティティーも含めて、すべてのエンティティーに適用します。ハッカーが信頼できるベンダーのアカウントに侵入したとしても、企業の最も機密性の高いリソースにアクセスすることはできません。
組織はこれまで、リモートワーカーをネットワーク・リソースに接続させるために、仮想プライベート・ネットワーク(VPN)を使用してきました。しかし、VPNは簡単に拡張できず、横移動も妨ぐことができません。
ゼロトラスト・モデルでは、代わりにゼロトラスト・ネットワーク・アクセス(ZTNA)ソリューションを導入できます。ZTNAは従業員のアイデンティティーを確認し、職務に必要なアプリケーション、データ、サービスのみへのアクセス権を付与します。
IoTデバイスはインターネットに接続するため、企業のセキュリティーにリスクをもたらします。ハッカーは、脆弱なネットワーク・システムにマルウェアを展開するために、IoTデバイスを標的にすることがよくあります。
ゼロトラスト・アーキテクチャーは、組織全体のすべてのIoTデバイスの場所、ステータス、正常性を継続的に追跡します。すべてのデバイスを潜在的に悪意のある存在として扱います。ゼロトラスト環境の他の要素と同様に、IoTデバイスはアクセス制御、認証、他のネットワークリソースとの暗号化通信の対象となります。
AIを導入して、ハイブリッドクラウド全体で顧客、従業員、特権IDを保護、管理します。
実証済みのセキュリティー・スキル、専門知識、最新ソリューションで、高度なサイバーセキュリティーの脅威からインフラストラクチャーとネットワークを保護します。
ハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化します。
IBMの上級セキュリティー・アーキテクトおよびコンサルタントとの無料のオンライン上、もしくは対面での3時間のデザイン思考セッションは、サイバーセキュリティーの最新状況を把握し、イニシアチブに優先順位を付けるのに役立ちます。
IBM Office of CIOは、従業員と顧客全体の次世代デジタル認証のために、IBM Verifyを採用しました。
IT環境の分散化と複雑化が進む中でも、データ・セキュリティーとコンプライアンスの体制を改善する方法をご紹介します。
すべてのリンク先は、ibm.comの外部です。
1 Trends in Zero Trust. Enterprise Strategy Group by TechTarget. March 2024.
2 Executive Order on Improving the Nation’s Cybersecurity. The White House. 12 May 2021.
3 NIST SP800-207: Zero Trust Architecture. NIST. August 2020.
4 CISA Zero Trust Maturity Model. CISA. April 2023.