この記事は機械翻訳されました。
ゼロトラスト フレームワークは、「決して信頼せず、常に検証」の原則に基づいて動作するセキュリティ モデルであり、場所に関係なく、プライベート ネットワーク上のリソースにアクセスしようとするすべての人間とデバイスに対して厳密な ID 確認を要求します。
重要なポイント
ゼロトラストアーキテクチャは、静的なネットワークベースの境界から、ユーザー、資産、リソースに防御を集中させるセキュリティ制御で構成されています。
- ゼロトラスト ソリューション は、最小権限、暗黙の信頼なし、継続的な監視という 3 つの基本原則をカプセル化しています。
- ゼロトラスト フレームワークには、NIST (National Institute of Standard and Technology) が提唱する 7 つの原則 (ポリシー駆動型の AuthN と AuthZ、資産の整合性とセキュリティ、セキュリティで保護された通信、セッションごとに付与されたアクセス、リソースごとに付与されたアクセス、継続的な監視、動的な観測可能な状態) を満たす必要があります。
ゼロトラストフレームワークのコンポーネント
ゼロトラストは単一のテクノロジーではなく、セキュリティメッシュ防御戦略と絡み合った一連の制御です。
ゼロトラストフレームワークの要素には、次のようなものがあります。
- ID 検証とアクセス管理: 認証および承認されたユーザーのみが、進化する一連のサイバーセキュリティ パラダイムを通じて ID を確認し、アクセス レベルを管理することで、特定のリソースにアクセスできるようにします
- デバイスのセキュリティと信頼性の評価: エンドポイント デバイスを保護し、ネットワーク リソースへのアクセスを許可する前にその信頼性を評価し、マルウェア対策ソフトウェア、暗号化、コンプライアンス チェックなどのセキュリティ対策を実装します
- ネットワークセグメンテーションとマイクロセグメンテーション: ネットワークをより小さく異なるゾーンに分割して、機密情報へのアクセスを制限し、攻撃対象領域を減らし、ワークロードまたはアプリケーション(アプリケーション)レベルでのきめ細かな制御を提供します
- データ保護と暗号化: 暗号化技術の停止と移行を実装することにより、データの機密性、整合性、可用性を確保し、データ損失防止(DLP)戦略を含めます
- 継続的な監視と行動分析: 高度なアナリティクスを活用して、ネットワークとユーザーのアクティビティを継続的に監視し、セキュリティの脅威を示す可能性のある異常な動作を特定します
- セキュリティポリシーの適用とアダプティブ コントロール: 脅威情勢とユーザーのコンテキストの変化にリアルタイムで適応できるセキュリティポリシーを実装および実施します
- 従業員のトレーニングとセキュリティ意識の向上: セキュリティのベストプラクティス、潜在的な脅威、および組織のセキュリティを維持する上での彼らの役割について従業員を教育します
- コンプライアンスと監査: 組織のセキュリティポリシーとプラクティスが、セキュリティ対策の有効性を評価する定期的な監査を通じて、規制およびコンプライアンス基準を満たしていることを確認します
- ベンダーおよびサードパーティのリスク管理: リスクに対処し、サードパーティのベンダーやサービスプロバイダーと協力して、組織のセキュリティ標準に合わせる
- 自動化された脅威検知および対応システム: 自動化と機械学習を採用して、セキュリティの脅威をリアルタイムで検出し、それらに迅速に対応して潜在的な損害を最小限に抑えます
- 安全なコミュニケーションおよびコラボレーションツール: 暗号化された通信およびコラボレーションツールを使用して、組織全体で共有されるデータの機密性と保護を確保します
- アプリケーション(アプリケーション)のセキュリティと安全なソフトウェア開発の実践: ソフトウェア開発ライフサイクル (SDLC) にセキュリティを統合し、開発の早い段階で脆弱性を特定して軽減します。
- クラウドセキュリティと構成管理: 適切なセキュリティ構成、アクセスコントロール、およびコンプライアンス対策を実装することにより、クラウドベースのリソースとサービスを保護します
- インシデント対応の計画と管理: セキュリティ インシデントに対する準備、管理、および復旧を行い、役割、責任、手順を概説する明確に定義された計画を作成します
- セキュリティテクノロジーとプラットフォームの統合: 多様なセキュリティテクノロジーとプラットフォームを組み込むことで、可視性、制御、および対応能力を向上させることで、まとまりのあるセキュリティ環境を構築します
今日のデジタル環境においてゼロトラストが重要な理由
サイバー脅威や侵害の急増に加え、リモートワークやクラウド(コンピューティング)、仕事での個人用デバイスの使用が拡大したことで、従来のセキュリティ対策では不十分になりました。 この変化により、攻撃対象領域が拡大し、ランサムウェアやフィッシングなどの高度な手法を使用して防御を妨害するサイバー犯罪者の進化する戦術に対して、境界ベースのセキュリティモデルは時代遅れになりました。このような急速な変化や脆弱性の増大に対応して進化するためには、より強力なセキュリティ態勢が必要です。
内部ネットワークトラフィックが安全であると想定していた従来のセキュリティモデルは、もはや高度な外部および内部の脅威に対抗するためには機能しません。対照的に、ゼロトラスト フレームワークでは、IT の起源に関係なく、すべてのアクセス要求を敵対的可能性があるものとして扱うため、ネットワーク リソースにアクセスしようとするすべてのユーザーとデバイスに対して厳密な検証が必要です。 このアプローチは、絶えず変化する脅威情勢から組織の資産を保護します。
ゼロトラストフレームワークとリモートワークのセキュリティ
組織は、さまざまな場所やデバイスから企業リソースにアクセスする分散した従業員に適応するため、リモートワーク環境の保護に苦労しています。この変革により、不正アクセスやサイバー攻撃に対するネットワークの脆弱性が高まり、セキュリティ対策の強化の重要性が浮き彫りになっています。
ゼロトラストフレームワークの実装は、リモートアクセスを保護するための極めて重要な戦略です。デフォルトでは信頼されているユーザーやデバイスは存在しないと仮定し、アクセス試行のたびに検証を義務付けることで、ゼロトラストはリモートワークのリスクを最小限に抑えます。 このアプローチは、リモートワークのシナリオで発生する可能性のあるセキュリティ侵害に対する強力な防御を提供します。
ゼロトラストによる複雑なIT環境の簡素化
最新のIT環境は、多くの場合、クラウドとオンプレミスのリソースが混在しているため、セキュリティ上の大きな課題があります。これらの環境では、漏洩/侵害保護なしでさまざまなタイプのインフラストラクチャに適応できる、セキュリティに対するシームレスなアプローチが必要です。
ゼロトラスト フレームワークは、一貫したポリシーの適用、アイデンティティ検証、およびアクセスコントロールを適用して統一されたセキュリティ態勢を提供するシステム間の統合戦略により、複雑な IT ランドスケープのセキュリティを簡素化できます。
コンプライアンスとデータ保護のためのゼロトラスト
ゼロトラスト アーキテクチャは、厳格なアクセスコントロールとアイデンティティ検証を実施することで、データ保護の制限と密接に連携し、機密情報へのアクセスを許可された担当者のみが行うようにします。 このアプローチにより、セキュリティが強化され、組織がさまざまな業界の厳しいコンプライアンス要件を満たすのに役立ちます。
ゼロトラストの原則を実装することで、会社概要 はデータをより効果的に保護し、業界固有の規制への準拠を実証できます。 そのため、ゼロトラストは、データ保護とプライバシーに関する法律や規制の基準を遵守しながら、重要な資産を保護したいと考えている組織にとって非常に貴重なツールとなっています。
ゼロトラストによるインサイダー脅威の軽減
インサイダー脅威は、外部からの攻撃を阻止するために設計された従来のセキュリティ対策を迂回して、組織内から発生する可能性があるため、リスクを認識することが不可欠です。これらの脅威は、従業員から外部の契約社員まで、内部アクセス権を持つすべての人から発生する可能性があるため、検出と防止は特に困難です。
ゼロトラスト戦略を採用することは、これらの内部リスクを軽減するのに効果的です。ゼロトラストは、厳格なアクセスコントロールを実施し、すべてのユーザーのアイデンティティとアクセス権を継続的に検証することで、内部関係者が与える可能性のある損害を最小限に抑えます。 このアプローチにより、個人は自分の役割に必要な情報とリソースのみにアクセスできるようになり、内部脅威の範囲が縮小され、全体的なセキュリティが強化されます。
ゼロトラストによるセキュリティ管理の効率化
従来のセキュリティ管理は、IT部門が境界ベースの防御に依存していることや、内部ネットワークトラフィックが本質的に安全であるという仮定により、非効率性に直面することがよくあります。 この時代遅れのモデルは、現代のサイバー脅威の動的な性質やIT環境の複雑化に適応するのに苦労しており、セキュリティカバレッジのギャップや運用の非効率性につながっています。
ゼロトラストフレームワークの採用により、サイバーセキュリティ運用を効率化できます。「決して信頼せず、常に検証する」アプローチを強制することで、ゼロトラストは内部と外部のセキュリティ対策を別々に行う必要がなくなり、セキュリティインフラストラクチャが簡素化されます。このモデルは、攻撃対象領域を縮小し、セキュリティプロセスを自動化し、ネットワーク内で誰が何にアクセスするかを明確に可視化して制御することで、運用効率を向上させます。その結果、ゼロトラストはセキュリティを強化するだけでなく、サイバーセキュリティの取り組みの管理と運用の側面も最適化します。
セキュリティとUXのバランス
ゼロトラストフレームワークの実装は、厳格な検証プロセスによりシームレスなアクセスにハードルが生じる可能性があるため、最初はユーザーエクスペリエンス(UX)と相反するように見えるかもしれません。しかし、適切に実装すれば、ゼロトラストはUXを大幅に漏洩/侵害することなくセキュリティを強化することができます。 重要なのは、厳格なセキュリティ対策と、ユーザーの利便性と効率性の必要性とのバランスを取ることです。
ゼロトラスト環境でポジティブなUXを維持するためのベストプラクティスには、シングルサインオン(Single Sign-On ) (SSO) ソリューション、安全でユーザーフレンドリーな多要素認証 (MFA)、ユーザーのコンテキストとリスクプロファイルに基づいてセキュリティ要件を調整するアダプティブ認証メカニズムの使用が含まれます。 これらのプラクティスを統合することで、組織はゼロトラストを通じて堅牢なセキュリティを確保すると同時に、ユーザーに合理化された手間のかからないエクスペリエンスを提供し、セキュリティニーズとユーザビリティのバランスを効果的に取ることができます。
デジタル トランスフォーメーション、クラウド導入、ゼロトラスト
デジタル トランスフォーメーションの旅とクラウド(コンピューティング)の普及の中で、ゼロトラスト フレームワークはレジリエンス とセキュリティを提供します。 組織がより素早いクラウド中心のモデルに移行するにつれて、さらなる複雑さと拡張された攻撃対象領域に適応できるセキュリティフレームワークの必要性が高まっています。
クラウドベースの環境にゼロトラストの原則を組み込むことで、機密データとアプリケーション(アプリケーション)を保護します。 ゼロトラストは、厳格なアクセスコントロールを適用し、すべてのアクセス要求の継続的な検証を行うことで、不正アクセスや潜在的な侵害に対するクラウドインフラストラクチャの強化を支援します。 ゼロトラストを採用することで、デジタル トランスフォーメーションのダイナミックな性質をサポートし、クラウド固有の柔軟性と一致し、組織のニーズに合わせて拡張および適応できる堅牢なセキュリティ態勢を提供します。
ゼロトラストフレームワークのツールとテクノロジー
ゼロトラスト フレームワークを実装するには、厳格なアクセスコントロールと継続的な検証を実施するために設計された、次のような一連のツールとテクノロジーが必要です。
- アイデンティティとアクセス管理 (IAM): ユーザー アイデンティティを統合し、リソース管理へのアクセスを制御して、特定の情報へのアクセスを許可されたユーザーのみを許可します。
- MFA:リソースにアクセスするために、ユーザーに少なくとも2つの検証要因を提供することを要求することにより、セキュリティのさらなる積み重ねる貢献をし、不正アクセスのリスクを大幅に軽減します
- 特権付き アカウントを管理することにより、重要なシステムやデータへのアクセスを制御および監視し、許可を昇格させることで侵害のリスクを軽減します。
- セキュリティ情報およびイベント管理 (SIEM): ログとイベントデータを集約して分析することで、ネットワークアクティビティをリアルタイムで可視化し、脅威の迅速な検出と対応を支援します
- エンドポイント Detection and Response (EDR): ラップトップやモバイルデバイスなどのエンドポイントを、サイバー脅威を継続的に監視して対応することで保護します。
- ネットワークセグメンテーション: ネットワークを小さなセグメントに分割し、ネットワーク内の攻撃者の動きを制限し、全体的な攻撃対象領域を減らします
- ゼロトラスト Network Access (ZTNA): 従来のネットワークの場所ではなく、ユーザーのアイデンティティとコンテキストに基づいてアプリケーション(アプリケーション)へのアクセスを許可し、リモートおよびハイブリッドワーカーのセキュリティを強化します
- クラウドアクセスセキュリティブローカー (CASB): クラウドアプリケーション(アプリケーション)内のデータの可視性と制御を提供し、セキュリティポリシーを適用し、クラウドサービス全体のリスクを評価します
- Secure Web ゲートウェイ (SWG): Web ベースの脅威からユーザーを保護し、Web トラフィックから不要なソフトウェア/マルウェアを検査してフィルタリングすることで、会社概要 ポリシー
- データ損失防止(DLP): 機密データが組織から不正に持ち出されるのを防ぎ、権限のないユーザーによってデータが失われたり、アクセスされたり、悪用されたりしないようにします
適切なゼロトラストソリューションの評価と選択
最適なゼロトラスト アイデンティティソリューションを見つけるには、固有のセキュリティ ニーズ、インフラストラクチャ、および特定の課題を完全に理解する必要があります。 基本的な考慮事項は次のとおりです。
- セキュリティのニーズを評価します。 保護する必要があるデータの種類、規制コンプライアンス要件、既知の脆弱性や過去のセキュリティインシデントなど、特徴的なセキュリティ課題を特定します。
- IT環境を理解する: リモートアクセスとモバイルアクセスのニーズ、環境がオンプレミス、クラウドベース、ハイブリッドのいずれであるかなど、ネットワークの複雑さと分散を考慮してください。
- 主な機能を特定する: 必須の機能を決定します。これには、MFA、IAM、ネットワークセグメンテーション、暗号化、継続的な監視と応答が含まれる場合があります。
- 統合とスケーラビリティを考慮します。 選択したソリューションが既存のセキュリティツールやITインフラストラクチャとシームレスに統合し、将来の成長と進化するセキュリティ脅威に対応できるように拡張できることを確認します。
- ベンダーの評判とサポートを評価します。 評判、経験、提供されるサポートのレベルについて、潜在的なベンダーを調査します。
- パイロット テストを実施します。 限定スコープでパイロットテストを実施して、有効性を評価し、既存の環境に適合させ、完全に起動する前に必要な調整を行うことを検討します。
- コンプライアンスと規制に関する考慮事項を確認します。 潜在的なソリューションが、組織のコンプライアンス、業界規制、データ保護法の要件 (データプライバシー、レポート機能、監査証跡など) にどのように整合しているかを評価します。
- 費用便益分析: コスト・ベネフィット分析を実施し、データ漏洩のリスクの軽減、コンプライアンス体制の改善、運用効率の向上など、潜在的なメリットとITを比較検討します。
適切なゼロトラスト フレームワーク ソリューション では、基本的な機能と、セキュリティ態勢とビジネス運用に与える潜在的な影響を戦略的に検討する必要があります。
さまざまな業界で活躍するゼロトラストフレームワーク
機密データの保護、コンプライアンスの確保、サイバー脅威に対する防御のためのセキュリティファーストのアプローチは、現代のすべてのビジネスにとって必須です。ここでは、さまざまなセクターがゼロトラストモデルを使用してセキュリティを優先している方法をご紹介します。
- クラウドサービスプロバイダー: クラウド環境のセキュリティを強化して、ホストされたサービスとデータを保護します。
- 教育: 学生の記録と学術研究をサイバー脅威から保護します。
- エネルギーおよび公益事業: サイバー脆弱性からインフラストラクチャを保護します。
- 金融サービス: 金融取引と顧客情報を強化します。
- 政府および公共部門: 市民の機密データを不正アクセスから保護します。
- ヘルスケア: 患者データを保護して、HIPAAコンプライアンスを確保します。
- ヘルスケアリサーチ: 機密性の高い研究データを保護し、規制基準へのコンプライアンスを確保します。
- テクノロジー and IT サービス: テクノロジーエコシステム内でのサイバー脅威との闘い。
- 小売およびeコマース: 顧客データのセキュリティを強化し、消費者の信頼を強化します。
- 製造および工業: 知的財産の保護と産業用制御システムの保護。
- 法務および専門職サービス: クライアントの機密性を保持し、データの整合性を確保します。
- メディア&エンターテイメント: デジタルコンテンツとユーザーデータを著作権侵害や侵害から保護します。
- 不動産: オンライン取引を保護し、機密性の高いクライアント情報を保護します。
- 電気通信: ネットワークのセキュリティを確保し、顧客情報を保護します。
- 輸送と物流: ロジスティクスデータを保護し、サプライチェーンネットワークの整合性を確保します。
Oktaのゼロトラストへのアプローチ
アイデンティティを原動力とするゼロトラスト ソリューション が、組織のセキュリティ態勢の要となり、 IT 効率、ユーザーエクスペリエンスの向上、総コスト削減を通じてビジネス価値を向上させる方法をご覧ください。
