ゼロトラストセキュリティとは何ですか? イントロダクションガイド
公開: 2021-04-13ゼロトラストはプロアクティブな防御戦略であるため、ゼロトラストをサポートするテクノロジーは、セキュリティ上の懸念の高まりに対応して、最近広く採用されています。
とは言うものの、サイバーセキュリティについて語るとき、信頼は中心的な舞台を獲得しました。 サイバーセキュリティの基本的な要素は、「信頼できる」ネットワークインフラストラクチャ、ユーザー、デバイスまたはエンドポイント、サプライヤなどです。
間違いなく、このアプローチは、企業、そのデータ、さらには個人を保護する上で重要な役割を果たしました。 しかし、より技術的に進んだ世界を掘り下げていくと、次の理由により、このアプローチはサイバー攻撃者によって長い間悪用されています。
- 弱いセキュリティモデルまたは「城と堀」の概念。セキュリティスクリーニングは、ビジネスが運営されている建物の周囲の外側で行われます。 ハッカーやマルウェアがなんとかしてその境界を破って侵入すると、被害が発生します。
- ユーザーのアプリケーションやユーザーが使用するサービスを可視化または制御できないネットワークファイアウォールなどの廃止されたアクセス制御。 ハッカーがネットワークを危険にさらすと、それらのアプリケーションに簡単にアクセスできます。
- VPNテクノロジーは、データ通信を保護し、機密性とプライバシーを維持するのに最適ですが、承認と認証はまだ完全には達成されていません。
- BYODポリシーやデバイスを使用するリモートワーカーなどのワークフローの変更。 適切なセキュリティシステムが実装されていない場合、データ漏洩が発生します。
組織が直面するこれらすべてのセキュリティの課題は、柔軟性があり、動的で、シンプルであり、上からも上からも高レベルのセキュリティを提供するようなシステムの基盤につながりました。
ゼロトラストセキュリティは、私たちが話しているモデルです。
この記事では、Zero Trust Security、その原則、実装方法、およびそれに関するいくつかの興味深い点について学習します。
探検しましょう!
ゼロトラストとは何ですか?
ゼロトラストは、組織のネットワークの内外を問わず、すべてのユーザーがネットワーク、データ、およびアプリケーションへのアクセスを許可される前に、セキュリティ体制と構成を継続的に承認、認証、および検証する必要がある高度なセキュリティアプローチです。
このアプローチでは、多要素認証、次世代エンドポイントセキュリティ、ID&アクセス管理(IAM)などのハイエンドセキュリティテクノロジを利用して、厳格なセキュリティを維持しながらユーザーIDを検証します。
厳密なユーザーID検証を提供することに加えて、ZeroTrustはユーザーとアプリケーションを高度なインターネットの脅威から保護します。
「ゼロトラスト」というフレーズは、ForresterのJohn Kindervagによって広められましたが、実際には、スターリング大学で計算セキュリティに関する論文を発表した後、1994年4月にStephen PaulMarshによって造られました。
実際には、ゼロトラストのほとんどの概念は新しいものではありません。 マーシュの研究に基づくと、信頼は有限であり、倫理、道徳、正義、判断、合法性などの人間の側面を超越しています。 彼によると、信頼は数学的構成として説明することができます。
ゼロトラストは、企業LANに接続されている場合や以前に検証された場合でも、組織がデフォルトでデバイスやユーザーを信頼してはならないという考えを広めることを目的としています。 これは、ユーザーID、ファームウェアバージョン、エンドポイントハードウェアタイプ、OSバージョン、脆弱性、パッチレベル、ユーザーログイン、インストールされているアプリケーション、インシデント検出などのユーザー属性をリアルタイムで明確に可視化することに依存しています。
その堅牢なセキュリティ機能の結果として、Zero Trustはより有名になり、BeyondCorpプロジェクトを備えたGoogleを含め、組織はそれを採用し始めています。
この採用の主な推進要因は、エンドポイント、オンプレミスデバイス、ネットワーク、データ、クラウドアプリ、およびその他のITインフラストラクチャを標的とするサイバー攻撃の頻度の増加です。 これに加えて、covid-19のパンデミックにより、人々は自宅で仕事をする必要があり、世界中でオンライン攻撃の数がさらに増加しました。
したがって、ゼロトラストのようなセキュリティ慣行は実行可能な選択のようです。
報告によると、ゼロトラストセキュリティの世界市場規模は17.4%のCAGRで成長し、2020年の196億米ドルから2026年までに516億米ドルに達すると予想されています。
一般的なゼロトラストアクセスの用語には、ゼロトラストアプリケーションアクセス(ZTAA)、ゼロトラストネットワークアクセス(ZTNA)、ゼロトラストID保護(ZTIP)などがあります。
ゼロトラストのコア原則は何ですか?
ゼロトラストセキュリティの概念は、以下の原則に基づいており、組織のネットワークを保護するのに役立ちます。
最小特権アクセス
これは基本的な概念であり、ユーザーは、作業して役割を遂行するために必要な場合に必要なレベルのアクセスのみを付与する必要があります。 これにより、ユーザーがネットワークの機密コンポーネントにさらされる可能性が低くなります。
ユーザーID️
ネットワーク、アプリケーション、データなどへのアクセスが誰に許可されているかを知る必要があります。 組織のセキュリティを強化するために、アクセス要求ごとに認証と承認を常に確認してください。
マイクロセグメンテーション
これは、セキュリティ境界をより小さなゾーンに分割する必要がある重要なプラクティスです。 このプロセスはゾーニングとも呼ばれ、ネットワークのさまざまな部分に個別のアクセスが提供されるようにするために行われます。
また、これらのゾーン間でデータを継続的に管理および監視する必要があり、過剰な特権を排除するためのきめ細かいアクセス制御を提供します。
高度な予防技術の活用
ゼロトラストは、オンライン違反を阻止し、損害を減らすことができる高度な予防技術を採用することをお勧めします。
多要素認証(MFA)は、ユーザーIDを確認し、ネットワークセキュリティを強化するための手法です。 これは、ユーザーにセキュリティの質問をしたり、テキスト/電子メールの確認メッセージを送信したり、ロジックベースの演習を通じてユーザーを評価したりすることで機能します。 ネットワークに組み込む認証ポイントが多いほど、組織のセキュリティは強化されます。
リアルタイムでデバイスアクセスを監視する️
ユーザーアクセスの制御とは別に、ネットワークへのアクセスを求めているユーザーの数に関して、デバイスアクセスをリアルタイムで監視および制御する必要があります。 これらのデバイスはすべて、攻撃の可能性を最小限に抑えるために承認されている必要があります。
その利点は何ですか?
ゼロトラストは、組織のセキュリティとネットワークの復元力のための強力な戦略を提供します。 それはあなたのビジネスに次のようないくつかの利点を提供します:
外部と内部の両方の脅威からの保護
ゼロトラストは、外部の脅威を阻止し、ビジネスを保護し、有害な内部エージェントから保護するための厳格なポリシーを提供します。 実際のところ、内部の脅威はさらに深刻であり、それらに対する信頼を悪用します。
このベライゾンのレポートによると、すべてのデータ侵害の約30%が内部のプレーヤーに関係しています。
したがって、ゼロトラストは、「決して信頼せず、常に検証する」というこの概念に焦点を当てています。
また、拡張された明示的な認証を実装し、データ、デバイス、サーバー、およびアプリケーションへのすべてのアクセスを監視および検証する場合、内部関係者がそれらの特権を悪用することはできません。
データ保護
ゼロトラストは、マルウェアや従業員がネットワークの大部分にアクセスするのを防ぐのに役立ちます。 したがって、アクセスとアクセスの期間を制限することで攻撃を減らすことができ、侵害が発生した場合でも、影響を減らしてさらなる被害を防ぐことができます。
この結果、ビジネスデータがハッキングされるのを防ぐことができます。 また、マルウェアがファイアウォールを侵害した場合、マルウェアは時間制限のある方法でのみデータの特定の部分にアクセスできます。
ゼロトラストは、お客様のデータだけでなく、お客様の知的財産や顧客のデータも保護します。 そして、攻撃を防ぐことができれば、ビジネスの評判を維持し、顧客の信頼を維持することができます。 これに加えて、あなたはまた、莫大な金額や他の経済的影響を失うことからあなた自身を救います。
ネットワークの可視性が向上
ゼロトラストでは何も誰も信用できないので、注目したい活動やリソースを決めることができます。 コンピューティングソースやデータを含む組織全体の集中的な監視により、ネットワークへのアクセスが許可されているデバイスとユーザーを完全に可視化できます。
したがって、各アクセス要求に関連付けられているアプリケーション、ユーザー、場所、および時間を完全に把握できます。 異常な動作が発生した場合、セキュリティインフラストラクチャはすぐにフラグを立て、リアルタイムで発生するすべてのアクティビティを追跡して、包括的なセキュリティを実現します。
リモートワーカーの保護
在宅勤務は、特にcovid-19の大流行の後、業界や企業全体で大いに受け入れられています。 また、世界のどこからでも働いている従業員のデバイスとネットワークのセキュリティ慣行が弱いため、サイバーリスクと脆弱性が増加しています。 現在、ファイアウォールでさえ非効率になり、クラウド全体に保存されているデータにリスクをもたらしています。
ゼロトラストを利用することにより、各レベルでのユーザーの識別と検証が、境界の概念または城と堀のアプローチを引き継ぎます。 IDは、ネットワークにアクセスしようとしているすべてのデバイス、ユーザー、およびアプリケーションに接続されます。
このように、Zero Trustは、世界中のどこにいても、データが保存されていても、すべての従業員に強力な保護を提供します。
IT管理を容易にします
ゼロトラストのセキュリティは、継続的な監視、制御、および分析に依存しています。 したがって、自動化を使用すると、アクセス要求を評価するプロセスが簡単になります。 すべてを手動で行うと、各リクエストの承認に多くの時間がかかり、ワークフローが大幅に遅くなり、ビジネスの目標と収益に影響を与えるためです。
ただし、特権アクセス管理(PAM)などの自動化を使用すると、特定のセキュリティ識別子に基づいてアクセス要求を判断し、アクセスを自動的に許可できます。 したがって、人為的エラーを含め、すべての要求の承認にITチームを関与させる必要はありません。
また、システムがリクエストに疑わしいフラグを立てた場合、管理者が担当することができます。 このようにして、自動化の力を活用し、従業員が日常的なタスクを実行する代わりに、改善と革新にふけることができます。
コンプライアンスを確保
各アクセス要求が最初に評価されてから詳細が記録されるため、ZeroTrustは常にコンプライアンスを維持するのに役立ちます。 システムは、各リクエストの時間、アプリケーション、および場所を追跡して、証拠のチェーンを形成する完璧な監査証跡を作成します。
その結果、証拠の維持や作成に苦労する必要がなくなり、ガバナンスが効率的かつ迅速になります。 同時に、コンプライアンスのリスクから何マイルも離れています。
ゼロトラストを実装する方法は?
すべての組織には固有のニーズと課題がありますが、特定の側面はすべての組織に共通しています。 これが、ビジネスや業界の種類に関係なく、組織全体にゼロトラストを実装できる理由です。
したがって、組織にゼロトラストセキュリティを実装する方法は次のとおりです。
機密データを特定する
所有している機密データの種類と、そのデータがどこにどのように流れるかを知っていると、最適なセキュリティ戦略を決定するのに役立ちます。
それに加えて、資産、サービス、およびアプリケーションも特定します。 また、セキュリティの抜け穴として機能する可能性のあるインフラストラクチャの現在のツールセットとギャップを調べる必要があります。
- 最も重要なデータと資産に最高の保護を与えて、それらが危険にさらされないようにします。
- 実装できるもう1つのことは、データを機密、内部、および公開に分類することです。 マイクロセグメンテーションまたはゾーニングを活用できます。 さらに、ネットワークの拡張エコシステム全体に接続されたさまざまなゾーンのデータの小さなチャンクを作成します。
マップデータフロー
多方向である可能性のあるトランザクションフローを含め、データがネットワークをどのように流れるかを評価します。 これは、データフローの最適化とマイクロネットワークの作成を促進するのに役立ちます。
また、機密データの場所と、すべてのユーザーが認識にアクセスし、より厳格なセキュリティ慣行を実装できるユーザーを念頭に置いてください。
ゼロトラストマイクロネットワークを確立する
ネットワーク内の機密データの流れに関する情報が手元にある場合は、データフローごとにマイクロネットワークを作成します。 すべてのユースケースで最適なセキュリティプラクティスのみが使用されるように設計してください。
このステップでは、次のような仮想および物理的なセキュリティ制御を使用します。
- 横方向の不正な動きを防ぐために、マイクロ境界を強制します。 場所、ユーザーグループ、アプリケーションなどに基づいて組織をセグメント化できます。
- 2要素認証(2FA)や3要素認証(3FA)などの多要素認証を導入します。 これらのセキュリティ制御は、組織の内外の各ユーザーに追加のセキュリティレイヤーと検証を提供します。
- タスクを完了して役割を遂行するために必要なユーザーへの最小特権アクセスを開始します。 機密データが保存されている場所とその流れに基づいている必要があります。
ゼロトラストシステムを継続的に監視する
ネットワーク全体とマイクロ境界エコシステムを継続的に監視して、すべてのデータ、トラフィック、およびアクティビティを検査、ログ記録、および分析します。 これらの詳細を使用して、セキュリティを強化するための悪意のあるアクティビティとその発生源を見つけることができます。
これにより、セキュリティがどのように維持されているか、およびゼロトラストがネットワークで機能するかどうかについて、より広い視野が得られます。
自動化ツールとオーケストレーションシステムを活用する
自動化ツールとオーケストレーションシステムを使用してプロセスを自動化し、ゼロトラストの実装を最大限に活用します。 それはあなたの時間を節約し、組織の欠陥や人為的ミスのリスクを減らすのに役立ちます。
ゼロトラスト、その仕組み、実装方法、および利点について理解が深まったところで、実装をさらに簡単にするのに役立ついくつかのツールを見てみましょう。
ゼロトラストセキュリティソリューションとは何ですか?
Akamai、Palo Alto、Cisco、Illumio、Okta、Unisys、Symantec、Appgate SDPなど、多くのベンダーがゼロトラストソリューションを提供しています。
ゼロトラストネットワーキングソリューションまたはソフトウェアは、ゼロトラストモデルの実装を支援するID管理およびネットワークセキュリティソリューションです。 このソフトウェアを使用すると、ユーザーの行動とともにネットワークアクティビティを継続的に監視し、すべての要求を認証できます。
ユーザーが権限に違反しようとしたり、異常な動作をしたりすると、システムはユーザーにさらに認証を提供するように求めます。 同時に、ソフトウェアはトラフィックログ、ユーザーの行動、およびアクセスポイントからデータを収集して、詳細な分析を提供します。
ソフトウェアは、特にネットワークアクセスを制御するために、リスクベース認証を利用する場合があります。 ゼロトラストネットワークソフトウェアの一部を次に示します。
- Okta:クラウドを活用し、より強力なセキュリティポリシーを適用します。 このソフトウェアは、4000以上のアプリとともに、組織の既存のIDシステムおよびディレクトリと統合されます。
- 境界81:ソフトウェア定義の境界の堅牢なアーキテクチャを使用し、より広いネットワークの可視性、完全な互換性、シームレスなオンボーディングを提供し、256ビットの銀行グレードの暗号化を提供します。
- SecureAuth Identity Management:柔軟で安全な認証エクスペリエンスをユーザーに提供することで知られており、すべての環境で機能します。
その他の注目すべきゼロトラストネットワーキングソフトウェアソリューションは、BetterCloud、Centrify Zero Trust Privilege、DuoSecurity、NetMotionなどです。
ゼロトラストを実装する際の課題は何ですか?
ゼロトラストの実装が次のような組織にとって難しい理由はたくさんあります。
- レガシーシステム:ツール、アプリケーション、ネットワークリソース、プロトコルなどの多くのレガシーシステムがビジネスオペレーションに利用されます。 本人確認はそれらすべてを保護することはできず、それらを再構築することは非常に費用がかかります。
- 制限された制御と可視性:ほとんどの組織は、ネットワークとユーザーに対する包括的な可視性を欠いているか、何らかの理由でそれらの周りに厳密なプロトコルを設定できません。
- 規制:規制機関はまだゼロトラストを採用していません。 したがって、組織はコンプライアンスのためのセキュリティ監査に合格する際に問題を抱えることになります。
たとえば、PCI-DSSでは、機密データを保護するためにセグメンテーションとファイアウォールを使用する必要があります。 ただし、ゼロトラストモデルのファイアウォールがないため、コンプライアンスのリスクがあります。 したがって、ゼロトラストセキュリティを採用する場合は、規制の大幅な修正が必要です。
結論
成長段階ではありますが、ゼロトラストはセキュリティ業界で話題を呼んでいます。 世界中でサイバー攻撃が増えるにつれ、ゼロトラストのような堅牢なシステムが必要になります。
ゼロトラストは、各アクセスポイントですべてのデバイスとユーザーを検証することにより、データとトランザクションへのIDとアクセス制御を備えたより強力なセキュリティアーキテクチャを提供します。 これにより、ネットワークの国内外を問わず、あらゆる種類のオンライン脅威から組織を保護できます。