ゼロトラストとは
ゼロトラストは、複雑ネットワークのセキュリティーが、内外部の脅威に常に晒されていると想定するフレームワークです。 それらの脅威に対抗するための徹底的なアプローチを編成し、戦略化するのを支援します。
工業地帯を見下ろす俯瞰図
ゼロトラスト・モデルを採用する理由

IT業界はこれまで、ユーザー・データや知的財産といった最も貴重なリソースを保護するうえで、 ペリメーター・セキュリティ戦略 に依存してきました。 こうしたセキュリティー戦略には、ユーザーのネットワークへの出入りを検査および有効化する、ファイヤーウォールやその他のネットワーク・ベースのツールがありました。 しかし、デジタル変革とハイブリッドクラウド・インフラストラクチャーへの移行が、業界のビジネスのあり方を変化させています。 ネットワーク・ペリメーターへの依存では、もはや十分とは言えません。

また、多くの企業はビジネスモデルを調整しています。 こうした組織は顧客に対し、彼らが必要とし、また希望している新しいデジタル体験を提供しながら、グローバルだが全く異なるもので構成される労働力を実現しています。 最近のイベントは、こうしたデジタル変革の歩みを進めたに過ぎません。 組織は突如として、IT部門の管理を外れた自宅のコンピュータからシステムに接続する、何千人もの個人を抱えることになりました。 ユーザー、データ、およびリソースは世界中に広がり、これらを迅速かつ安全につなぎ合わせることが困難になっています。 また、システム保護のための従来のオンプレミスのインフラストラクチャーがない、従業員の自宅環境は、情報漏えいに関して脆弱であり、ビジネスをリスクに晒しています。

さらに物事を複雑にしているのは、多くの企業が現在、セキュリティーのソリューションやツールを、十分に統合しないまま寄せ集めて運用していることです。 結果として、セキュリティー担当チームはより多くの時間をマニュアル作業に費やしています。 こうしたチームには、組織の攻撃対象領域を効果的に減らすのに必要なコンテキストと洞察が欠けています。  データ侵害およびグローバル規制の増加は、ネットワーク保護を困難にしています。 コンテキストに関し、 データ侵害の平均コストは、ビジネスの逸失や罰金などで約400万米ドルに達します。

アプリケーション、ユーザー、デバイスは、データへの高速かつ安全なアクセスを必要とするため、セキュリティー・ツールやアーキテクチャーの業界全体が、データを保護するために構築されてきました。 ゼロトラストは、こうしたデータ駆動型のハイブリッドクラウド環境のセキュリティー・ニーズに応えるものです。 これは組織に、ユーザー、データ、アセットに対するアダプティブで継続的な保護に加え、脅威を事前に管理する能力を提供します。 言い換えるなら、決して信頼をせず、常に検証を行うこうした慣行は、あらゆるユーザー、デバイス、接続のセキュリティーを、1回のトランザクション毎にラップすることを目指しています。 ゼロトラスト・フレームワークを適用することで、ディフェンダーは自らのセキュリティー・ビジネス全般についての洞察を得ることもできます。 防御者はセキュリティー・ポリシーを一貫して実行し、より素早く正確な方法で脅威を検出し、対応することができます。 しかしながら、結果として次のようないくつかのメリットも生まれます。

  • サブネット上のトラフィックが減少することによるネットワーク・パフォーマンスの向上
  • ネットワーク・エラーに対処する能力の改善
  • 細分性による、ロギングおよびモニタリングのプロセスの簡素化
  • 侵害検出時間の短縮
ゼロトラスト・フレームワークの詳細はこちら

ゼロトラストはどのように機能するのか

当時、フォレスター・リサーチ社の主席アナリストだったJohn Kindervagによって2010年に開発された、ゼロトラスト・アーキテクチャーは、組織の最も貴重なアセットの効果的な保護を約束する、大まかな枠組みです。 これは、すべての接続とエンドポイントが脅威だと想定することで機能します。 このフレームワークは、そうした脅威が外部であれ内部であれ、またすでに内部に入り込んだ接続に関してさえ、その脅威からシステムを保護します。 簡単に言えば、ゼロトラスト・ネットワークとは、次のようなことです。

  • すべての企業ネットワーク・トラフィックをログに記録して検査する
  • ネットワークへのアクセスの制限と制御
  • ネットワーク・リソースの検証・保護

大まかに言うと、ゼロトラスト・セキュリティ・モデルを使用すると、デフォルトではデータやリソースにアクセスできなくなります。 ユーザーは最小権限のアクセスとして知られる条件付きの環境で、限定ベースでしかデータやリソースにアクセスできません。 ゼロトラスト・セキュリティー・モデルは、ユーザーがアプリケーション・プログラミング・インターフェース(API)を介して、アプリケーション、ソフトウェア、あるいはデータ・セットに接続した時など、あらゆる接続を検証および認可します。 これはそうしたインタラクションが、組織のセキュリティー・ポリシーの条件規定を満たすようにするものです。 ゼロトラスト・セキュリティー戦略も、できる限り多くのデータ・ソースから取り出したコンテキストを使用して、あらゆるデバイス、ネットワーク・フロー、および接続を、動的ポリシーに基づいて認証および認可します。

ゼロトラスト・アーキテクチャーの導入を成功させるには、組織は、各セキュリティー・ドメイン間で情報を接続する必要があります。 企業のセキュリティ・チームはアクセス・ポリシーに関する優先順位に同意し、これを調整する必要があります。 チームはデータから、ユーザー、デバイス、アプリケーション、ワークロード、ネットワークにいたる、ビジネス全般のあらゆる接続を保護しなくてはなりません。 このアーキテクチャーでは、ビジネスに特化した特定の成果を達成するために、セキュリティー・ツールを実装し統合するための綿密に計画された戦略とロードマップが必要です。 ゼロトラスト・モデルを機能させるため、導入者は以下を行う必要があります。

  • 組織全体でのコミットメント
  • すべてのIT資産とデータ資産のカタログ化および、役割に基づいたアクセス権の割り当て。
  • いくつかの共通した脆弱性をロックダウン。
  •  データ中心のアプローチ のためにデータを分類(ibm.com外部へのリンク)。
  • データ侵害の原因となる ラテラル・ムーブメント  を防止するためにネットワークをセグメント化(ibm.com外部へのリンク)。
  • 仮想マシンとクラウド・サーバーの相互移動時にワークロードを分離し保護。

これは、外部から見ると制限的なプロセスのように見えるかもしれません。 しかし、ゼロトラスト・モデルの着実な実装は、急速に広がる攻撃対象領域に関するコンテキストと洞察をセキュリティー・チームにもたらし、ユーザー・エクスペリエンスを向上するのに役立ちます。

詳細はこちら:ゼロトラスト、IBM CISOの視点

ゼロトラストの最低要件

ゼロトラストは、アイデンティティー、データ、デバイスとワークロード、アナリティクスと可視性、オートメーションとオーケストレーションョン、およびネットワークとエンドポイントなど、セキュリティー機能と経験の幅広いポートフォリオを必要とします。

ID

SSO、多要素認証、ライフサイクルを使用して、全ユーザーと特権アカウントのアクセスを管理する、ゼロトラスト・セキュリティー・ポリシーを定義および管理します。

データ

ゼロトラスト・セキュリティー・プラクティスを使用して、重要データを保護します。 リスクに応じてデータ・アクセスを発見、分類、管理します。

デバイスとワークロード

ゼロトラスト・セキュリティー・プラクティスを使用して、設計によって保護されたアプリケーションから、エンドポイントの監視および管理にいたるまで、組織を保護します。

アナリティクスと可視性

インテリジェント・アナリティクスを使用して、ゼロトラスト・セキュリティー・ポリシーを監視および実行します。 すべてのユーザー、リソース、およびビジネス内のデータ接続の行動を確認および監視します。

オートメーションとオーケストレーション

ゼロトラスト・プラクティスの一環として発生するセキュリティー問題を、オーケストレートされたアクションと共通プレイブックを用いて迅速に解決および反復します。

ネットワークとエンドポイント

実績のあるスキル、専門知識、最新のソリューションを適用して、ネットワーク、インフラストラクチャー、エンドポイントを現代のサイバーセキュリティーの脅威から保護します。


効果的なゼロトラスト・モデルのためにコンテキストに注目する

ゼロトラスト・モデルを効果的にするにはコンテキストが必要となります (ibm.comの外部リンク)。 そのため、セキュリティー・チームはさまざまなビジネスから情報を収集し、これを使用して、各接続の信頼性について迅速な判断を下すのに必要なコンテキストを作成する必要があります。 継続して実行することで、同モデルは組織が接続を安全に認可するプロセスを迅速化するのに役立ちます。 同モデルは権限を持つユーザーが許可された環境で、適切なデータへの許可されたアクセスを取得することを可能にします。 次の4つのゼロトラストの原則は、ユーザーの接続、データ、リソースを保護するために、セキュリティー・ツール間のコンテキストを共有するための、ガバナンス・モデルを確立します。

コンテキストを定義する

ユーザー、データおよびリソースを理解して、ビジネスと整合するよう調整されたセキュリティー・ポリシーを作成します。 このプロセスでは、リスクに基づいてリソースを発見および分類し、リソースのきめ細かい境界を定義し、役割と義務に応じてユーザーを分離する必要があります。

検証して実施する

コンテキストを迅速かつ一貫して検証し、ポリシーを実行することで、組織を保護します。 そのためには、あらゆるアクセス要求を、企業のポリシーで定義された条件と比較しながら積極的に監視および検証して、許可されたリソースへの権限のあるアクセスを迅速かつ一貫して付与する必要があります。

インシデントを解決する

ターゲットを絞った行動を取ることで、ビジネスへの影響を最小限にとどめながら、セキュリティー違反を解決します。 そのためには準備に加え、個別のユーザーまたはデバイスのアクセス無効化、ネットワーク・セグメンテーションの調整、ユーザーの隔離、デバイスのワイプ、インシデント・チケットの作成、またはコンプライアンス報告書の作成など、ターゲットを絞った行動を取る必要があります。

分析して改善する

より迅速で、より情報に基づいた判断を下すため、ポリシーとプラクティスを調整することで、セキュリティ・ポスチャーを継続的に改善します。 そのためには、ポリシー、権限付与のアクション、修復戦術を継続的に評価および調整して、各リソースのペリメーターを強化する必要があります。


ゼロトラスト・ネットワーク・アクセス(ZTNA)

仮想私設網(VPN)と同様に、ゼロトラスト・ネットワーク・アクセス(ZTNA)を提はセキュア・リモート・アクセスをアプリケーションおよびサービスに提供します。 VPNとは異なり、ZTNAは確定したアクセス制御ポリシーに基づいているため、既定でアクセスを拒否し、明示的な権限が付与された時にユーザー・アクセス権をサービスに提供します。 ZTNAは、セキュアな暗号化されたトンネルを通してユーザーを認証した後に、セキュアなアクセスを確立するため、ユーザーはアクセス権限を持つアプリケーションやサービスしか利用できません。 この保護メソッドは、サイバー犯罪者がデータをスキャンし、他のサービスに転換するのに利用している脆弱性である、攻撃者のラテラル・ムーブメントを防止します。 ZTNAを利用することで、組織はロケーションやデバイス固有のアクセス制御ポリシーを実行して、セキュリティー侵害を受けた可能性のあるデバイスがサービスに接続することを防止します。


ソリューション

ゼロトラスト・セキュリティー

デジタル変革と、ハイブリッド・マルチクラウドへの移行は、ビジネスのあり方を変化させています。 またユーザー、データ、およびリソースは世界中に広がり、これらを迅速かつ安全につなぎ合わせることが困難になっています。 IBMのゼロトラスト・セキュリティー・ソリューションを使用し、企業データやリソースを限定ベースの、許可された環境のみでアクセス可能とすることで、これらを保護することができます。


ネットワーク・セキュリティー

攻撃者はネットワークに進入するための洗練された手法を用いて、これを執拗に侵害しようとしています。 脅威を阻止するために不可欠なのが、セキュリティー・インテリジェンスです。 既に内部に侵入してしまった脅威についても、お任せください。 IBMは、未知の脅威を知的に認識し、これをリアルタイムで防止するよう適応する、次世代のネットワーク・セキュリティーによって、ネットワーク全体の保護を支援します。


データ・セキュリティー

データは組織のあらゆる業務の重要な土台であるため、これを保護して安全に利用することが、ゼロトラスト戦略の中心となります。 残念ながら、サイバー犯罪者もお客様のデータの価値を認識しており、セキュリティーの脆弱性を悪用してお客様の情報をリスクに晒そうとしています。 オンプレミス環境であれ、ハイブリッド・マルチクラウド環境であれ、IBMのデータ・ソリューションは、お客様がより大きな可視性と洞察力を獲得して脅威を調査および修正し、リアルタイム制御とコンプライアンスを実行するのを支援します。


ID管理とアクセス管理

ハイブリッド・マルチクラウド企業を保護するには、ID管理とアクセス管理(IAM)が不可欠です。 IBMのIDソリューションは、すべてのユーザー、アセット、データのインタラクションに関する摩擦のない、セキュアな体験を実現し、ゼロトラスト戦略の土台を提供します。 各種アクセス権の付与、あらゆるデバイスからのシングル・サインオン(SSO)の提供、多要素認証(MFA)によるセキュリティーの強化、ユーザーのライフサイクル管理の有効化、特権アカウントの保護などを実現します。


特権アクセス管理

情報漏えいはほぼ常に、エンドポイントと特権資格情報の侵害に起因します。 そのため、特権アカウントの監視と保護が重要になっています。 機密データを徹底的に保護するため、IBMの特権アクセス管理(PAM)ソリューションを導入して、エンドポイントと特権認証情報を共にセキュアに保ちましょう。


クラウド・セキュリティー

パブリッククラウド・サービスを既存のエンタープライズ・セキュリティー・プログラムがに統合するには、お客様のリソースやビジネス・ニーズを評価して、企業文化やクラウド・セキュリティー戦略に対する新鮮なアプローチを開発する必要があります。 まとまりのあるハイブリッド・マルチクラウド・セキュリティー・プログラムを管理するには、可視性とコントロールを確立する必要があります。 IBM Securityの製品と専門家は、適切なコントロールを統合し、ワークロードの導入を調整し、効果的な脅威管理を確立するのを支援します。


統合エンドポイント管理

リモートワークが新しい標準となりつつある中、モバイル・デバイスは不可欠なビジネス・ツールとなっています。 また、モバイルの脅威は範囲と影響を拡大しており、セキュリティーの状況を劇的に変化させています。 IBMの統合エンドポイント管理(UEM)ソリューションを利用することで、組織は、ゼロトラスト・ポリシーの制御と適用を行えるようになります。 このソリューションは既存の環境に簡単に統合することができます。これにより、基本的にすべてのモバイル・デバイス、アプリ、コンテンツを管理および制御したり、ユーザーのアクションを最小限に抑えながらAIを活用した分析を実行したりすることが可能です。


エンドポイント・セキュリティー

リモートワーク傾向やエンドポイントの相互接続の増加には、サイバーセキュリティー上の課題が伴います。 これらに対抗するために、マルウェアやランサムウェアの脅威をプロアクティブにブロックおよび分離し、エンドポイント・セキュリティーをゼロトラストの世界へと推進できる、最新のAI駆動型のエンドポイント対応および検知ツールが必要になっています。



参考情報