ゼロトラストを読み解く際に知っておくべきこと

2021年6月22日   |     |  セキュリティとコンプライアンス

ITやセキュリティの専門家であれば、「ゼロトラスト」という言葉を聞いたことがない人はいないでしょう。また、ハイブリッドな作業環境において、セキュリティをモダナイゼーションするには、ゼロトラストがどれほど重要であるかをご存知かと思います。ホワイトハウスが最近発行した大統領令の中で、民間企業や連邦政府を問わず、すべての組織がゼロトラストアーキテクチャを採用することの重要性が訴えられています。「決して信頼せず、常に検証する」というゼロトラストの基本概念は優れたモットーではありますが、実際には組織ごとにセキュリティニーズが異なるため、最高レベルのセキュリティを導入することと、業務遂行に必要なアクセスをユーザーに迅速に提供することの間でバランスを取らなければなりません。

これが、ゼロトラストの導入が困難である理由です。IT部門やセキュリティ部門、人事部門やオペレーション部門など、組織内にはさまざまなステークホルダーが存在し、エンドユーザーの快適さを低下させるポリシーやサイバー攻撃からビジネスを守るために必要なポリシーについては、それぞれ異なる見解を持っていることがあります。

実際、Cloudflare社が実施した調査では、調査対象となった企業の76%が、ゼロトラストアプローチへの移行を妨げる要因として、ユーザーのアクセスニーズが複雑であることを挙げています。包括的なゼロトラストモデルの構築はかなり複雑であるため、展開を成功させるには多くの投資とリソースを必要とします。そのためほとんどの組織では、ゼロトラストを一律に導入するアプローチがうまくいきません。ゼロトラストの始め方を理解するために、まずは以下の基本事項を抑えておく必要があります。

1. ゼロトラストとは何か、なぜそれが重要なのか?

2. ゼロトラストの主な構成要素は何か?

ゼロトラストとは何か?

ゼロトラストとは、組織のネットワーク、アプリケーション、データへのアクセスを制御するための最も効果的なセキュリティモデルの1つです。ゼロトラストは、社内及び社外のネットワークは信頼できないという信念にもとづいています。したがって、ユーザーがどこにいようとも、認証と検証が済んだユーザーに対してのみ、アクセスを許可しなければなりません。これは、従来の企業の境界線の概念を覆すものであり、リソースやデータの周りに微細な境界線(マイクロペリメーター)を設けて、きめ細かなアクセス制御を行うことを提案しています。

ゼロトラストでは、セキュリティ侵害のリスクを低減するために、アイデンティティの確認、マイクロセグメンテーション、エンドポイントセキュリティ、最小権限アクセスなどのさまざまな技術を採用しています。要するにゼロトラストは、組織のデータを外側からではなく、内側から守ることの重要性を強調しているのです。

ゼロトラストの4つの重要な要素

  1. 脅威は外部からだけでなく内部からもやってくる

ゼロトラストは、外部および内部の脅威が常にネットワーク上に存在するという信念にもとづいています。もはや、ネットワークの局所性だけでネットワークの信頼性を決定するのは不十分です。Cybersecurity Insidersの調査によると、実際に67%もの組織が12か月の間にインサイダー攻撃を経験しており、68%の組織がインサイダー攻撃の頻度が高まっていると回答しています。したがって、外部からの脅威だけでなく、内部ネットワークの中での不正アクセス防御に注力することも同じく重要です。

  1. 決して信頼せず、常に検証する

ゼロトラストは、「信頼はするが、検証はする」というおなじみの格言へのアンチテーゼであり、「決して信頼せず、常に検証する」必要があるということを意味します。つまり、ユーザーアクセスのリクエストがどこから送信されたものであっても、決して信頼してはならないという考え方です。むしろ、要求されたレベルのアクセスを許可する前に、そのユーザーが本人であるかどうかを常に検証するべきです。しかし、多くの組織では、厳格なセキュリティ管理とユーザビリティやユーザーの生産性のバランスを取る必要があります。したがって、単にゼロトラストを採用するのではなく、真の信頼を確立する上で必要な可視化セキュリティ管理の目標とすべきです。

  1. マイクロセグメンテーションの活用

特定のリソースとデータを中心にセキュリティ管理を構築することで、アクセスをマイクロペリメーターごとにセグメント化し、ネットワークに侵入した攻撃による、さらなる被害の拡大を防ぐことができます。これを実現するには、きめ細かなセキュリティポリシーを設定し、特定のユーザーやグループだけが特定のリソースにアクセスできるようにします。たとえば、人事部のユーザーはGreenhouseやADPなどのアプリケーションにのみアクセスでき、SalesforceやMarketoなどのアプリケーションに保存されている顧客データにはアクセスできないようにします。

  1. 最小権限のアクセスを導入する

最小権限のアクセスを許可するという考え方は、実際に業務遂行に必要な最小限のアクセスしか許可しないことを意味します。権限を設定すれば、ユーザーが実行できる操作を極めて具体的に示すことができ、過剰なアクセスを与えることはありません。ユーザーが必要としている以上のアクセス権を付与してしまうと、そのアカウントは将来的に潜在的リスクを抱えることになります。きめ細かいルールは、機密データへの適切なアクセスを強制するために非常に重要であり、認証情報が盗まれてユーザーのアカウントが侵害された際に攻撃者が与えるダメージの大きさを左右します。

この業界のセキュリティ専門家として、私たちが目標としていることは、ゼロトラストがビジネスにもたらすメリットを理解できるようにお客様をサポートし、そのための具体的なステップを明らかにすることです。そして、ゼロトラストの目標達成を単なる夢物語に終わらせないためには、お客様に代わってハードワークをしてくれるソリューションの導入が不可欠なのです。

Forresterのアナリスト、Steve Turner氏を招いて7月7日午前10時(太平洋時間)/午後1時(東部時間)に開催される、ゼロトラストウェビナーでは、ゼロトラストのセキュリティアプローチの詳細と、自社環境への適用方法について解説します。ぜひご登録ください。