社員が退職する際、会社内のアカウントの引き継ぎはスム
更新日:2024年4月9日
ゼロトラストとゼロ知識は似ていますが、これらは異なるサイバーセキュリティの概念を意味します。 ゼロトラストとゼロ知識の主な違いは、ゼロトラストはネットワークセキュリティに関連し、ゼロ知識はデータのプライバシーに関係することです。 どちらも、機密情報が悪人の手に渡らないように保護する上で重要です。
ここでは、ゼロトラストとゼロ知識について、それらの主な違い、および組織にそれらの両方が必要な理由について、さらに詳しく説明します。
ゼロトラストとは?
ゼロトラストとは、ユーザーやデバイスに継続的に認証されることが求められるサイバーセキュリティのフレームワークです これは、すべてのユーザーとデバイスが侵害される可能性があると想定し、組織のネットワーク内外のユーザーを自動的に信頼しないというものです。 誰でも、何でも、人間であれ、マシンであれ、ネットワークへのアクセスを取得する前に、継続的かつ明示的に検証される必要があります。
ユーザーやマシンがネットワークへのアクセスを得ると、業務を遂行するために必要な最小限のネットワークアクセスが与えられます。 ネットワーク内の他のものにアクセスすることはできません。 このようなアクセス制限により、ユーザーのアカウントが侵害された場合でも、サイバー犯罪者が他の機密情報にアクセスするのを防ぎます。 ゼロトラストは、ユーザーがどこからログインしているかではなく、ユーザーが誰なのかに焦点を当てています。
ゼロトラストは、3つの基本原則で構成されています。
- 侵害を前提とする:ゼロトラストは、組織のネットワークにアクセスしようとするすべてのユーザーやマシンが侵害され、セキュリティ侵害につながる恐れがあると想定します。
- 明示的に検証する:ゼロトラストは暗黙の信頼を排除するため、ユーザーとマシンは、アクセスが必要なたびに自分が何者かを証明する必要があります。
- 最小特権を確保する:ユーザーやマシンが検証され、アクセスを許可されると、業務を遂行するために必要な最小限のネットワークアクセスが与えられます。
ゼロ知識とは?
ゼロ知識は、暗号化とデータセグメンテーションを使用してデータ侵害の影響を軽減するセキュリティモデルです。 これは、会社のサーバーやクラウドではなく、デバイスレベルでデータを暗号化および復号化することで実行されます。 ゼロ知識暗号化を使用するアプリケーションは、データをプレーンテキストで保存せず、サービスプロバイダがそのデータをプレーンテキストで受信することもありません。 保存されたデータを復号化するために必要なキーは、デバイス上のユーザーのみが利用できます。 これにより、サービスプロバイダが侵害された場合、保存されたすべてのデータが暗号化され、保護されることが保証されます。
ゼロトラストとゼロ知識の主な違い
ユーザーは、ゼロトラストとゼロ知識のどちらもユーザーと組織のセキュリティを向上させるため、それらを混同することがよくあります。 しかし、ゼロトラストは「誰も信用しない」という意味で記憶し、ゼロ知識は「何も知らない」という意味で記憶することができます。 ゼロトラストとゼロ知識の主な違いは、次の通りです。
Zero Trust | Zero Knowledge | |
---|---|---|
Definition | Focuses on network security through continuous and explicit authentication and authorization of all users | Focuses on data security through encrypting and decrypting data on the device level |
Method of protection | Verification | Encryption |
Responsibility | Organization | Service provider |
Implementation techniques | Multi-Factor Authentication (MFA), network segmentation and least privilege access | 256-bit symmetric encryption and transport layer security from the service provider |
組織にゼロトラストとゼロ知識の両方が必要な理由
組織には、不正アクセスによってセンシティブデータが侵害されるのを防ぐために、ゼロトラストとゼロ知識の両方が必要です。 組織は、ゼロ知識暗号化を使用するサービスプロバイダにデータを委託し、組織がそのデータにアクセスできる唯一の存在であることを確実にする必要があります。
組織によっては、クラウドとオンプレミス両方のインフラストラクチャを使用してハイブリッド環境に移行しているものもあり、センシティブデータを保護するためにゼロトラストが不可欠です。 ゼロトラストは、組織がインフラストラクチャを可視化し、サイバー攻撃のリスクを軽減するのに役立ちます。 ゼロトラストにより、組織はネットワークにアクセスしようとするすべてのユーザーとマシン、それらがどこから接続され、何にアクセスしようとしているのかを確認することができます。 また、これは、権限を持つユーザーへのアクセスのみを許可し、これらのユーザーへのネットワークアクセスを最小限に制限し、ネットワーク内からの横移動を防ぐことで、サイバー攻撃のリスクを軽減するのに役立ちます。
ゼロ知識は、サービスプロバイダが侵害された場合でも、組織のデータを保護します。 サービスプロバイダは、組織のデータを復号化できないため、サービスプロバイダからデータを侵害して盗むサイバー犯罪者は、そのデータを暗号文で持つだけで、それを復号化することはできません。 また、ゼロ知識は、データがユーザーのデバイスでのみ暗号化および復号化されるため、保存時と転送中のデータを保護します。 アプリケーションがデータをプレーンテキストで保存することは決してありません。つまり、サービスプロバイダは、それを見ることができません。 データが他のデバイスに同期されると、ユーザーによって他のデバイスで復号化されるまで、データは暗号化されたままです。 転送中のデータは、送信キー暗号化を介して保護されており、不正ユーザーによって傍受されて読み取られることはありません。
Keeper®のゼロトラストとゼロ知識の仕組み
Keeper Securityは、独自のゼロ知識暗号化モデルに構築されたパスワード管理、シークレット管理、接続管理ソリューションを統合することで、ゼロトラストを有効にします。 組織は、データインフラストラクチャ全体を完全に可視化できます。 Keeper製品は、ゼロ知識暗号化で保護されており、組織だけがデータにアクセスでき、他のユーザーやKeeperでさえもそれにアクセスできないことを保証しています。 当社のセキュリティアーキテクチャについては、こちらからご確認ください。
ゼロトラストとゼロ知識を実装する最善の方法は、KeeperPAMを使用することです。 KeeperPAM™は、Keeper Enterprise Password Manager(EPM)、Keeper Secrets Manager®(KSM)、Keeper Connection Manager®(KCM)を組み合わせて、組織内のすべての特権ユーザーとデバイス全体での完全な可視性、セキュリティ、制御を提供します。