すべてのネットワークトラフィックは、アクセス元を問わず安全性が証明されるまで信頼すべきではありません。これがForresterのゼロトラストモデルの柱であり、分散ITネットワーク保護の3つのベストプラクティス(すべてのリソースへの安全なアクセス、厳格なアクセス制御、すべてのネットワークトラフィックのリアルタイムの検査と記録)を概説するものとなります。
テクノロジーの進歩に伴い、セキュリティの脅威も高まっています。最近のクラウドサービスとモビリティの拡大を受け、ForresterはZero Trust eXtended Ecosystem(ZTX)を提案しました。ZTXは、ユーザー、ネットワーク、デバイスを既定で信頼すべきではないと提唱します。また、すべてのアクセス要求を潜在的な脅威と考えてトラフィックを監視・分析する、総合的なセキュリティ対策を実装することを奨励します。
ゼロトラストプロトコルの実装は必要か? 境界保護の重要性
すべてのITリソースをファイアウォールの内側で保護し、IT部門の直接管理下に置く時代は終わりました。クラウドファースト、モバイルファーストの世界では、従業員からのテレワークの要求が高まり、外出先でデバイス上のファイルにアクセスし、必要なツールや情報に即座にアクセスできることが求められています。しかし、従来のセキュリティソリューションでは、組織を完全に保護するのに不十分です。デジタル資産を保護するには、環境内のすべての要素を信頼できないものとみなすべきです。どのようなデバイスであっても、ハッカーがシステムにアクセスする機会を生む要素と考える必要があります。セキュリティの境界はファイアウォールではなく人であることを忘れてはなりません。この意識がセキュリティの境界はもちろんのこと、企業の機密情報の保護には重要です。企業の機密情報の保護に1人でも失敗すれば、企業全体が危険にさらされる可能性があるのです。
結局のところ、大手テクノロジー企業ですらデータ侵害から完全に保護されているわけではありません。サイバー攻撃の被害に遭ったGoogleは、ゼロトラストネットワークを実用化するためのモデルとして「BeyondCorp」を考案しました。BeyondCorpは、ぜロトラストを構築する鍵となる3つの原則に基づきます。第1に、特定のネットワークからの接続によってアクセス可能なサービスが決定されるべきということ。第2に、ユーザーとデバイスに関する既知の内容に基づいてアクセスを許可すべきということ。最後に、サービスへのすべてのアクセスは認証、承認、暗号化されなければならないということです。テレワークとモビリティの世界に対応する上で、企業には賢明さが求められます。コンテキストに基づいて場所を問わずアクセスを許可するアクセス管理を提供するには、ユーザーが厳しいセキュリティ要件を満たすことを条件とする必要があります。
しかし、バランスをとりながらゼロトラストネットワークの構築を実現するのは容易ではありません。クラウドとモバイルが提供する機会とメリットを生かす必要があることに変わりはなく、ゼロトラストソリューションを構築・実装することで使いやすさや生産性が損なわれてはなりません。理論としてゼロトラストを理解することは確かに重要ですが、組織がユーザーエクスペリエンスを最適化できるようにゼロトラストネットワークを構築し、実装することはさらに重要です。そのために、ログインエクスペリエンスを合理化するツールやソリューションを導入することが役立ちます。
ゼロトラストネットワーク構築でOktaを活用する意義
組織が独自のゼロトラストネットワークを構築する際には、Oktaを活用することでバランスをとりやすくなります。ユーザーの場所に関係なくリソースへの安全なアクセスを可能にするには、常にユーザーのアイデンティティを検証する必要があります。Oktaは、アイデンティティとアクセスの効果的な管理に役立つ複数のソリューションを提供し、ゼロトラストのアーキテクチャーに不可欠な基盤を構築し、提供します。
Okta Integration Networkでは、7,000以上の事前構築済みの統合が用意されています。これを利用して、ゼロトラストエコシステムのすべてのコンポーネントを緊密に接続できます。以下に一部を紹介しますが、特定のベンダーに偏らない包括的な統合を利用できます。
- クラウドセキュリティゲートウェイ(Skyhigh)
- データセキュリティ(Netskope)
- ネットワークセキュリティ(Palo Alto Network、Cisco)
- デバイスセキュリティ(VMware、Carbon Black)
- ワークロードセキュリティ(CyberArk、Cloudflare)
Oktaのアダプティブ多要素認証(アダプティブMFA)ソリューションも一例です。Oktaポリシーフレームワークは、ユーザーのデバイス、場所、ネットワークのコンテキストを考慮し、事前定義された一連のポリシーと構成設定に基づいて各ログイン試行のリスクを判定します。ソリューションは、算出されたリスク評価に応じて、アクセスを許可、アクセスを拒否、または第2認証要素を要求します。このコンテキスト認識により、認証のセキュリティが向上します。また、管理者はユーザーを認証するためのその他のさまざまな要素を設定することで、パスワードレスのログインエクスペリエンスも実装できます。
ZTXに示されるように、ゼロトラストのアイデンティティ検証では、デバイス、ネットワーク、人を考慮する必要があります。Okta Policy APIを使用することで、ユーザーのログインにMFAが必要かどうか、どの要素を使用するか、どの程度の複雑さがパスワードに必要かを管理者が微調整できます。これによって、ユーザーやリソースのアイデンティティをきめ細かく検証し、IT環境の安全性を確保できます。
ゼロトラストネットワークの構築には、可視性と自動化が必要です。Oktaのライフサイクルマネジメントでは、ユーザーアカウントのプロビジョニング/プロビジョニング解除が自動化されるので、従業員の離職による潜在的な攻撃対象領域を削減できます。さらに、一元化されたレポート機能が、リアルタイムのシステムログの高度な検索、位置情報の追跡、事前構築された各種のアプリケーションアクセスレポート、SIEMとの統合に対応するサービスにより可視性を実現します。
ゼロトラストの構築、実装においては、多少の手間をかけても最適なツールを探すことが、最終的には多くの恩恵をもたらします。これらの点を考慮すると、Oktaのソリューションは、保護とパフォーマンスの両面で高い成果を上げるゼロトラストネットワークの構築を支援するものと言えます。